【医療情報システムの安全管理に関するガイドラインを読み解く】「事業者任せ」はもう通用しない。改定で求められる対話と責任分界

2026年5月28日

近年、医療機関を狙うランサムウェア被害が増え、電子カルテの利用停止といった診療影響へのリスクが顕在化しています。この状況を踏まえ、「医療情報システムの安全管理に関するガイドライン」の2025年（令和7年）3月改定では、医療情報システム・サービスを取り扱う提供事業者の範囲や合意内容、リスクコミュニケーションの実効化が明確化されました。本記事では改定の要点を踏まえ、事業者任せでは難しい医療機関側の課題と、その解決策を解説します。

あわせて読みたい

2025年3月改定のポイント：「対話」と「責任分界」の厳格化

2025年3月改定では、医療機関等と提供事業者の間で「対話」を通じて前提をそろえ、「責任分界」を曖昧にしない運用がより重視されました。改定の柱は、対象事業者や合意内容の明確化、リスクコミュニケーションの実効化です。以下、改定の要点を説明します。

改定の全体像（3つの柱）

対象事業者を3類型で定義し、直接契約の有無に関わらずサプライチェーン全体を含める
合意は「共通理解」と「明示的な合意」に分け、前提のすり合わせを記録に残す重要性を明確化する
リスクコミュニケーションを契約時だけで終わらせず、提供中も継続して実効化する前提を示す

今回の改定は、単に契約条項を整える話ではなく、医療情報システム等の特性上、変化が起こり得る前提で実務的な運用まで含めた合意を目指しています。対象事業者の範囲を整理し、共通理解と明示的な合意を区別したうえで、説明と合意が継続されていく形にすることがポイントです。結果として、医療機関等と事業者の双方で「対話→合意→運用（見直しも含む）」のサイクルを成立させる設計が求められます。

対象事業者の考え方

対象事業者の3類型

医療機関等と契約等に基づき医療情報システム等を提供する事業者
直接契約がなくても必要な資源・役務を提供する事業者
患者等の指示に基づき医療情報を受領する事業者

対象事業者は、医療機関等と契約等に基づいて医療情報システム等を提供する事業者だけではありません。医療機関等と直接の契約関係がなくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者が含まれます。さらに、患者等の指示に基づいて医療機関等から医療情報を受領する事業者も対象です。

この分類に基づくと、一次請けに限らず、システム連携や運用に関わる②のような間接関与の事業者も、契約元に応じて、対応状況に関する資料提供・情報開示が必要となります。したがって、サプライチェーン全体を対象としたリスクマネジメントと制度対応が求められます。

合意内容の明確化

合意内容は、契約書等に記載される明示的な合意だけでなく、用語の定義や前提条件、責任分界などの共通理解を形成し、その共通理解を根拠として合意事項を積み上げることが要求されます。共通理解の内容は議事録やメモの形で記録し、後から参照できる状態にしておくことが重要です。

また、契約前の合意形成に加えて、契約中も必要に応じて合意の維持や再協議・見直しを行う前提も明確化されています。

責任分界の明確化

医療情報システム等の安全管理は、医療機関等と対象事業者の双方で適切な運用管理を行うことが前提です。

例えば、医療機関側の運用でパスワードの扱いが不適切であったり、アカウントの共有が行われたりしていると、対象事業者側のアクセス制御がどんなに堅牢な設計でも守りきれません。さらに購入機器等についても、保守契約がない場合は、原則として管理責任は医療機関側にあるとされますが、インシデント発生時には責任範囲を巡ったトラブルに発展しがちです。

医療機関等の運用管理も踏まえた役割分担を定めたうえで、文書化して運用に落としこむといった責任分界の明確化が理想的です。

リスクコミュニケーションの実効化

リスクコミュニケーションとは、説明義務の履行と共通理解の形成を目的に、必要な情報を文書化して提供し、役割分担や受容したリスクの内容等について合意形成につなげる考え方です。

特に、約款契約のように個別調整が難しい形態では、サービス内容やリスクをより丁寧で分かりやすく示すことが求められます。リスク判断に必要な基礎資料としてMDS/SDS^※等の提供、主要なセキュリティ事項に関するチェック結果の提示、約款契約におけるリスクの表示など、合意に至るための具体策が例示されています。契約後も、さまざまな脅威やリスクが起こり得る前提で、情報提供や見直しも含めたコミュニケーションを継続することが望ましいです。

※MDS/SDS：医療情報システムのセキュリティ開示書

医療機関側の課題：「評価・判断・合意」が難しい

今回の改定により、「対話」と「責任分界」を運用に落とす重要性が高まると同時に、医療機関側にも評価・判断・合意の実務負担が増えます。ここでは、改定後に医療機関側が留意しておくべき課題について詳しく解説します。

専門資料の評価負担

合意形成に必要な情報は、システムの仕様や運用条件、セキュリティ対策、インシデント対応など多岐にわたるため、内容の読み解きと確認に多くの時間を要します。MDS/SDSやサービス仕様適合開示書、SLA^※※といった資料が提示されても、要点抽出と自院への当てはめ（何が前提か、どこが対象外か、などの判断）は容易ではありません。内容の妥当性と前提条件を確認し、合意事項として文書に残す負担が出てくることも考慮しておく必要があります。

※※SLA：サービス提供事業者と利用者の間で結ばれる、サービス品質を保証した文書

共通した判断軸の不在

提示資料を読み解く際、院内で共通した判断軸（優先順位、許容できるリスク、院内運用で補う範囲など）がなければ、内容を適切かつスムーズに評価していくのは困難です。加えて、「共通理解」と「明示的な合意」を分けて整理する必要があるため、前提のすり合わせ項目も増えます。資料の理解・確認から先へ議論が進展するのが遅ければ、責任分界や受容リスクの合意・文書化まで想定以上の時間がかかってしまうでしょう。

責任分界で曖昧になりやすい項目

安全管理は事業者と医療機関等の双方での適切な運用管理が前提となります。したがって、責任範囲の境界を曖昧なままにしないよう注意が必要です。前述したように、システム側のアクセス制御が正常に機能していても医療機関側の運用（パスワードの扱い等）が不適切で被害が起こった場合や、保守契約が結ばれていない購入機器にトラブルが発生した場合など、責任の所在をどうするかが課題になるケースがあります。

現場で増える確認事項

厚生労働省は、医療機関が優先的に取り組むべき事項をまとめた「令和7年度版医療機関におけるサイバーセキュリティ対策チェックリスト」と、その確認方法を解説するマニュアルを公表しています。主なチェック項目は、サーバ・端末PC・ネットワーク機器の台帳管理、セキュリティパッチの適用、二要素認証、アクセスログの管理などです。

また、リモートメンテナンス（保守）利用機器の有無を事業者に確認することや、医療情報セキュリティ開示書（MDS/SDS）の提出依頼など、委託先との対話と責任分界に直結する項目も含まれています。

各項目に「いいえ」を付けた場合は、令和7年度中での対応目標日を記入する形になっており、単なる点検で終わらせずに、院内の規程や手順に落とし込んで継続的に運用することを想定しています。

事業者任せを避けるための解決策

改定では、提供事業者側にリスクへの対応計画の策定や、安全管理義務を果たすために合意形成した内容の文書化、定められた運用管理規程の整備が求められています。医療機関側もすべてを事業者任せにせず、改定の要点を理解し、院内基準と整合する形での合意形成と運用を目指すことが重要です。

論点整理と合意の更新・見直し

問い合わせ窓口や文書管理、事故時の対応と報告、外部保管に関する説明方法など、合意すべき論点を整理します。合意事項は運用管理規程等から参照できる形にして更新・見直しの対象にするとよいでしょう。契約締結後も情報の流れや脅威の変化を前提に、リスクの見直しと合意内容の更新を継続します。

現場で回すための運用設計と第三者支援の有効性

現場で回すために、「設定」だけでなく、機器・記憶媒体・接続・搬送などまで含めて可視化し、対策対象を明確にします。可視化した内容を、台帳管理やパッチ適用、二要素認証、ログ管理、外部記憶媒体の制限、リモートメンテナンスの有無確認、MDS/SDS確認などの確認事項に落としこみ、委託先との対話と責任分界に接続して運用します。

ガイドラインでは対象事業者側の体制と文書整備を求めていますが、医療機関側が任せきりにすると院内運用の抜けが残り、後々のトラブルにつながるおそれがあります。不安がある医療機関には、サイバーとフィジカルを一体で捉える第三者支援が有効です。