企２章第⑥条
企Ｑ－１３ 医療機関等の施設外から医療情報システムにアクセスする場合
に、接続する者と医療機関等との間での責任分界において、どのよ
うな留意事項があるか。
Ａ

外部から医療情報システムにアクセスする場合に、接続者と医療機関等の
責任分界を定める場合として、以下の場面について解説します。
【施設外から自らの機関の医療情報システムにアクセスし業務を行う、いわゆ
るテレワークする場合の責任分界】
昨今、医療機関等においても、医療機関等の施設外から自らの機関の医療情
報システムにアクセスし業務を行う、いわゆるテレワークが一般的になってき
ました。
テレワークは、責任分界の観点では自組織に閉じていますが、医療情報シス
テム・サービス事業者が管理するネットワークを利用することになります。ま
た、通信回線として、公衆回線や施設内のＷｉ-Fi 等の多様なものが利用され
ることとなるため、個人情報保護について広範な対応が求められることになり
ます。
特に、医療機関等の企画管理者やシステム運用担当者でない医療機関等の職
員についても管理責任が問われることに注意を払う必要があります。
【第三者が保守を目的としてアクセスする、いわゆるリモートメンテナンス】
医療機関等の施設外から医療情報システムにアクセスする場合として、リモ
ートログインを用いた医療情報システム・サービス事業者による遠隔保守（リ
モートメンテナンス）が考えられます。この場合、適切な情報管理やアクセス
制御がなされていないと、医療情報の不正な読み取りや改ざんが行われるリス
クがあります。他方、リモートメンテナンスを全面的に禁止してしまうと、遠
隔保守が不可能となり、保守に要するコストが増大します。
したがって、保守の利便性と情報保護との兼ね合いを見極めつつ、リモート
メンテナンスを認めるかどうか整理する必要があります。
また、リモートメンテナンスの場合でも、当然、医療機関等に「通常運用に
おける責任」、
「事後責任」が存在するため、医療情報システム・サービス事業
者の報告を定期的に受け、必要な監督を行い、管理責任を果たす必要がありま
す。

26