・

医療情報システムの安全管理全般

（関連する法制度、安全管理方針の策定、責任分界、管理・監査体制、必要な規程・
文書類の整備、職員及び委託先の医療情報システム・サービス事業者の人的管理等）
・ リスクアセスメント（リスク分析・評価）とリスクマネジメント（リスク管理）
・ 情報管理（情報の持ち出し、破棄等）
・ 医療情報システムに用いる情報機器等の管理
・ 非常時（災害、サイバー攻撃、システム障害）の対応と非常時に備えた通常時から
の対策
・ サイバーセキュリティ対策
（通常時、サイバー攻撃に起因する非常時及び復旧対応時における対応を整理した計
画の整備等）
・
・

医療情報システムの利用者に関する認証等及び権限管理
法令で定められた記名・押印のための電子署名
等

④

システム運用編（Control）
主に以下の内容について、医療機関等の経営層や企画管理者の指示に基づき、医療情報
システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用
等の実務を担う担当者として適切に対応すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理における技術的対策
（端末等の情報機器、ソフトウェア、ネットワークに対する安全管理措置等）
・ システム設計・運用に必要な規程類と文書体系
・ 技術的な対応における責任分界
・ リスクアセスメントを踏まえた安全管理対策
・ 非常時（災害、サイバー攻撃、システム障害）の対応と非常時に備えた通常時から
の対策
・ サイバーセキュリティ対策
（情報機器等の脆弱性対策、バックアップの実施・管理等）
・ 医療情報システムの利用者や連携するアプリケーションの認証等及び権限管理
・ 電子署名に関する技術的対応
等
○

各医療機関等が、それぞれの特性に応じたかたちでガイドラインを遵守し、必要な安全
管理を確保できるよう、医療機関等の組織体制（専任のシステム運用担当者の有無）や稼
働している医療情報システムの構成（オンプレミス型／クラウドサービス型）、採用して
いるサービス形態（医療情報システム・サービス事業者による提供サービスの範囲）等に
応じたガイドラインの参照パターンを例示するとともに、当該パターンに応じた参照項目
を示すこととする。

3