5.

安全管理のためのリスクマネジメントプロセス（基本的な考え方）
「医療情報安全管理ガイドライン」にある通り、医療情報の最終的な管理者としての責任

は医療機関等にあります。その責任を完遂させるため、医療情報システム等を提供する事業
者は、医療情報の適切な利用と保護を目的に安全管理のためのリスクマネジメントを実施
し、その結果をもとに医療機関等と適切な合意形成を図るべきというのが、本ガイドライン
の基本的な考え方です。

5.1. 対象事業者はリスク共有とリスク保有を行ってよいのか？
本ガイドラインは、一般的なリスクマネジメント手法をもとに、リスク対応の選択肢とし
て、
「リスク低減」
、
「リスク回避」
、
「リスク共有」
、
「リスク保有」の 4 つを提示しています。
本ガイドラインは、医療情報の安全な管理を目的としているため、安易にリスク共有やリス
ク保有を採用することは適当ではなく、推奨していません。しかし、どれほどリスク低減を
行ったとしても、リスクはゼロにならず、最終的にリスク共有またはリスク保有を選択せざ
るを得ない場合もあり得ます。安全管理のためのリスクマネジメントは、本 FAQ の「5 安
全管理のためのリスクマネジメントプロセス（基本的な考え方）
」で述べている通り、医療
情報の適切な利用と保護のため、リスクマネジメントの結果をもとに医療機関等と適切な
合意形成を図って、医療情報システム等を適切に運用していくためのものです。対象事業者
の判断のみによってリスク共有やリスク保有を選択することは適当でなく、医療機関等へ
の説明や合意形成の上、これを選択することが必要です。

5.2. 残存するリスクをどのように考えるべきか？
残存するリスクの対応は、
「5.1.5. リスク対応策の設計・評価、(3) 残存するリスクの評
価」に記述されています。残存するリスクについては、対象事業者は（定期的に）再評価し、
医療機関等と合意形成していく必要があります。
ガイドラインの「5.1. リスクマネジメントの実践」では、対象事業者が実施すべきリスク
マネジメントのプロセスを解説しています。対象事業者は、
「リスク特定」、
「リスク分析」
、
「リスク評価」
、
「リスク対応」等を実施し、継続的なリスクマネジメントをしていきます。
一例として、事業者がクラウド型カルテサービスを医療機関等に提供する場合の医師のロ
グイン認証（ID と 4 桁のパスワード認証）について考えてみます。対象事業者は不正ログ
インというリスク特定をし、機微性の高い患者情報と 4 桁というパスワードを考慮して影
響度と顕在率の高さからリスクレベルは極めて高いとリスク分析し、リスクレベルの高さ
から対応が必要とリスク評価し、パスワードの桁数を増やすというリスク低減策でリスク
6