の医療情報安全管理ガイドラインの内容について考慮し、リスクマネジメントの結果にも
とづいて、適切な対策を実施する必要があります。

6.

対象事業者と医療機関等とのリスクコミュニケーション（基本的な考え方）
対象事業者にとって、自らが提供する医療情報システム等やそのリスクについて医療機

関等に説明することは、対象事業者と医療機関等との共通理解を深め、互いの役割について
合意形成する上で有効であると考えます。本ガイドラインの第 4 章での対象事業者として
医療機関等に対して情報提供すべき内容を示したり、第 5 章でのリスク対応一覧や運用管
理規程に定められた事項を情報共有したりすることは、対象事業者と医療機関等との間の
リスクコミュニケーションにおいて役立つものと考えられます。

6.1. 文書や規程にどこまでの内容を記載すべきか？
ガイドライン「5.1.6. リスクコミュニケーション、(2) 文書・規程の作成」では、対象事
業者が安全管理義務を果たすために、医療機関等と合意形成した結果を文書化し、運用管理
規程を定めるように求めています。運用管理規程に含める項目の最低限の具体例として、
(ア)～(サ)を挙げていますが、これに限るわけではありません。内容については、リスクコ
ミュニケーションを通じて、両者が納得できる程度にまで、記載されている必要があります。
例えば、「(エ)機器等を用いる場合の機器等の管理責任の所在・管理方法」では、機器等の
管理責任や管理方法について台帳管理等による所在確認を行う旨を運用管理規程に含める
ことを求めています。対象事業者が医療機関等にクラウド型電子カルテサービスを提供し、
それへのアクセスのために専用の PC 端末またはタブレットを配布する場合、台数の確認や
利用場所を限定について、必要な範囲で運用管理規定に記載する必要があります。

7.

制度上の要求事項（基本的な考え方）
本ガイドラインは、リスクベースアプローチを採用しており、リスクに応じて適切な安全

管理措置を選択して実施するように求めています。一方で、法令等で義務付けられている項
目があり、それらについては一律に対応する必要があります。

7.1. 制度上の要求事項はどのようなものがあるか？
制度上の要求事項は本ガイドラインの第 6 章において整理しています。例えば、e-文書法
8