【はじめに】
＜経営管理編が想定する読者＞
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層に認識して
いただく考え方や関連法制度等を示している。具体的には、経営層として遵守・判断すべき事項や、企
画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示している。
＜医療機関等における情報セキュリティ＞
紙やフイルムの媒体だけでなく、電磁的記録媒体や情報通信機器、情報通信環境を用いて電子的に医
療情報を取り扱う医療情報システムの利用が進んでいる中、サイバー攻撃の脅威も近年増大している。
その攻撃手法は日々高度化、巧妙化しており、対策が十分に行われていなかったことで、医療機関等の
経営や地域医療の安全性に直接影響が生じる事案も生じている。また、サイバー攻撃の被害が一医療機
関等内で止まることなく、直接的にサイバー攻撃を受けた医療機関等を踏み台にし、他の医療機関等に
も被害が拡大するなど、一医療機関等に限定されない重大な影響を及ぼす危険性も生じている。
情報セキュリティインシデントが起きた場合、医療の提供が停止し、患者の生命・身体に影響を与え
る可能性が生じることはもちろん、安全管理上のリスクに対する対応の是非、さらには経営責任や法的
責任が問われる可能性がある。その結果、行政処分の対象となったり、民事上の賠償責任などを負った
りする可能性があるほか、医療機関等の公共社会インフラとしての役割からの謝罪を求められたり、イ
ンシデントによる被害拡大の防止を図るための初動対応やインシデントからの復旧に多大な費用の捻
出を余儀なくされるなど、医療機関等の経営や運営に大きな影響を及ぼすことも想定される。
安全管理対策は、事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、
医療情報を高度に活用して、質の高い医療の提供や個人の健康の維持増進の前提にもなる。安全管理対
策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉えることも重
要である。
本ガイドラインの「経営管理編」では、このような医療機関等の経営管理の観点から求められる医療
情報システムの安全管理についての遵守事項やその考え方を示す。
医療機関等の経営層においては、本編を閲読し、理解した上で、必要な措置を講じることが求められ
る。

-1-