項目区分

遵守項目

チェック

また、安全管理方針、体制、バックアップ状況、信用度、認証（ISMAP

7

や、プライバシーマーク、ISMS 等）の取得状況、保存場所を確認し、情報
機器等が、国内法の適用及び執行の及ぶ範囲にあることを確実にすること。
④医療情報の外部保存の委託先事業者との契約に、下記を含むことを事業

□

者に確認すること。
-事業者が安全管理ガイドラインと「医療情報を取り扱う情報システム・サービ
スの提供事業者における安全管理ガイドライン」（総務省、経済産業省）を
遵守すること
-許可なく分析する等の、目的外利用をさせないこと
-匿名化情報の取扱いの配慮
-患者アクセス時の権限設定
-情報提供は原則患者同意に基づくこと
-再委託を行う場合は、事前に医療機関等に情報を提供し、承認を得るこ
と。
-委託契約終了に際しての医療情報の返却とその方法の取り決め。
-サーバのセキュリティアップデートを含む保守責任が事業者にあること
-PC やネットワーク機器等、端末の保守責任が医療機関等と事業者のいず
れにあるか
⑤必要に応じて個人情報が特定の外部の施設に送付・保存されること、またそ

□

の安全性やリスクを含めて院内掲示等を通じて説明すること。
６．情報管理（管理、持ち出し、破棄等）
①医療機関等において保有する医療情報の管理、医療機関等外への持ち出

□

し、破棄等の方針と手順を含む規程を定めること。
②医療機関等の外部からのアクセスについて、許諾対象者、許諾条件やアクセ

□

ス範囲等、許諾を得るための手順を定めること。
③医療情報の破棄に関する手順等を定める際は、情報種別ごとに手順（条

□

件、担当者、具体的な方法）を定めること。
７．医療情報システムに用いる情報機器等の資産管理

7

①医療情報システムの資産管理を行うために必要な規程類を整備すること。

□

②整備された規程に基づいて医療情報システムの台帳管理を行うこと。

□

③医療情報システムは、可能な限りクラウドサービスを選定し、ソフトウェアアップ

□

ISMAP は「Information system Security Management and Assessment Program」の略称で、「政府
情報システムのためのセキュリティ評価制度」と呼ばれる。クラウドサービスに関して、高水準のセキュリティ要件を政府が
設定しており、同様に高いセキュリティが求められる情報システムの評価にも利用される。

-5-