＜管理責任＞
➢

管理責任とは、医療情報システムの管理や運用を医療機関等が適切に行う責任であり、システムの
形態や構成に関わらず、当該システムを利用する限りにおいて医療機関等で負う責任である。

➢

個人情報の保護に関する法律（平成 15 年法律第 57 号。以下「個人情報保護法」という。
）第 23 条
において、
「個人情報取扱事業者は、その取り扱う個人データの漏洩、滅失又は毀損の防止その他の
個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定されており、
医療機関等はこの規定に従い、必要な措置を講ずる必要がある。

➢

定期的に管理状況に関する報告を受け、管理実態や責任の所在が明確になるよう、監督を実施する
必要がある。

＜定期的な見直し、必要に応じた改善を行う責任＞
➢

情報システムの安全管理に関する技術や手法は日進月歩であり、安全管理体制が陳腐化するおそれ
があるため、安全管理の仕組みの改善を常に心がけ、評価・検討を定期的に行う責任がある。特に
日々高度化、巧妙化するサイバー攻撃への対応を考えると、医療情報システムの安全管理を確保す
るためには、安全管理体制について随時必要な見直しが求められる。

➢

医療情報システムの管理に関する状況を定期的に検証し、問題や課題を洗い出し、必要な対策を講
じて、管理方法や体制を改善することが求められる。

➢

医療機関等のみで最新の技術動向を随時把握することが難しい場合は、システム関連事業者に技術
動向や管理手法等に関する情報提供を依頼する等により、安全管理の改善に必要な情報を収集する
ことも考えられる。
１．２．２ 非常時における責任

【遵守事項】
＜説明責任＞
①

情報セキュリティインシデントが生じた場合、その原因や対策等について患者、関係機関等に

説明する体制を速やかに構築すること。
＜善後策を講ずる責任＞
①

情報セキュリティインシデントが生じた場合、医療機関等内、システム関連事業者及び外部関

係機関と協働して、インシデントの原因を究明し、インシデントの発生や経緯等を整理すること。
②

情報セキュリティインシデントが生じた場合、その原因を踏まえた再発防止策を講じること。

③

①②の対応を可能とするため、通常時から非常時を想定し、システム関連事業者や外部関係機

関と協働関係を構築するとともに、再発防止策を検討できるよう、通常時から非常時を想定した
体制や措置を講じておくこと。

-5-