３．２．１ リスク分析・評価
リスク分析・評価、いわゆるリスクアセスメントを実施するには、専門的な知見などが求められるこ
とがあるため、医療情報システム・サービス事業者に対して、例えば、総務省・経済産業省が定めてい
る「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」におけ
る「サービス仕様適合開示書」や日本画像医療システム工業会（JIRA）の工業会規格（JESRA：Japanese
Engineering Standards of Radiological Apparatus）及び保健医療福祉情報システム工業会（JAHIS）の
JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」で
示されているチェックリスト等を参考に、資料や情報の提供を依頼し、協働してリスクアセスメントを
実施するようシステム関連事業者へ相談することは有意義です。
なお、リスクアセスメントを行うに当たっては、下記の資料等が参考になります。
「中小企業の情報セキュリティ対策ガイドライン」（独立行政法人情報処理推進機構：IPA）
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
ならびに、上記の付録
「付録 3：5 分でできる！情報セキュリティ自社診断」
「付録 7：リスク分析シート」

３．２．２ リスク管理
リスク分析・評価を踏まえ、各リスクに対して「回避・低減・移転・受容」のいずれのリスク管理方
針をとるか決定します。
リスク管理方針の検討を行う際には、情報セキュリティの３要素である「機密性(Confidentiality)」、
「完全性（Integrity）
」
、「可用性（Availability）」のバランスを考慮しながら、医療機関等に求められる
医療の提供の維持・継続等するために、どの程度の経営資源を投入し、どのような対策を講じるかなど
の判断が求められます。
リスク管理方針を決定し、リスク管理対策を講じるに際しては、医療情報システム・サービス事業者
とも協議を行い、助言を求めるなどしながら、認識の齟齬等が生じないようにすることは重要です。

３．３ 安全管理全般（統制、設計、管理等）
３．３．１ 統制（Governance）
医療機関等での医療情報システムの安全管理において、安全管理に関する経営層の意識や方針が、組
織全体にしっかり浸透し、これに基づいて適切に運用され、その状況や改善すべき課題を経営層が管理
できるように、統制が効いている状態となっていることが重要です。
小規模医療機関等では、限られた人数と医療情報システム・サービス事業者で手分けをして、適切な
安全管理に行うこともあるかと思われます。

-7-