①② 《医療機関等確認用》リモートメンテナンス（保守）を利用している機器の有無を事業者に確
認した。
《事業者確認用》リモートメンテナンス（保守）している機器の有無を医療機関等に伝えた。
（医療情報システム全般）
リモートメンテナンス（保守）作業または保守環境に対するに用いる外部接続点から
のサイバー攻撃が想定されま相次いでいますす。これは医療機関側がリモートメンテ
ナンス用の外部接続点を把握しきれていないことが大きな要因のひとつです。システ

▶企画管理編
9.1
▶システム運用編
10.1

ム運用担当者は、このようなリスクに対応するために必要な措置を講じ、企画管理者
等に報告する必要があります。そのため、システム運用担当者は、２-①で整理した情
報をもとにリモートメンテナンスを利用している機器の有無を事業者に確認し、企画
管理者等医療情報システム安全管理責任等へ報告してください。
リモートメンテナンスを受託している事業者は医療機関等に対して、事業者確認用チ
ェックリストを医療機関に提出する際など、定期的に外部接続点の存在を医療機関に
通知してください。
なお、本項目は、事業者と契約していない場合には、チェックリストの記入は不要
です。
（用語の解説）
システム運用担当者:医療機関等において医療情報システムの実装・運用を担う担当者を指します。

③

③

《医療機関等確認用》事業者から製造業者/サービス事業者による医療情報セキュリティ

開示書（MDS/SDS）を提出してもらう。
（医療情報システム全般）
《事業者確認用》医療機関に製造業者/サービス事業者による医療情報セキュリティ開示書
（MDS/SDS）を提出した。（医療情報システム全般）
医療情報システムのセキュリティに関するリスク評価およびリスク管理を実施する

▶概説編

にあたっては、事業者が作成する医療情報セキュリティ開示書（MDS/SDS）を確認す

4.5

ることが有効です。企画管理者等は事業者へ当該医療情報システムに関する
MDS/SDS の有無を確認し、事業者から回収してください。
なお、本項目は、事業者と契約していない場合には、チェックリストの記入は不要
です。ただし、その場合すべての医療情報システムの保守管理について医療機関が責
10