(カ)事故発生時の対応方法及び医療機関等への報告方法
対象事業者は、事故発生時の対応方法及び医療機関等への報告方法として、情報セキュ
リティ事故が発生した場合の被害拡大防止のための対応方法や緊急時の代替手段、原因調
査のためのログ等の記録の保全及び医療機関等への報告タイミングや報告フローを運用管
理規程に含めること。

(キ)個人情報を格納する記憶媒体の管理方法
対象事業者は、個人情報を格納する記憶媒体の管理方法として、保管や取扱いの方法及
び保管や取扱いに係る履歴の記録について運用管理規程に含めること。

(ク)医療機関等の危機管理対応時の委託事業者における体制・対応内容
サイバー攻撃、その他医療機関等における危機管理対応時において、対象事業者が医療
機関等と医療情報システム等に関して委託契約を締結している場合、対象事業者は、医療
機関等への危機管理対応内容に応じて構築すべき体制（事業者内の危機対応体制の構築の
要否や責任者等）やその内容（情報提供方法、役割分担の設定の必要性の判断等）等を運
用管理規程に含めること。

(ケ)医療情報の外部保存に係る患者等への説明方法
対象事業者は、医療情報の外部保存に係る患者等への説明方法として、医療機関等へ必
要な資料の提供又は、医療機関等に代わり対象事業者が直接患者等へ説明する場合は、そ
の方法について、運用管理規程に含めること。

(コ)医療情報システム等に対する監査の実施方針
対象事業者は、医療情報システム等に対する監査の実施方針として、提供する医療情報
システム等の安全管理に係る監査の方針や内容のほか、監査の実施に係る記録についての
保存・管理方法について運用管理規程に含めること。なお、医療機関等への医療情報シス
テム等提供にあたり、他社が提供する医療情報システム等を利用する場合は、他社が提供
する医療情報システム等に対する監査の方針及び内容又は、監査に代替する対応について
も運用管理規程に含めること。

(サ)医療機関等の管理者からの問い合わせ窓口
対象事業者は、医療機関等の管理者からの問い合わせ窓口として、医療機関等の管理者
からの一元的な問い合わせ窓口となる連絡先及び連絡方法のほか、問い合わせを受け付け
る時間帯について運用管理規程に含めること。

36