SaaS では、医療情報システムのアプリケーション部分、PaaS では、医療情報システムが利用するミ
ドルウェアの部分、IaaS では医療情報システムが利用するインフラの部分をサービスとして提供する
ことになる。
例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を
事業者に委ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーショ
ン部分に関する安全管理対策項目などについて、事業者との責任分界を検討することになる。
このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、委託
により医療機関等が行うべき安全管理のうち、どの部分の責任を分担し、責任分界を定め、具体的な
管理内容について、事業者と取り決めることが求められる。
表３－１ SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲

事業者側の管理対象範囲

・利用者は、クラウドサービス事業者が提供す

・クラウドサービス事業者は、契約 ・SLA

るアプリケーションを利用するためのデータ

（Service Level Agreement：サービス品質

やアプリケーション上で生成したデータの管

保証、サービスレベル合意書） に基づくサ

理（データに対する編集 ・削除等の行為）を

ービスをクラウドサービス利用者に提供す

する権限と責任を有する。

るために、アプリケーション層以下の実

・アカウント管理などの限定的な管理権限をク

装、設定、更新及び運用を管理するととも

ラウドサービス事業者から付与され、外部か

に、クラウドサービス利用者に限定的な管

らのアクセス権限を設定する場合がある。

理権限等を提供する場合がある

出所：
「クラウドサービス提供における 情報セキュリティ対策ガイドライン（第 3 版）」
（総務省、2021 年 9 月）より作成
３．４．２ 複数の事業者に対する委託を含む場合の責任分界
医療機関等が事業者に委託を行う場合、この情報システム・サービスを利用するに際して複数の事
業者が関与する場合がある。
医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事
業者が複数のサービスを組み合わせて、医療機関等に提供する場合などが想定される（表３－２参照）。

-7-