２．２ リスク評価を踏まえた判断
２．２．１ リスク評価を踏まえたリスク管理
【遵守事項】
①

リスク評価を踏まえ、医療情報の重要性及び医療の継続性並びに経営資源の投入及びリスク管

理対策の実施の継続可能性等を鑑みて、リスク管理方針を決定すること。
②

➢

リスク評価結果及びリスク管理方針に関する説明責任を果たすこと。

リスク管理方針は、情報・データや情報システム等の情報資産に対するリスク評価の結果を踏まえ
判断される。一般的には、リスク管理方針には、リスクの回避（リスク発生の根源となる事業や行
為を取りやめる）
、低減（リスクを低減するための対策を講じる）
、移転（発生したリスクを、保険
等により移転する）
、受容（リスクが実際に生じることを想定した上での対応を検討する）が挙げら
れる。

➢

医療機関等は公的社会インフラであり、患者のために医療サービスの提供の継続性を確保・維持す
る必要があることを踏まえると、医療機関等において選択される主なリスク管理方針は「リスクの
低減」と考えられ、継続的に、リスク評価、当該評価を踏まえたリスク管理方針の決定、当該方針
に基づくリスク管理を実施する必要がある。

➢

リスク管理方針を策定する際、医療機関等の経営の視点、人事管理の視点等を入れなければ、医療
機関等の運営継続そのものに支障をきたすことになりかねないため、注意が必要である。

➢

リスク評価とリスク管理方針の策定は、医療機関等における情報セキュリティ対策に関する説明責
任を果たすことにもつながる。
２．２．２ 情報セキュリティマネジメントシステム（ISMS：Information Security Management System）
の実践

【遵守事項】
①

リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資

産のセキュリティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。

➢ 医療機関等における PDCA（Plan-Do-Check-Act）サイクルの実施については、
「良質な医療を提供
する体制の確立を図るための医療法の一部を改正する法律の一部の施行について」（平成 19 年 3 月
30 日付け医政発第 0330010 号厚生労働省医政局長通知）において、医療の安全管理としてその重要
性が示されている。情報セキュリティに関しても、医療の安全管理と同様の考えのもと、リスク管
理方針を踏まえ、ISMS を策定して PDCA サイクルを実施することが有効であると考えられる。

- 10 -