よむ、つかう、まなぶ。
提出された意見一覧及び意見に対する両省の考え方 (1 ページ)
出典
公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)に対する意見と考え方
●意見募集期間:令和5年4月19日(水)~同年5月18日(木)
●提出意見総数:15件(個人 13件、法人・団体 2件)
※提出意見数は、意見提出者数としています。
No.
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
1 個人
個人
01全般
0
全般
PDF形式なので閲覧しやすいように、ガイドラインとFAQともに、目次からのページへのリンク設定をして ご意見を踏まえて、ガイドライン及びFAQについて、目次から各ページへのリンクを作
いただきたい。
成しました。
2 個人
個人
02GL
13
3.1.1
「善管注意義務」は法律用語として一般的であり、また、本ガイドラインでは通常の用
善管注意義務については、もともと曖昧な言葉であることから脚注で良いので正式名称または本文書での
法で用いているため、改めて定義等を示す必要はないものと考えますが、頂いたご意見
定義を示すべきである。
は今後の検討にあたっての参考とさせていただきます。
5.1.6
「5.1.1.リスク特定」の「表5-1 医療情報システム等提供上の代表的な脅威」として
「機器や記憶媒体の持ち出し時の紛失・盗難」を挙げており、改めてご指摘の文言・文
また、個人情報を格納する記憶媒体の管理方法では、昨今地方公共団体でインシデントが現に発生してい 意を追加する必要は無いものと考えますが、頂いたご意見は今後の検討にあたっての参
ることから「敷地外への持ち出し禁止」の文言・文意を追加すべきである。
考とさせていただきます。
なお、個人情報を格納する記憶媒体の管理に当たっては、こうしたリスクを踏まえて運
用管理規程が作成されるべきと考えます。
1.1
FAQ1.1には
製品の納入をもってその後の保守管理もなく売買契約が完了した場合は、本ガイドラインの対象範囲外、
また、製品保証としてセキュリティパッチの提供等のみを行っている事業者は、本ガイドラインの対象範 保守契約を締結している場合は、本ガイドラインの対象となります。
囲外とありますが、保守契約を締結するなどしてセキュリティパッチの提供等を行う事業者は本ガイドラ
インの対象となるのでしょうか?
4.2
FAQ案の「4.2 プライバシーマーク認定/ISMS認証の取得と本ガイドラインとの関係の考え方は?」に「適
格性を示すことができる場合」とありますが、適格性を示すには何が必要でしょうか。
プライバシーマーク認定やISMS認証は、医療情報に限らず、個人情報の取扱いに関し、
認定基準や適用範囲が同等であれば適格性があると考えられるでしょうか。
適切な体制を整備していることを示すものです。今般の改訂で、同等の第三者認証等と
例えば、一般財団法人 日本品質保証機構によるJIS Q 15001 認証サービスは、プライバシーマーク認証 して「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(令和 3
と同様の認定基準(JIS Q 15001)ですが、プライバシーマークが法人単位で取得するのに対し、任意の 年 3 月 30 日各府省情報化統括責任者(CIO)連絡会議決定)で示されている「クラウ
単位で取得可能となっているため、組織全体を適用範囲としている場合には適格性があると考えられない ドセキュリティ認証等」を追加しましたが、現時点ではこれ以外の認証等は同等のもの
として認めておりません。同等の第三者認証等については、頂いたご意見も参考としつ
でしょうか。
つ、必要に応じて見直しを行ってまいります。
一般財団法人 日本品質保証機構 JIS Q 15001(個人情報保護)
https://www.jqa.jp/service_list/management/service/jisq15001/
3 個人
4 個人
5 個人
個人
個人
個人
02GL
FAQ
FAQ
38
1
6
「4.4. 第三者認証等の取得に係る要件」に「プライバシーマーク認定やISMS認証と同等の第三者認証等
(表4-1参照)を示すことができる場合」と記載がありますが、プライバシーマーク認定にも同等の第三
者認証があり、それを示すことができる場合、これに代えることはできないでしょうか。
6 個人
個人
02GL
24
4.4
例えば、一般財団法人 日本品質保証機構によるJIS Q 15001 認証サービスは、プライバシーマーク認証
同上
と同様の認定基準(JIS Q 15001)ですが、プライバシーマークが法人単位で取得するのに対し、任意の
単位で取得可能となっているため、組織全体を適用範囲としている場合には同等であると考えられます。
一般財団法人 日本品質保証機構 JIS Q 15001(個人情報保護)
https://www.jqa.jp/service_list/management/service/jisq15001/
厚生労働省「医療情報システムの安全管理に関するガイドライン第6版」との平仄合わせを目的とした
アップデートという観点から、半田町立病院のレポートを参照する立て付けは、今後の医療情報システム
事業者/医療機関とのリスクコミュニケーションを促進する上でも、非常に良いと思います。
ただ、他の方もパブコメ提示していると思いますが、今回大きく見直しが行われた範囲について、寡聞な
がら、官公庁が一定の法的拘束力を持って公表するガイドラインで、【コラム】という章(5.1.6 リスク
コミュニケーション / p35)における作文が存在することにはさすがに驚きました。
7 医療 ISAC
団体
02GL
35
5.1.6
そのため、p35の【コラム】とはガイドラインにおいてどのような位置づけを示すのか、明記していただ
本項目は、「本ガイドラインに具体例が少なくわかりにくい」という事業者の皆様のご
きたい。
意見を受けまして、リスクコミュニケーションが不足した例として、「徳島県つるぎ町
立半田病院」の事例を挙げることで、事業者の皆様にわかりやすくお示しすることを目
単なる「検討委員の茶飲み話」の位置付けで、「ああなんかいっているな」程度に事業者は受け取ればい
的としております。
いのでしょうか?それとも、ガイドラインの中にある以上、何らかの拘束力のある内容なのでしょう
か??
忌憚なく言わせていただくと、もう少し、医療分野におけるセキュリティガイドラインの内容・構成の重
要性・インパクトを真面目に考えていただきたいです。
本来的には、<リスクコミュニケーションの不備例>という記載をすべきではないでしょうか?いずれに
せよ、【コラム】とは一体どのような意図で記載しているのか、まずその背景・認識を教えていただきた
いです。経産省・総務省の認識として、半田病院の事案は【コラム】レベルでお茶のみトーク感覚で扱わ
れるものでしかないという認識であれば、その旨を明示すべきと思います。その認識に国内の事業者は従
いますので。
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ(案)に対
する意見となります。
8 個人
個人
FAQ
1
1.2
P1 注釈
一読して分かり難いので、下記のように注釈を分けてはどうでしょうか
(修正前)1 ここにいう「PHR」は、「生涯にわたる個人の保健医療情報(健診(検診)情報、予防接
種歴、薬剤情報、検査結果等診療関連情報及び個人が自ら日々測定するバイタル等)」(総務省、厚生労 参考意見として承りました。
働省、経済産業省「民間 PHR 事業者による健診等情報の取扱いに関する基本的指針」(令和3年4
月))をいいます。
(修正後)1 ここにいう「PHR」は、「生涯にわたる個人の保健医療情報(健診(検診)情報、予防接
種歴、薬剤情報、検査結果等診療関連情報及び個人が自ら日々測定するバイタル等)」2 をいいます。
2 総務省、厚生労働省、経済産業省「民間 PHR 事業者による健診等情報の取扱いに関する
基本的指針」(令和3年4 月)
修正案
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)に対する意見と考え方
●意見募集期間:令和5年4月19日(水)~同年5月18日(木)
●提出意見総数:15件(個人 13件、法人・団体 2件)
※提出意見数は、意見提出者数としています。
No.
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
1 個人
個人
01全般
0
全般
PDF形式なので閲覧しやすいように、ガイドラインとFAQともに、目次からのページへのリンク設定をして ご意見を踏まえて、ガイドライン及びFAQについて、目次から各ページへのリンクを作
いただきたい。
成しました。
2 個人
個人
02GL
13
3.1.1
「善管注意義務」は法律用語として一般的であり、また、本ガイドラインでは通常の用
善管注意義務については、もともと曖昧な言葉であることから脚注で良いので正式名称または本文書での
法で用いているため、改めて定義等を示す必要はないものと考えますが、頂いたご意見
定義を示すべきである。
は今後の検討にあたっての参考とさせていただきます。
5.1.6
「5.1.1.リスク特定」の「表5-1 医療情報システム等提供上の代表的な脅威」として
「機器や記憶媒体の持ち出し時の紛失・盗難」を挙げており、改めてご指摘の文言・文
また、個人情報を格納する記憶媒体の管理方法では、昨今地方公共団体でインシデントが現に発生してい 意を追加する必要は無いものと考えますが、頂いたご意見は今後の検討にあたっての参
ることから「敷地外への持ち出し禁止」の文言・文意を追加すべきである。
考とさせていただきます。
なお、個人情報を格納する記憶媒体の管理に当たっては、こうしたリスクを踏まえて運
用管理規程が作成されるべきと考えます。
1.1
FAQ1.1には
製品の納入をもってその後の保守管理もなく売買契約が完了した場合は、本ガイドラインの対象範囲外、
また、製品保証としてセキュリティパッチの提供等のみを行っている事業者は、本ガイドラインの対象範 保守契約を締結している場合は、本ガイドラインの対象となります。
囲外とありますが、保守契約を締結するなどしてセキュリティパッチの提供等を行う事業者は本ガイドラ
インの対象となるのでしょうか?
4.2
FAQ案の「4.2 プライバシーマーク認定/ISMS認証の取得と本ガイドラインとの関係の考え方は?」に「適
格性を示すことができる場合」とありますが、適格性を示すには何が必要でしょうか。
プライバシーマーク認定やISMS認証は、医療情報に限らず、個人情報の取扱いに関し、
認定基準や適用範囲が同等であれば適格性があると考えられるでしょうか。
適切な体制を整備していることを示すものです。今般の改訂で、同等の第三者認証等と
例えば、一般財団法人 日本品質保証機構によるJIS Q 15001 認証サービスは、プライバシーマーク認証 して「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(令和 3
と同様の認定基準(JIS Q 15001)ですが、プライバシーマークが法人単位で取得するのに対し、任意の 年 3 月 30 日各府省情報化統括責任者(CIO)連絡会議決定)で示されている「クラウ
単位で取得可能となっているため、組織全体を適用範囲としている場合には適格性があると考えられない ドセキュリティ認証等」を追加しましたが、現時点ではこれ以外の認証等は同等のもの
として認めておりません。同等の第三者認証等については、頂いたご意見も参考としつ
でしょうか。
つ、必要に応じて見直しを行ってまいります。
一般財団法人 日本品質保証機構 JIS Q 15001(個人情報保護)
https://www.jqa.jp/service_list/management/service/jisq15001/
3 個人
4 個人
5 個人
個人
個人
個人
02GL
FAQ
FAQ
38
1
6
「4.4. 第三者認証等の取得に係る要件」に「プライバシーマーク認定やISMS認証と同等の第三者認証等
(表4-1参照)を示すことができる場合」と記載がありますが、プライバシーマーク認定にも同等の第三
者認証があり、それを示すことができる場合、これに代えることはできないでしょうか。
6 個人
個人
02GL
24
4.4
例えば、一般財団法人 日本品質保証機構によるJIS Q 15001 認証サービスは、プライバシーマーク認証
同上
と同様の認定基準(JIS Q 15001)ですが、プライバシーマークが法人単位で取得するのに対し、任意の
単位で取得可能となっているため、組織全体を適用範囲としている場合には同等であると考えられます。
一般財団法人 日本品質保証機構 JIS Q 15001(個人情報保護)
https://www.jqa.jp/service_list/management/service/jisq15001/
厚生労働省「医療情報システムの安全管理に関するガイドライン第6版」との平仄合わせを目的とした
アップデートという観点から、半田町立病院のレポートを参照する立て付けは、今後の医療情報システム
事業者/医療機関とのリスクコミュニケーションを促進する上でも、非常に良いと思います。
ただ、他の方もパブコメ提示していると思いますが、今回大きく見直しが行われた範囲について、寡聞な
がら、官公庁が一定の法的拘束力を持って公表するガイドラインで、【コラム】という章(5.1.6 リスク
コミュニケーション / p35)における作文が存在することにはさすがに驚きました。
7 医療 ISAC
団体
02GL
35
5.1.6
そのため、p35の【コラム】とはガイドラインにおいてどのような位置づけを示すのか、明記していただ
本項目は、「本ガイドラインに具体例が少なくわかりにくい」という事業者の皆様のご
きたい。
意見を受けまして、リスクコミュニケーションが不足した例として、「徳島県つるぎ町
立半田病院」の事例を挙げることで、事業者の皆様にわかりやすくお示しすることを目
単なる「検討委員の茶飲み話」の位置付けで、「ああなんかいっているな」程度に事業者は受け取ればい
的としております。
いのでしょうか?それとも、ガイドラインの中にある以上、何らかの拘束力のある内容なのでしょう
か??
忌憚なく言わせていただくと、もう少し、医療分野におけるセキュリティガイドラインの内容・構成の重
要性・インパクトを真面目に考えていただきたいです。
本来的には、<リスクコミュニケーションの不備例>という記載をすべきではないでしょうか?いずれに
せよ、【コラム】とは一体どのような意図で記載しているのか、まずその背景・認識を教えていただきた
いです。経産省・総務省の認識として、半田病院の事案は【コラム】レベルでお茶のみトーク感覚で扱わ
れるものでしかないという認識であれば、その旨を明示すべきと思います。その認識に国内の事業者は従
いますので。
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ(案)に対
する意見となります。
8 個人
個人
FAQ
1
1.2
P1 注釈
一読して分かり難いので、下記のように注釈を分けてはどうでしょうか
(修正前)1 ここにいう「PHR」は、「生涯にわたる個人の保健医療情報(健診(検診)情報、予防接
種歴、薬剤情報、検査結果等診療関連情報及び個人が自ら日々測定するバイタル等)」(総務省、厚生労 参考意見として承りました。
働省、経済産業省「民間 PHR 事業者による健診等情報の取扱いに関する基本的指針」(令和3年4
月))をいいます。
(修正後)1 ここにいう「PHR」は、「生涯にわたる個人の保健医療情報(健診(検診)情報、予防接
種歴、薬剤情報、検査結果等診療関連情報及び個人が自ら日々測定するバイタル等)」2 をいいます。
2 総務省、厚生労働省、経済産業省「民間 PHR 事業者による健診等情報の取扱いに関する
基本的指針」(令和3年4 月)
修正案