医療情報システムの利用に際しては、医療機関等が管理しない情報機器等の利用も想定される。例
えば BYOD（Bring Your Own Device：個人保有の情報機器）の利用などが想定される。企画管理者は、
こうした医療機関等が管理しない端末の利用についても、その利用条件や利用範囲、管理方法などに
ついての規則を策定した上で、利用可能としたものについては、併せて台帳管理することが求められ
る。加えて、BYOD での利用に関する具体的な条件等について担当者と協議し、必要に応じて技術的
な対応を講じ、規則の内容に含めることが求められる。
また、整備した台帳を定期的に棚卸して、適切な状況にあることを確認する必要がある。
９．２ 情報機器等の安全性の確認
管理している情報機器等を医療情報システムとして利用するためには、情報機器等の安全性が確認
されている必要がある。特にサイバー攻撃等への対応という観点からは、必要なファームウェアの更
新や脆弱性対策、EOS（End of Sale, Support, Service：販売終了、サポート終了、サービス終了）の対
象となっていないことなどを確認することが重要である。
情報機器等の安全性の確認を行うためには、情報機器等の安全性に関する情報を的確に把握するこ
とが求められる。企画管理者は、担当者に情報機器等の安全に関する情報の収集（利用している情報
機器等やシステム、プログラム等）と、それを踏まえた対応を指示し、その対応状況を確認すること
で、情報機器等の安全性を定期的に確認する必要がある。
安全性の確認は、情報機器だけではなく、利用するサービスも対象である。サービスの場合、当該
サービスを提供するシステム関連事業者に対して、利用に適した状況にあることを定期的に確認する
旨、委託契約等に含めることなどが想定される。
また、クラウドサービスなどのサービスの場合は、サービス内容によっては、利用できる情報シス
テムの容量などが定められていることなどにより、必要な容量を確保できないなどといった、可用性
の観点から考えられるリスクも想定される。システム関連事業者に対しては、このような観点からの
確認も適宜求めていく必要がある。
９．３ 情報機器等の資産管理状況の報告
医療情報システムで利用する情報機器の管理状況については、企画管理者が把握した上で、経営層
に報告し、承認を得る必要がある。企画管理者は、情報機器等の管理状況を把握するに際しては、担
当者と協議の上、資料を整理する必要がある。

- 38 -