１３．医療情報システムの利用者に関する認証等及び権限
【遵守事項】
①

リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権限に関す

る規程を整備し、管理すること。
②

医療情報システムで利用する認証方法が安全なものとなるよう、担当者に対して、リスク評

価に基づいて適切な方法を採用することを指示し、その報告を受けること。
③

医療機関等の内部における利用者については、医療機関等に所属することが前提となるよう

管理すること。所属に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対
して、人事等の情報と整合性をとって利用者の ID 等を付与する等の必要な手順を作成するよう
指示すること。
④

医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じたものと

なっていることが前提となるよう管理すること。資格や権限に関する実態を認証の仕組みにお
いて適切に反映できるよう、担当者に対して、利用者が所属する部署等からの申請を踏まえて
権限を付与し、その結果について申請部署の管理者から確認を得る等の必要な手順を作成する
よう指示すること。
⑤

医療機関等の外部の利用者について、医療情報システムの利用におけるアクセス権限とアク

セス状況を管理すること。医療情報システムの利用用途とアクセス範囲、アクセス権限等をリ
スク評価に基づいて整理した上で、その内容に応じて ID やアクセス権限を付与すること。その
具体的な手順については、担当者に作成を指示すること。
⑥

医療情報システムの管理権限や、医療情報システム、情報機器等で用いる ID 等の安全管理を

行うこと。管理権限については、担当者に対して、医療情報システムにおいて利用される管理
権限の種類とその ID、利用が認められている者等を管理して一覧化するよう指示すること。シ
ステム等で用いる ID 等については、担当者に安全性の確認を指示し、必要に応じて認証に関す
る情報の変更等を指示すること。
⑦

医療情報システムで利用する ID 等についての棚卸を定期的に行い、不要なものについては削

除すること。棚卸については、担当者に具体的な手順等の策定を指示すること。また、棚卸結
果を経営層に報告し、承認を得ること。
⑧

電子カルテにおける記録の確定に関して、以下の事項を規程等に含めること。

－

入力者及び確定者の識別・認証

－

記録の確定手順、識別情報の記録の保存

－

更新履歴の保存

－

代行入力を実施する場合、代行入力を認める業務、代行が許可される依頼者と実施者

- 47 -