３．安全管理のための体制と責任・権限
【遵守事項】
①

医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確

にし、その内容について経営層の承認を得ること。
②

情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営

に関する規程等を策定し、経営層の承認を得ること。
③

安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務

等を明確にし、経営層の承認を得ること。
④

非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において

発生した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者
（CISO）や CSIRT などの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認
を得ること。
⑤

法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要

な措置を講じ、その結果を経営層に報告し、承認を得ること。
⑥

医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育

や訓練を講じるための体制を整備すること。
⑦

医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する

体制を整備すること。
⑧ 医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
⑨ 患者等からの相談や苦情への対応を行うための体制を構築すること。
⑩ ①～⑨までの対応においては、整備した内容を可視化できるようにすること。

３．１ 医療情報システムの安全管理体制の構築
３．１．１ 医療情報システムの安全管理のための企画管理者の設置
企画管理者とは、医療情報システムの安全管理を行うために必要な運用管理の管理責任者を指す。
ここでいう「運用管理」には、安全管理のうち「組織的な対応」と「技術的な対応」のいずれをも含
んだものである。
３．１．２ 企画管理者の業務範囲と権限
経営層は医療情報システムにおける安全管理について医療機関としての最終的な管理責任を負うが、
企画管理者はその経営層の判断をサポートし、医療機関等において円滑に安全管理を行うことができ
るようにすることが重要な業務である。
具体的な企画管理者の業務範囲としては、医療機関等の医療情報システムの安全管理について、
・経営層が行う管理をサポートするために必要な資料の作成や報告
・日常的な医療情報システムの安全管理
が想定される。また、これらを行うのに必要な承認権限等を有することが想定される。

- 17 -