おいて、委託する内容や非常時も含めた役割分担、責任の所在を明確にして、委託先事業者との間で適
切な協働体制を構築する必要があります。
双方の役割を分担し、責任の所在を明確にする、いわゆる責任分界には、
・法律上の責任の範囲を明確にする。
・具体的な運用及び対応の範囲を明確にする。
等の設定効果が期待されますので、システム関連事業者との間で認識の齟齬等が生じないよう、詳細に
確認をし、書面等により可視化して、適切な契約等の取決めを実施することが重要です。

３．１．４ 第三者提供における責任
医療機関等が外部の第三者に医療情報を提供する場合、医療機関等は、個人情報保護法や「医療・介
護関係事業者における個人情報の適切な取扱いのためのガイダンス」に留意し、安全に医療情報を提供
する責任を負っています。
医療機関等は、医療情報を提供する先の第三者との間で、それぞれが負う責任の範囲をあらかじめ明
確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理することが必要です。

３．２ リスク評価を踏まえた管理
医療機関等は、医療情報システムの安全管理対策を講じるために、リスク分析・評価を実施し、リス
ク管理方針（リスクの回避・低減・移転・受容）を決定することが必要です。

３．２．１ リスク分析・評価
リスク分析・評価、いわゆるリスクアセスメントを実施するには、専門的な知見などが求められるこ
とがあるため、医療情報システム・サービス事業者に対して、例えば、総務省・経済産業省が定めてい
る「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」におけ
る「サービス仕様適合開示書」や日本画像医療システム工業会（JIRA）の工業会規格（JESRA：Japanese
Engineering Standards of Radiological Apparatus）及び保健医療福祉情報システム工業会（JAHIS）の
JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」で
示されているチェックリスト等を参考に、資料や情報の提供を依頼し、協働してリスクアセスメントを
実施するようシステム関連事業者へ相談することは有意義です。
なお、リスクアセスメントを行うに当たっては、下記の資料等が参考になります。
「中小企業の情報セキュリティ対策ガイドライン」（独立行政法人情報処理推進機構：IPA）
https://www.ipa.go.jp/security/keihatsu/sme/guideline/
ならびに、上記の付録
「付録 3：5 分でできる！情報セキュリティ自社診断」
「付録 7：リスク分析シート」
-6-