２．１．２ 通常時における責任
医療機関等が負う通常時における責任としては、
・説明責任
・管理責任
・定期的な見直し、必要に応じて改善を行う責任
がある。
（１）説明責任
説明責任とは、医療情報システムの運用状況等が適切に行われていること等を患者等に説明する責
任である。医療情報システム・サービスの運用等についてシステム関連事業者に委託している場合に
は、委託している範囲の医療情報システム・サービスの運用状況等について、医療機関等において直
接把握することが難しい。そこで医療機関等は、委託先事業者に対して、提供を受ける医療情報シス
テム・サービスが本ガイドラインを遵守した仕様や運用となっていることの説明を求めることができ
るよう、委託先事業者と取決めを行う必要がある。
例えば、医療情報システム・サービスの採用に際しては、システム関連事業者からサービス仕様適
合開示書等の提供などを受けることになるが、当該文書の中に本ガイドラインを遵守している旨（あ
るいは遵守できていない部分がある場合はその旨）を記載することを求めるほか、委託決定後も必要
に応じて当該遵守状況を示す資料の提供を求めることができる旨の取決めを行うことが求められる。
（なお、このような説明責任に関する分担の取決めがない場合には、医療機関等は自ら委託している
医療情報システム・サービスの運用状況に関する説明のための資料を用意することが必要となる。
）
（２）管理責任
医療機関等における管理責任とは、医療情報システムの運用管理を医療機関等が適切に行う責任で
ある。これも医療情報システム・サービスを委託している場合には、委託している範囲の医療情報シ
ステム・サービスの運用状況等について医療機関等において直接把握することが難しいため、委託先
事業者に適切な運用管理の実施を委ねるとともに、医療機関等は適宜委託先事業者において適切な運
用がなされていることを管理することで、責任の分担を図る必要がある。
特に委託先事業者が再委託を行う場合、再委託先事業者において生じた漏洩等の情報セキュリティ
インシデントの責任も、すべて委託元の医療機関等の責任となりうることから、再委託先事業者の管
理だけではなく選定などについても、委託先事業者と適切に分担することが求められる。
以上の内容を踏まえながら、企画管理者は、管理責任を全うするため、委託先事業者に対して、委
託先事業者の運用状況の報告資料の提供や、委託先事業者による再委託が行われる場合には再委託先
事業者も含めた責任分界についての取決めを行うことが求められる。

- 11 -