１．本編の対象
保守委託機関編（以下、本編という）では、下図１のフローチャートにおいて、「すべてのサーバのセ
キュリティアップデート責任を事業者に委託している」で「YES」を選んだ医療機関等を対象とする。
具体的には、クラウド型電子カルテ（SaaS 型）等のクラウドサービスの採用や、オンプレミスのサービス
利用においても契約の中で、すべての医療情報システムのセキュリティアップデートを含む保守を外部の事
業者に委託していることを想定している。なお、本編の適用対象となる医療機関等は、以下「保守委託
機関」と呼ぶ。
SaaS への移行が容易な小規模医療機関等が主な対象となることを想定している。
➢

フローチャートの YES または NO の判断の際に不明点があれば、必ず当該事業者に確認をする
こと。

すべての医療機関等
概説編
（全読者）

すべてのサーバ※1の
セキュリティアップデート責任を
事業者に委託している※2

YES

NO

経営管理編
（経営層）

企画管理編

各編に共通する前提

医療情報システムの安全管理に関する統制

（システムの安全管理者）

医療機関等全体の医療情報システムの安全対策の管理
組織的な対応

システム運用編

医療情報システムに関する技術的な対応

（システム運用担当者）

保守委託機関編
（医療機関管理者・担当者）

クラウドサービスの利用、オンプレミスサーバの保守委託等により
セキュリティアップデートを含む保守業務を委託できている
医療機関等における安全管理の統制・管理・対策

※１：ここでいう「サーバ」は、医療情報の保存や主要な処理を担う機器を指す。原則としてPCやタブレット等のクライアント端末は含まない。
ただし、電子カルテアプリ等を端末にインストールし、当該機器上で処理が完結する場合はPC等の端末も「サーバ」に含む。
※２：「事業者がセキュリティアップデート責任を負うこと」が、契約書や約款、サービスレベル合意書等に記載されている場合にのみ「YES」を選択可能となる。
記載がない場合や不明確な場合には医療機関側の責任となっている可能性がある。不明確な場合は必ず契約事業者に直接確認し、責任の所在を明確にすること。

図 1 本編の対象となる医療機関等の判断フローチャート

-2-