➢ なお、医療機関等が管理する医療情報の取扱いに関して、情報セキュリティインシデントが生じた
場合の対応も考慮する必要がある。例えば、情報セキュリティインシデントには情報漏洩なども含
まれており、これらは直ちに医療情報システムの稼働自体に影響を及ぼすものではないが、患者情
報は大変機微な情報であり、患者の生命、身体に大きな影響を及ぼす危険性があるほか、医療機関
等の経営にも大きな影響を及ぼす可能性があるため、情報漏洩等が起こった場合の対応についても、
あらかじめ整理しておく必要がある。
３．４．２ 情報共有・支援、情報収集
【遵守事項】
①

情報セキュリティインシデントの発生に備え、システム関連事業者又は外部有識者と非常時を

想定した情報共有や支援に関する取決めや体制を整備するよう、企画管理者に指示すること。
②

情報セキュリティインシデントの未然防止策として、通常時から医療情報システムに関係する

脆弱性対策や EOS（End of Sale, Support, Service：販売終了、サポート終了、サービス終了）等
に関する情報を収集し、速やかに対策を講じることができる体制を整えるよう、企画管理者やシ
ステム運用担当者に指示すること。

➢ 情報セキュリティインシデントの発生に備え、システム関連事業者や外部有識者と非常時を想定し
た情報共有や支援に関する取決めや体制を整備するよう、企画管理者に指示することが重要である。
特にサイバー攻撃の場合、初動の対応が重要であるとされることから、速やかに情報共有等が行え
るよう、緊急連絡網（システム関連事業者、情報セキュリティ事業者や外部有識者等の連絡先）、医
療機関等外を含む情報開示の通知先一覧を整備し、医療機関等において対応に従事するシステム運
用担当者に共有しておくことは有用である。また、システム関連事業者とは、このような対応も見
据えた取決めを事前に交わすことが重要である。
➢ 情報セキュリティインシデントの未然防止策として、通常時から情報機器等を含めた医療情報シス
テムに関係する脆弱性対策や重要なアップデート（更新）、ならびに、EOS（End of Sale, Support,
Service：販売終了、サポート終了、サービス終了）等に関する情報を収集し、速やかに対策を講じ
ることができる体制を整えるよう、企画管理者やシステム運用担当者に指示することは重要である。

- 17 -