医療情報システム・サービスを利用する上で講じた情報セキュリティ対策や適切なシステム運用のル
ール等を、医療情報システム・サービスを利用する職員などのすべての関係者が理解して、実践できる
必要があるため、定期的に教育・訓練を行うこと必要があります。適切なシステム運用の周知などに際
しては、医療情報システム・サービス事業者にも協力を得ながら実施すると有効だと考えられます。

３．３．３ 管理（Management）
設計された医療情報システムの安全管理の対策が適切に行われていることを定期的に確認し、必要が
あれば更なる対策を講じることが求められており、点検や監査を行うことは必要です。

３．３．４ 情報セキュリティインシデントへの対策と対応
災害、サイバー攻撃、システム障害といった情報セキュリティインシデントが発生したことによる非
常時において、医療機関等としての事業継続計画等（以下「BCP 等」という。）に基づいて行動し、医
療情報システムに関する対応も的確に実施できることが必要です。
医療機関等は、地域における医療の継続と、医療機関等の要員等の状況などを踏まえて、各医療機関
等が自ら BCP 等を策定し、この BCP に基づいて非常時における医療情報システムの運用や通常時にお
ける対策等を整理する必要があります。例えば医療情報システムを構成する機器等の一部が損傷するな
どにより機能しなくなった場合に、診療等の医療業務をどうするのか、損傷したものをどのように復旧
させるのか、復旧した後に、機能しなくなった間に講じた措置をどのように反映させるのか、などをあ
らかじめ整理する必要があります。
BCP 等は策定するだけでなく、通常時でも訓練などを通じて、周知だけでなく、BCP 等の改善の要
否を確認することが必要です。例えば非常時を想定して、連絡や対応の方法や手順、非常時に使用する
機器等が適切に機能するかの確認などを定期的に行うことが求められます。
また、技術的な対応の多くを医療情報システム・サービス事業者に委ねることが多いことから、非常
時における対応についても、当該事業者に十分に確認しておく必要があります。特に非常時のうち、サ
イバー攻撃などへの対応では、通常のシステム・サービス事業者だけでは対応できないこともあるので、
通常のシステム関連事業者以外の事業者に関する情報収集や協力体制の構築なども重要です。
最後に、サイバー攻撃やそのおそれがある場合を含めて、非常時となった場合には、行政機関等に対
する速やかな報告や警察等への連絡が必要となることがありますので、関係する官庁の連絡先や非常時
に相談や依頼するシステム関連事業者や外部有識者についても、通常時から確認しておく必要がありま
す。

-9-