（２） リモートメンテナンス（保守）を利用している機器の有無を事業者に確認した。
（医療情報システム全般）
リモートメンテナンス（保守）作業または保守環境に対するサイバー攻撃が想定
されます。システム運用担当者は、このようなリスクに対応するために必要な措置
を講じ、企画管理者に報告する必要があります。そのため、システム運用担当者

▶企画管理編
9.1
▶システム運
用編 10.1

は、２（１）で整理した情報をもとにリモートメンテナンスを利用している機器の
有無を事業者に確認し、企画管理者へ報告してください。
なお、本項目は、事業者と契約していない場合には、チェックリストの記入は不
要です。
（用語の解説）
システム運用担当者：医療機関において医療情報システムの実装・運用を担う担当者を指します。

（３） 事業者から製造業者/サービス事業者による医療情報セキュリティ開示書（MDS/SDS）を提出
してもらう。（医療情報システム全般）
医療情報システムのセキュリティに関するリスク評価およびリスク管理を実施す
るにあたっては、事業者が作成する医療情報セキュリティ開示書（MDS/SDS）を
確認することが有効です。企画管理者は事業者へ当該医療情報システムに関する
MDS/SDS の有無を確認し、事業者から回収してください。
なお、本項目は、事業者と契約していない場合には、チェックリストの記入は不
要です。
（用語の解説）
MDS/SDS：Manufacturer / Service Provider Disclosure Statement for Medical Information
Security））：医療情報セキュリティ開示書（製造業者/サービス事業者による医療情報セキュリティ
開示書の略称です。各製造業者/サービス事業者の医療情報システムのセキュリティ機能に関する説明
の標準的記載方法（書式）を JIRA(一般社団法人 日本画像医療システム工業会)/JAHIS で定めた物
で、製品/サービス説明の一部として製造業者/サービス事業者によって作成され、セキュリティマネジ
メントを実施する医療機関等を支援するため、医療機関等側において必要な対策の理解を容易にするこ
となどの用途に用いられることが想定されています。

7

▶概説編 4.5