２．リスク評価を踏まえた管理
２．１ 医療情報システムにおけるリスク評価の実施
【遵守事項】
①

取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を策定し、リスク管理方針（リ

スクの回避・低減・移転・受容）を決定すること。
②

リスク分析を踏まえたリスク管理が必要な場面の整理や、対策として求められる体制やルール

等の企画や整備、管理について、企画管理者に指示すること。
③

経営層の方針やリスク分析を踏まえ、具体的にシステム面からの最適なリスク管理措置を検討

し、実装、運用するよう、企画管理者に指示すること。

➢

医療情報システムは機微性の高い個人情報を取り扱い、かつ、効率的かつ正確に医療を提供するた
めにも有用であるので、リスクを回避・低減するためには高度な水準の安全管理対策が求められる。

➢

リスク分析・評価は、医療機関等が医療情報システムを利用する上でのリスク管理の方針を決める
基礎となるほか、医療機関等の特性や事情を加味して、実施可能な対策を選定するための資料にも
なる。

➢

医療機関等が医療情報システムに関する各リスクに対してどのようなリスク管理方針(リスクの回
避・低減・移転・受容)を決定し、対策を講じるのかの判断を行う際には、
・医療機関等に求められる医療の提供の維持・継続等するために、どの程度の経営資源を投入し、
どのような対策を講じるか、
・各リスクに対して、選定したリスク管理方針に基づき、残存するリスクにどのような対策を講じ
るか（例えば、稼働率を 100％に限りなく近づけることが厳しい医療情報システムの場合には、
一部紙媒体等での代替方策で診療等を継続できるようにする等）
を判断することが求められる。

➢

リスク管理方針を検討するに際、情報セキュリティの３要素である「機密性(Confidentiality)」、
「完
全性（Integrity）
」
、
「可用性（Availability）
」のバランスを考慮することも重要である。

➢

企画管理者は、リスク分析を踏まえてリスク管理が必要な場面の整理や、対策を進める体制やルー
ル等の整備、管理を実施する。

➢

システム運用担当者は、企画管理者のもと、リスク管理方針やリスク評価を踏まえ、具体的なシス
テム面からの最適なリスク管理措置を検討、実装、運用する。

-9-