３．安全管理全般（統制、設計、管理等）
３．１ 統制
３．１．１ 情報セキュリティ対策のための統制
【遵守事項】
①

統制の体系を理解し、医療機関等における情報セキュリティ対策に関する統制の実効性を確保

するために必要な規程類、管理体制等を整備するとともに、適切に統制が機能しれているかを確
認すること。

➢ 医療情報システムの情報セキュリティ対策は、医療機関等における医療情報の適正な取扱いの確保
や保護を図る観点から、医療機関等における重要な経営課題の一つである。情報セキュリティを十
分に確保するためには、具体的な情報セキュリティ対策の検討に加え、医療機関等においてどのよ
うな情報セキュリティ対策を講じていくのかを示した計画の策定、当該計画の内容を実現するため
に必要な規程類の整備、当該計画の内容の実施や進捗管理を行うために必要な組織体制の整備等に
よる内部統制が適切に行われている必要がある。
➢ 上記計画の策定に当たっては、その具体化のための予算計画と併せて策定することが求められる。
➢ また、情報セキュリティ対策に関わる各組織（医療従事者等含む。）が適切に協働できるようにする
ために、具体的な業務内容や各業務を行う者の権限等を適切な粒度で明確化した規程類の整備が求
められる。
➢ 加えて、策定した計画を実現するために必要な組織統制が発揮されるよう、情報セキュリティに関
する最高責任者や通常時・非常時の運用、対応する組織の構成、役割、職務権限等を明確にするこ
とで、的確で迅速な情報セキュリティ対策の実現が期待される。
➢ 医療情報システムの運営や利用に際しては、様々なシステム関連事業者も関与することから、医療
情報システムの情報セキュリティ対策に関する統制の実効性の確保には、システム関連事業者との
適切な協働体制等の整備が必要となる。（「５．医療情報システム・サービス事業者との協働」に、
事業者の選定、管理、ならびに、事業者との間での責任分界管理に関する考え方を示す。
）
➢ 情報セキュリティ対策に関する統制が適切に機能していることを確認することは、リスク管理方針
や情報セキュリティ対策の見直しの観点からも重要である。そのため、情報セキュリティ対策に関
する業務や措置の実行記録や行動証跡類を確保することも求められる。

- 12 -