よむ、つかう、まなぶ。
提出された意見一覧及び意見に対する両省の考え方 (4 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
No.
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
修正案
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイ
ドライン第 1.1 版(案)」 6ページ目の注釈11に、「患者等から直接医療情報を受領する事業者は、本
ガイドラインにおける対象事業者にはあたらない。」とあります。
28 個人
個人
02GL
6
2.1
29 個人
個人
02GL
24
4.3
4.4
30 個人
個人
FAQ
1
1.2
本ガイドラインが対象とする同ページ内2.1で定義され解説されている医療情報は、健康診断、遺伝子検
今後の検討にあたっての参考とさせていただきます。
査結果、診療情報等を含む要配慮個人情報でもあり、医療DXなども見据えると、医療情報を扱う事業者に
おける適切な管理が必要な情報です。
そのため、医療機関等又は患者等、医療情報の提供元によらず、医療情報を扱う事業者は本ガイドライン
の対象としたほうがよいと思います。
<項番1>
「4.4.提供事業者の体制の適格性を評価する第三者認証等の 「4.4.対象事業者の適格性を評価する第三者認証等の取得に
<対象文書>ガイドライン1.1 本文
取得に係る要件」
係る要件」
4.3は医療情報システム等の安全管理に係る評価を確実に行うことを求めており、その
<該当箇所>P24の4.3および4.4
1つとして第三者認証で明示することを求めているものが4.4です。4.4も体制の問題だ
<意見内容>それぞれのタイトルを以下のように追加・修正する。
けではなく、適格性の第三者認証という趣旨になります。そのため、4.3については原
4.3 医療情報システムの安全管理水準に係る評価
案通りとさせていただき、4.4については、「対象事業者の適格性を評価する第三者認
4.4 提供事業者の体制の適格性を評価する第三者認証等の取得に係る要件
証の取得に係る要件」に修正いたしました。
<理由>本文のP24の4.4の主旨や注26の主旨やFAQのP5の4.2の説明の主旨を反映して、2つの
評価を明確に区別して理解できるようにする為。
<項番2>
<対象文書>FAQ
<該当箇所>P2 「2.医療情報システム等の提供形態」の前
<意見内容>PHRに関する文章を以下に置き換える。(現在のPHRに関する説明は削除する)
PHR事業者についても、患者等の指示に基づいて、医療機関等から送付された医療情報 を受け取る場合に
は、本ガイドラインの対象となります。
受け取ったデータを、既に他の PHRが格納されている PHRサービスに取り込む場合、全体として本ガイド
ラインの対象 となります。
「医療機関等から送付された医療情報」ではなく、「医療機関等から患者等に送付さ れた医療情報」に
該当する場合(注1)は本ガイドラインの対象とはなりません。
また、健診等情報(注2)を取り扱うPHRサービスを提供する事業者が遵守すべき事項を示すものとし
て、
「民間 PHR 事業者による健診等情報の取扱いに関する基本的指針」(令和3年4月)(総務省、厚生労働
省、経済産業省)があります。
(注1)例えば、医療機関等から患者等に対して、医 療情報を閲覧するための URL や QR コードの提供 今後の検討にあたっての参考とさせていただきます。
を受け、患者等がその内容を自ら
PHRサービスに登録する場合などは、「医療機関等から患者等に送付された医療情報」に該当するため、
そのような PHRサービスは本ガイドラインの対象とはなりません。
(注2)健診等情報は以下の情報を対象としている。
・個人がマイナポータルAPI 等を活用して入手可能な健康診断等の情報
・医療機関等から個人に提供され、個人が自ら入力する情報
・個人が自ら測定又は記録を行うものであって、医療機関等に提供する情報
31 個人
個人
02GL
22
4.1
32 個人
個人
02GL
22
4.1
33 個人
個人
02GL
22
4.1
<理由>
3省のPHR指針は健診等情報に対するものなので、注1)の説明を有効とすると狭い範囲のPHRになっ
てしまう。
PHRに関するこれまでのガイドラインを整理した。さらに今後、「電子版お薬手帳ガイドライン」との整
理が必要になると思います。
コメント1
表4-1は「情報提供すべき項目」なのに「?機器等が、国内法の適用を受けることを確保すること」とい
う要求事項的な表現なのはおかしい。
「?機器等に対する、国内法の適用状況」などが正しい。
コメント2
表4-1は「情報提供すべき項目」なのに「プライバシーマーク認定又はISMS認証を取得していること」と
いう要求事項的な表現なのはおかしい。
「プライバシーマーク認定又はISMS認証の取得状況」などが正しい。
「保存された情報を格納する情報機器等が、国内法の適用を受けることを確保するこ
と」は要求事項であることから、原案通りとさせていただきます。
プライバシーマーク認定又はISMS認証の取得は要求事項であることから、原案通りとさ
せていただきます。
コメント3
表4-1では
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証
等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無」
としてISMAP等が挙げられていますが、
実際に「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針 2022年(令和4年)
令和5年5月に公表された、「医療情報システムの安全管理に関するガイドライン」第
12月28日」を見ると4.1の1)にて
6.0版においては、ISO/SEC27017についての記載がないことから、原案通りとさせてい
(1)ISO?27017による認証?
ただきます。
(2)JINSA?CSゴールドマーク
(3)?FedRAMP
が挙げられており、第1.1版(案)では「(1)ISO?27017による認証?」が抜けているようです、追記をお
願いします。
なお厚生労働省も「「医療情報システムの安全管理に関するガイドライン 5.1版」に関するQ&A」
のQ-64にて、JISQ27017の認証などの認証を挙げています。
コメント4
4.4章にてプライバシーマーク又はISMS認証が求められており、また表4-1でも認証取得状況に関する情報
提供が求められています。
34 個人
個人
02GL
24
4.4
しかしISMS認証を取得するには、マネジメント体制を構築し更に内部監査などを経る必要があり、マネジ
メント体制構築後数か月(3か月、4か月、6か月など諸説あり)掛かるとされています。
ISMS認証やプライバシーマーク、もしくはそれと同等の第三者認定等の取得は必須とし
従ってサービスイン直後にはISMS認証を取得していないのが常識です。
ております。取得予定ということであれば、時期等をご説明いただく必要があります。
このようにサービスイン直後でISMS認証がない場合、表4-1ではどのように情報提供すればよいでしょう
か。
ISMS認証の取得計画などの情報を提供するのが現実的と考えますが本当にそうか、別添2-1「?FA
Q?」にて考えをお示しいただきたい。
「セキュリティクラウド認証等」にも同じ構図があると推察します。
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
修正案
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイ
ドライン第 1.1 版(案)」 6ページ目の注釈11に、「患者等から直接医療情報を受領する事業者は、本
ガイドラインにおける対象事業者にはあたらない。」とあります。
28 個人
個人
02GL
6
2.1
29 個人
個人
02GL
24
4.3
4.4
30 個人
個人
FAQ
1
1.2
本ガイドラインが対象とする同ページ内2.1で定義され解説されている医療情報は、健康診断、遺伝子検
今後の検討にあたっての参考とさせていただきます。
査結果、診療情報等を含む要配慮個人情報でもあり、医療DXなども見据えると、医療情報を扱う事業者に
おける適切な管理が必要な情報です。
そのため、医療機関等又は患者等、医療情報の提供元によらず、医療情報を扱う事業者は本ガイドライン
の対象としたほうがよいと思います。
<項番1>
「4.4.提供事業者の体制の適格性を評価する第三者認証等の 「4.4.対象事業者の適格性を評価する第三者認証等の取得に
<対象文書>ガイドライン1.1 本文
取得に係る要件」
係る要件」
4.3は医療情報システム等の安全管理に係る評価を確実に行うことを求めており、その
<該当箇所>P24の4.3および4.4
1つとして第三者認証で明示することを求めているものが4.4です。4.4も体制の問題だ
<意見内容>それぞれのタイトルを以下のように追加・修正する。
けではなく、適格性の第三者認証という趣旨になります。そのため、4.3については原
4.3 医療情報システムの安全管理水準に係る評価
案通りとさせていただき、4.4については、「対象事業者の適格性を評価する第三者認
4.4 提供事業者の体制の適格性を評価する第三者認証等の取得に係る要件
証の取得に係る要件」に修正いたしました。
<理由>本文のP24の4.4の主旨や注26の主旨やFAQのP5の4.2の説明の主旨を反映して、2つの
評価を明確に区別して理解できるようにする為。
<項番2>
<対象文書>FAQ
<該当箇所>P2 「2.医療情報システム等の提供形態」の前
<意見内容>PHRに関する文章を以下に置き換える。(現在のPHRに関する説明は削除する)
PHR事業者についても、患者等の指示に基づいて、医療機関等から送付された医療情報 を受け取る場合に
は、本ガイドラインの対象となります。
受け取ったデータを、既に他の PHRが格納されている PHRサービスに取り込む場合、全体として本ガイド
ラインの対象 となります。
「医療機関等から送付された医療情報」ではなく、「医療機関等から患者等に送付さ れた医療情報」に
該当する場合(注1)は本ガイドラインの対象とはなりません。
また、健診等情報(注2)を取り扱うPHRサービスを提供する事業者が遵守すべき事項を示すものとし
て、
「民間 PHR 事業者による健診等情報の取扱いに関する基本的指針」(令和3年4月)(総務省、厚生労働
省、経済産業省)があります。
(注1)例えば、医療機関等から患者等に対して、医 療情報を閲覧するための URL や QR コードの提供 今後の検討にあたっての参考とさせていただきます。
を受け、患者等がその内容を自ら
PHRサービスに登録する場合などは、「医療機関等から患者等に送付された医療情報」に該当するため、
そのような PHRサービスは本ガイドラインの対象とはなりません。
(注2)健診等情報は以下の情報を対象としている。
・個人がマイナポータルAPI 等を活用して入手可能な健康診断等の情報
・医療機関等から個人に提供され、個人が自ら入力する情報
・個人が自ら測定又は記録を行うものであって、医療機関等に提供する情報
31 個人
個人
02GL
22
4.1
32 個人
個人
02GL
22
4.1
33 個人
個人
02GL
22
4.1
<理由>
3省のPHR指針は健診等情報に対するものなので、注1)の説明を有効とすると狭い範囲のPHRになっ
てしまう。
PHRに関するこれまでのガイドラインを整理した。さらに今後、「電子版お薬手帳ガイドライン」との整
理が必要になると思います。
コメント1
表4-1は「情報提供すべき項目」なのに「?機器等が、国内法の適用を受けることを確保すること」とい
う要求事項的な表現なのはおかしい。
「?機器等に対する、国内法の適用状況」などが正しい。
コメント2
表4-1は「情報提供すべき項目」なのに「プライバシーマーク認定又はISMS認証を取得していること」と
いう要求事項的な表現なのはおかしい。
「プライバシーマーク認定又はISMS認証の取得状況」などが正しい。
「保存された情報を格納する情報機器等が、国内法の適用を受けることを確保するこ
と」は要求事項であることから、原案通りとさせていただきます。
プライバシーマーク認定又はISMS認証の取得は要求事項であることから、原案通りとさ
せていただきます。
コメント3
表4-1では
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証
等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無」
としてISMAP等が挙げられていますが、
実際に「政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針 2022年(令和4年)
令和5年5月に公表された、「医療情報システムの安全管理に関するガイドライン」第
12月28日」を見ると4.1の1)にて
6.0版においては、ISO/SEC27017についての記載がないことから、原案通りとさせてい
(1)ISO?27017による認証?
ただきます。
(2)JINSA?CSゴールドマーク
(3)?FedRAMP
が挙げられており、第1.1版(案)では「(1)ISO?27017による認証?」が抜けているようです、追記をお
願いします。
なお厚生労働省も「「医療情報システムの安全管理に関するガイドライン 5.1版」に関するQ&A」
のQ-64にて、JISQ27017の認証などの認証を挙げています。
コメント4
4.4章にてプライバシーマーク又はISMS認証が求められており、また表4-1でも認証取得状況に関する情報
提供が求められています。
34 個人
個人
02GL
24
4.4
しかしISMS認証を取得するには、マネジメント体制を構築し更に内部監査などを経る必要があり、マネジ
メント体制構築後数か月(3か月、4か月、6か月など諸説あり)掛かるとされています。
ISMS認証やプライバシーマーク、もしくはそれと同等の第三者認定等の取得は必須とし
従ってサービスイン直後にはISMS認証を取得していないのが常識です。
ております。取得予定ということであれば、時期等をご説明いただく必要があります。
このようにサービスイン直後でISMS認証がない場合、表4-1ではどのように情報提供すればよいでしょう
か。
ISMS認証の取得計画などの情報を提供するのが現実的と考えますが本当にそうか、別添2-1「?FA
Q?」にて考えをお示しいただきたい。
「セキュリティクラウド認証等」にも同じ構図があると推察します。