の PHR が格納されている PHR サービスに取り込む場合、医療情報を取り込んだ PHR サ
ービス全体が本ガイドラインの対象となります。 2
2.

医療情報システム等の提供形態（基本的な考え方）
本ガイドラインでは、医療情報システム等は、サプライチェーン全体を通して、適切に運

用されるべきというのが基本的な考え方です。本ガイドラインは医療機関等と直接的な契
約関係のない事業者も医療情報システム等のサプライチェーンの一部として機能している
場合、本ガイドラインの適用範囲になります。例えば、事業者 A が病院にクラウド型電子
カルテサービスを提供する際、事業者 A はアプリケーションとプラットフォームを事業者
A が選定した事業者 B のインフラ上で稼働させる場合、事業者 A は事業者 B のインフラ
が、医療情報システム等のサプライチェーンの一部として、本ガイドラインに沿ったサービ
スを提供しているか確認すべきであるというのが基本的な考え方です。
近時、ネットワークシステムの高度化により、機能分化、専門化が進んでいます。SaaS、
PaaS、IaaS という言葉に代表されるように、アプリケーション、プラットフォーム、イン
フラをそれぞれ異なった事業者が提供することも珍しくありません。それぞれの事業者が
サービスを提供することで高度なセキュリティが期待される一方で、ある一つの機能のセ
キュリティ上の欠陥から問題が生じることもあり得ます。例えば、医療機関等がクラウド型
電子カルテサービスの導入を検討しており、SaaS 事業者と導入について話し合いを進める
際、その医療機関等や SaaS 事業者が PaaS や IaaS 事業者の選定に注意を払わなかった場
合、医療情報の漏 洩 をはじめとしたセキュリティ上のリスクは高まります。
え

い

本ガイドラインでは「2.2. 医療情報システム等の代表的な提供形態」において、医療情報
システム等の代表的な提供形態を示し、システム全体がガイドラインの適応範囲であり、サ
プライチェーン全体を考慮しながら、医療情報システム等は運用されるべき旨を記述して
います。

2.1. 複数関係者のリスクマネジメントはどうすべきか？
医療情報システム等がマルチクラウドやマルチベンダーで運用される場合があります。

2

具体的な場面では、
「医療機関等から送付された医療情報」ではなく、
「医療機関等から患者等に送付さ

れた医療情報」に該当することもあるので注意が必要です。例えば、医療機関等から患者等に対して、医
療情報を閲覧するための URL や QR コードの提供を受け、患者等がその内容を自ら PHR サービスに登
録する場合などは、
「医療機関等から患者等に送付された医療情報」に該当するため、そのような PHR サ
ービスは本ガイドラインの対象とはなりません。

2