よむ、つかう、まなぶ。
サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために (15 ページ)
出典
| 公開元URL | |
| 出典情報 | サイバー事故に関しシステムベンダーが負う責任:医療DXを推進するために(8/24)《日本医師会総合政策研究機構》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
・経済産業省ガイドラインでは、システムベンダーすなわち医療機関等との契
約等に基づいて医療情報システム等を提供する事業者は、本ガイドライン対象
事業者とされており、「セキュリティに関する専門家としての義務」
、
「影響
度、顕在化率の高い状況下でのリスク回避義務」といった責任が謳われている
(以下、経済産業省ガイドラインより抜粋。採番①②括弧の標題は筆者が要
約)
。
① (セキュリティに関する専門家としての義務)
医療機関等は医療の専門機関であって、セキュリティについての専門性は
乏しいことが十分に想定される。これに対し、対象事業者は、医療機関等
に対し専門的な医療情報システム等を提供する事業者であり、セキュリテ
ィに関する専門的な知識・経験・人材を擁しているべきである。このよう
な専門性の格差に鑑みて、対象事業者は、医療機関等に対し、委託契約又
は信義則に基づく付随義務として、医療機関等が患者に対する安全管理義
務を履行するために 必要な情報を適時適切に提供する義務を負う。
② (影響度、顕在化率の高い状況下でのリスク回避義務)
サイバー攻撃においては、インターネット経由で直接的な攻撃が可能であ
る場合や、認証を要求していない場合、既に攻撃手法が知られており被害
が発生している場合等は、顕在化率(リスクが顕在化する可能性)は高い
と考えられる。対象事業者は、影響度及び顕在化率ともに極めて高いリス
クについては、リスク回避を検討すること。
ただし、上記のいずれのガイドラインにおいても、医療機関とシステムベン
ダーの相互の責任関係については直接触れられていない。
14
約等に基づいて医療情報システム等を提供する事業者は、本ガイドライン対象
事業者とされており、「セキュリティに関する専門家としての義務」
、
「影響
度、顕在化率の高い状況下でのリスク回避義務」といった責任が謳われている
(以下、経済産業省ガイドラインより抜粋。採番①②括弧の標題は筆者が要
約)
。
① (セキュリティに関する専門家としての義務)
医療機関等は医療の専門機関であって、セキュリティについての専門性は
乏しいことが十分に想定される。これに対し、対象事業者は、医療機関等
に対し専門的な医療情報システム等を提供する事業者であり、セキュリテ
ィに関する専門的な知識・経験・人材を擁しているべきである。このよう
な専門性の格差に鑑みて、対象事業者は、医療機関等に対し、委託契約又
は信義則に基づく付随義務として、医療機関等が患者に対する安全管理義
務を履行するために 必要な情報を適時適切に提供する義務を負う。
② (影響度、顕在化率の高い状況下でのリスク回避義務)
サイバー攻撃においては、インターネット経由で直接的な攻撃が可能であ
る場合や、認証を要求していない場合、既に攻撃手法が知られており被害
が発生している場合等は、顕在化率(リスクが顕在化する可能性)は高い
と考えられる。対象事業者は、影響度及び顕在化率ともに極めて高いリス
クについては、リスク回避を検討すること。
ただし、上記のいずれのガイドラインにおいても、医療機関とシステムベン
ダーの相互の責任関係については直接触れられていない。
14