適切に情報が把握され、リスク分析がなされていれば、それらの情報や情報
機器をどのように管理すべきかが明確になります。例えば、情報の持ち出しに
ついては許可制にする、情報機器は登録制にする等の対策も管理を明確にし、
状況を把握するための方策となります。
一方、医療機関等の管理外のパソコン等の情報機器で、可搬媒体に格納して
持ち出した情報を取り扱う時に、不正ソフトウェアの混入や不適切な設定のさ
れたソフトウェアやサービスの利用、外部からの不正アクセスによって情報が
漏えいすることも考えられます。この場合、情報機器が基本的には個人の所有
物となりますが、そのような機器等の利用や情報の取扱いについては医療機関
等の企画管理者の責任において把握する必要があります。
スマートフォンを利用する際の安全対策については、「スマートフォン・ク
ラウドセキュリティ研究会最終報告～スマートフォンを安心して利用するた
めに実施されるべき方策～」（総務省；平成 24 年 6 月）が参考になります。

企８章第⑤条
企 Q－３5 「リスク評価に基づいて、医療情報の持ち出しに関する方針や、
持ち出す情報、持ち出し方法に関する手順や管理方法を情報管理に
関する規程で定める。｣とあるが、具体的にどのような基準で判断を
すればよいか。
Ａ 当該情報機器が医療情報を記録しているか否かで取扱いが異なります。
医療情報を記録している機器や媒体であれば、持ち出しには細心の注意が必
要です。このような機器や媒体は、原則として持ち出すべきではないという基
準にすべきです。その上で、やむを得ず持ち出す際には、情報機器を持ち出す
必要性や漏えいのリスクを総合的に判断した上で、運用管理規程等に機器持ち
出しの許諾ルールと判断基準を策定することが求められます。また、持ち出す
機器については、システム運用編 ７．情報管理（管理・持出し・破棄等）に
示す適切な防護措置を施すことが必要です。
リモートサービス等により医療機関等の情報にアクセスできる機器の場合、
医療情報を機器に記録していなくても、機器そのものの盗難や置き忘れが情報
漏えいのリスクになります。このような場合、機器に対する防護措置に加え、
リモートサービスそのものでの防護措置が必要であり、システム運用編 ７．
情報管理（管理・持出し・破棄等）に示された安全管理対策を実施しているこ
とが条件になります。

45