② 医療機関等の外部からのアクセスについて、許諾対象者、許諾条件やアクセス範囲等、許

諾を得るための手順を定めること。
③ 医療情報の破棄に関する手順等を定める際は、情報種別ごとに手順（条件、担当者、具

体的な方法）を定めること。
◼

医療機関等が保有する医療情報の管理や外部に持ち出す際の対応、破棄（委託先における破
棄を含む）について管理する必要がある。電子媒体だけでなく、紙媒体も管理対象となる。

◼

また保存等を委託している医療情報を破棄する場合、委託先事業者に対して破棄等の証跡等の
提出を求めること。適切に破棄されていることの報告を委託契約に含めることが求められる。破棄等
の証跡の提出が困難な場合（例えばクラウド上仮想環境のデータを破棄する場合）は事業者の
破棄手順や破棄に関する仕様の提供を求めるなどの対応も想定される。

◼

外部への情報の持ち出しは、媒体での持ち出し以外に、外部のサーバへの送信などが含まれる。

７．医療情報システムに用いる情報機器等の資産管理
① 医療情報システムの資産管理を行うのに必要な規程類を整備すること。
② 整備された規程に基づいて医療情報システムの台帳管理を行うこと。
③ 医療情報システムは、可能な限りクラウドサービスを選定し、ソフトウェアアップデート等の保守
管理を事業者に委託すること。
（困難な場合は医療機関等自ら、定期的なアップデートを要する。）
④ 盗難・紛失時の対応手順を作成し、事前対策を講じること。
⑤ BYOD 端末の利用について、利用許諾条件や管理方法等を規程に含め台帳管理を行うこ
と。
⑥ IoT 機器を患者へ貸し出す際は、リスク説明と同意取得、連絡先提供を行うこと。
◼

医療情報システムに用いる情報機器等については、原則医療機関等に管理責任がある。一方、
管理を委託している機器に対しては、事業者から管理状況の報告等を受けられるようにすること。

◼

職員の私物を利用する場合（BYOD：Bring your own device）も医療機関等が管理する
機器と同等の管理が求められる。具体的には、BYOD 端末の登録等に関する手順と設定、台帳
管理を行うことや、医療機関等の所有する機器と同等の管理をするための手順を作成すること。

◼

医療機関等が利用を認めていないアプリケーション等の利用を制限することも重要である。一般ユー
ザに管理者権限を与えない設定等により、管理外のサービスが利用されないよう対策すること。

８．サイバーセキュリティ
① インシデント発生時は、ネットワーク切断、機器隔離、システム停止、バックアップからの復元

（複数方式・数世代確保、オフライン管理等が重要）等を行うこと。
② サイバー攻撃等により医療提供体制に支障が生じるおそれがある場合は、厚生労働省、都

道府県警察、その他所管官庁等への連絡を行うこと。
③ 接続サービスのセキュリティ確保の範囲を事業者に確認すること。

-14-