を組み込んだシステムにおいても、事業者はシステム全般のセキュリテ
ィリスクについて、医療機関に明確に説明し、合意した責任分界点の範囲
において責任を負うこと。
・ 事業者は、合意に基づき、脆弱性などのセキュリティリスク発生時には
速やかに医療機関に状況や対応方法等の情報提供を行うなどの善管注意
義務を適切に履行すること。
・ オンライン診療システム等が医療情報システムに影響を及ぼし得るか
を明らかにすること。（＊）
・ 医療情報システム以外のシステム（端末・サーバー等）における診療に
かかる患者個人に関するデータの蓄積・残存の禁止（＊）
（２－２）に該
当する場合を除く。）。
・ システムの運用保守を行う医療機関の職員や事業者、クラウドサービス
事業者のアクセス権限を管理すること（ID/パスワードや生体認証、IC カ
ード等により多要素認証を実施することが望ましい。またシステム運用
監督者は退職者アカウントの削除など管理外になりやすい要素を重点的
に監視すること。）。（＊）
・ 不正アクセス防止措置を講じること（IDS/IPS を設置する等）。（＊）
・ 不正アクセスやなりすましを防止するとともに、患者が医師の本人確認
を行えるように、
「１－１）基本事項」における医師の本人証明と医師の
所属医療機関の確認が常に可能な機能を備えること。（＊）
・ アクセスログの保全措置（ログ監査・監視を実施することが望ましい。）。
（＊）
・ 端末へのウィルス対策ソフトの導入、OS・ソフトウェアのアップデート
を定期的に促す機能。（＊）
・ 信頼性の高い機関によって発行されたサーバー証明書を用いて、通信の
暗号化（TLS1.2 以上）を実施すること。（＊）
・ オンライン診療時に、複数の患者が同一の施設からネットワークに継続
的に接続する場合には、IP-VPN や IPsec＋IKE による接続を行うことが望
ましいこと。（＊）
・ 遠隔モニタリング等で蓄積された医療情報については、
「医療情報安全
管理関連ガイドライン」に基づいて、安全に取り扱えるシステムを確立す
ること。（＊）
・ 使用するドメインの不適切な移管や再利用が行われないように留意す
ること。
２－２）医療情報システムに影響を及ぼす可能性があるシステムの場合
オンライン診療システムが、医療情報システムを扱う端末で使用され、オ
28