８．４ 情報機器等の棚卸
システム運用担当者は、医療情報システムで利用する情報機器等について、企画管理者が行う台帳
管理を踏まえて、企画管理者と協働して棚卸をすることが求められる。棚卸を行うことにより、医療
情報を格納した情報機器を含め、所在確認が明確になるほか、不明な情報機器等についてその所在状
況を明確にすることにより、情報の漏洩等の可能性を速やかに発見することが期待される。また棚卸
に際して、情報機器等の滅失状況なども併せて確認することにより、利用可能な情報機器であるのか
を把握することができ、バージョンアップや買換え等、必要な方策を講じることが可能となる。なお
情報機器等の滅失状況については、必要に応じて最新のソフトウェアへの対応の可否なども含めて、
確認することも重要である。
８．５ 医療機関等が管理する以外の情報機器の利用に対する対策
システム運用担当者は、医療機関等が管理する以外の情報機器を、医療情報システムにおいて利用
するのに必要な措置を講じ、そのための手順等を策定したうえで、企画管理者に報告することが求め
られる。
BYOD においては、上記の要件を実現するために、管理者以外による端末の OS の設定の変更を技
術的あるいは運用管理上で制御すること、あるいは、技術的対策として、他のアプリケーション等か
らの影響を遮断しつつ、端末内で医療情報を取り扱うことを制限し、さらに個人でその設定を変更で
きないようにし、OS レベルで管理領域を分離すること、また、運用による対策として、運用管理規程
によって利用者による OS の設定変更を禁止し、かつ安全性の確認できないアプリケーションがモバイ
ル端末にインストールされていないことを管理者が定期的に確認すること等、適切な対策を選択・採
用し、十分な安全性が確保された上で行う必要がある。コンピュータウイルスや不適切な設定のされ
たソフトウェアにより、外部からの不正アクセスによって情報が漏洩することも考えられるため、管
理されていない端末での BYOD は行わない。管理者が BYOD によるコスト・利便性とリスクを評価し
て検討することが求められる。

- 24 -