シス１４章第⑤条、企１５章第⑥条
シＱ－5５

A

認証を伴う情報機器を通じた不正アクセスを防止するためにどの
ような対策が必要か。

まず、情報機器やソフトウェアに関しては、出荷時の初期パスワード、可能
であればＩＤも含めて変更することが求められます。そのうえで、情報機器の
ログインや情報へのアクセス時には複数の認証要素を組み合わせて用いてく
ださい。

シス１４章第⑧条
シＱ－5６ 「虚偽入力、書換え、消去及び混同を防止する」ために、はどのよ
うに、どのような対応が求められるのか。
Ａ

保存義務のある文書等の電子保存に際して、電子保存を実施する医療情報
システム安全管理責任者は、正当な手続を経ずに、あるいは過失により、電子
化した診療情報等が誤入力、書換え・消去及び混同されたりすることを防止す
る対策を講じる必要があります。また、システムで診療録等の情報の作成、書
換え、消去等の作業をする入力者（以下「入力者」という。）、記録の確定（※）
を実施する権限を有する確定者（以下「確定者」という。）は、情報の保存を
行う前に情報が正しく入力されており、過失による書換え、消去及び混同がな
いことを確認する義務があります。
※ 記録の確定とは、入力者により入力された情報に対して、確定を実施す
る権限を有する確定者によって入力の完了が確認されることや、検査、測
定機器による出力結果の取込みが完了することです。
虚偽入力、書換え、消去及び混同に関しては、入力者等の故意又は過失に起
因するものと、使用する機器、ソフトウェアに起因するものの 2 つに分ける
ことができます。
前者は、例えば、入力者が故意に診療録等の情報を改ざんする場合や、入力
ミス等の過失により誤った情報が入力されてしまう場合等が考えられます。
後者は、例えば、入力者は正しく情報を操作しているが、使用している機器
やソフトウェアの誤動作やバグ等により、入力者の入力した情報が正しくシス
テムに保存されない場合等が考えられます。
これらの虚偽入力、書換え、消去及び混同の防止は、機器やソフトウェアに
おける技術的な対策だけで防止することが困難なため、運用的な対策も含めて
防止策を検討する必要があります。

109