５．３ 責任分界管理
【遵守事項】
①

システム関連事業者に委託を行う際の責任分界の管理に関する重要性を認識し、医療機関と委

託先事業者との間での責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化
し、適切に管理することを、企画管理者やシステム運用担当者に指示すること。

➢ 委託先事業者との責任分界については、委託先事業者と委託する業務内容に応じて、具体的なセキ
ュリティに関する責任の範囲も明確にする必要がある。責任の範囲が明確でない場合には、医療機
関等が講じるべき情報セキュリティ対策のうち、一部が抜け落ちてしまう可能性などがある。特に
サイバー攻撃などの非常時に、原因の究明は医療機関等と委託先事業者との間で協力して進めるこ
とが不可欠であるが、その前提としても責任の範囲を明らかにしておく必要がある。
➢ クラウドサービスなどを用いる場合、サービスを提供する委託先事業者とクラウドサービス事業者
等の間における責任関係が複雑になることが想定される。医療機関等においては、ネットワークサ
ービスのほか、各種クラウドサービスを利用することにより、医療情報システムに支障が生じた場
合には、どのシステム関連事業者と原因究明や対策を講じるべきかが不明瞭になることがある。ま
た、クラウドサービス事業者においても、サービスのすべてをシステム関連事業者自らのシステム
等で提供しているとは限らないことから、障害等が生じた場合の原因究明に時間を要することも想
定される。
➢ そのため、利用する医療情報システム・サービスに関連する情報機器等の管理が医療機関等とシス
テム関連事業者のどちらにあるのかを明確にし、これに対する安全性の確保の対応の役割分担につ
いても明らかにする必要がある。情報機器の所有者、設置責任者、その安全管理措置のための保守
管理者等、それぞれが異なる可能性もあることから、事前に明確にすることが求められる。
➢ 外部委託を行う際の責任分界の重要性を認識し、医療機関等と委託先事業者との間での責任分界を
明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理するよう、企画管理
者やシステム運用担当者に指示することが求められる。

- 23 -