よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (24 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.2.2.
通常時の義務
通常時の医療情報システム等のライフサイクルは「開発フェーズ 19 」「運用フェーズ」
「契約終了フェーズ」に分けられる。したがって、対象事業者が必要な対応を抜け漏れな
く洗い出すにあたっても、これら 3 フェーズに分け、当該フェーズでの実施内容を踏まえ
た上で、想定されるリスクや対応方針について整理することが有効である。
「開発フェーズ」は、対象事業者が医療機関等との契約中に、医療機関等に提供する医
療情報システム等の開発を実施するフェーズである。「開発フェーズ」には新規の開発
(新規開発)だけでなく、機器・端末のアップデートや機能更新に伴う開発(保守開発)
や各医療機関等での初期設定といった、運用フェーズの前段階も広く含むものとする。し
たがって、開発フェーズは 1 度のみ発生するとは限らず、運用フェーズから再度開発フェ
ーズに移行することや、運用中に開発フェーズが並行発生することも考えられる。対象事
業者は、安全管理義務へ対応するために医療機関等との合意に基づいて医療情報システム
等の開発と情報の取扱いを行わなくてはならない。
「運用フェーズ」は、対象事業者が医療機関等との契約中に、医療情報システム等の運
用作業を実施するフェーズである。対象事業者は、安全管理義務へ対応するために、自ら
が提供する医療情報システム等の運用状況等について医療機関等に対して定期的な報告を
実施するとともに、実施しているセキュリティ対策に関しては定期的に自己点検し、その
結果の報告を必要に応じて実施しなければならない。
「契約終了フェーズ」は、対象事業者が医療機関等との契約中に、医療情報システム等
に関する契約を終了する際のフェーズである。対象事業者は、安全管理義務へ対応するた
めに、予め医療機関等と合意した手順に則って情報(プログラム等も含む)の返却・移
管・破棄を実施しなければならない。また、当該手順に則って情報の返却・移管・破棄を
適切に実施したことの証跡を取得しておくことも必要である。
なお、対象事業者が各フェーズで実施する具体的な対応事項については、後述の通り、
第 5 章で記載するリスクマネジメントの実践手順に従って洗い出し、医療機関等への情報
提供と合意形成を行うこととしている。
3.2.3.
危機管理対応時の義務及び責任
医療情報システム等の提供に際しては、特段の問題が発生しないことが本来期待されて
えい
ざん
いるが、上述の各フェーズにおける脅威が顕在化した場合、医療情報の漏洩や改竄、医療
情報システム等の停止等の情報セキュリティ事故が生じる可能性がある。本ガイドライン
では、このような情報セキュリティ事故が生じ、当該問題への対処が必要となる場合を、
19 クラウドサービスについては、利用者側の調達に応じて、新たな開発を伴わず、サービス導入に必要
な検討や設定等を行うためのフェーズを設けることがある。本ガイドラインにおいては、これらも開発フ
ェーズに相当するものと位置付ける。
18
通常時の義務
通常時の医療情報システム等のライフサイクルは「開発フェーズ 19 」「運用フェーズ」
「契約終了フェーズ」に分けられる。したがって、対象事業者が必要な対応を抜け漏れな
く洗い出すにあたっても、これら 3 フェーズに分け、当該フェーズでの実施内容を踏まえ
た上で、想定されるリスクや対応方針について整理することが有効である。
「開発フェーズ」は、対象事業者が医療機関等との契約中に、医療機関等に提供する医
療情報システム等の開発を実施するフェーズである。「開発フェーズ」には新規の開発
(新規開発)だけでなく、機器・端末のアップデートや機能更新に伴う開発(保守開発)
や各医療機関等での初期設定といった、運用フェーズの前段階も広く含むものとする。し
たがって、開発フェーズは 1 度のみ発生するとは限らず、運用フェーズから再度開発フェ
ーズに移行することや、運用中に開発フェーズが並行発生することも考えられる。対象事
業者は、安全管理義務へ対応するために医療機関等との合意に基づいて医療情報システム
等の開発と情報の取扱いを行わなくてはならない。
「運用フェーズ」は、対象事業者が医療機関等との契約中に、医療情報システム等の運
用作業を実施するフェーズである。対象事業者は、安全管理義務へ対応するために、自ら
が提供する医療情報システム等の運用状況等について医療機関等に対して定期的な報告を
実施するとともに、実施しているセキュリティ対策に関しては定期的に自己点検し、その
結果の報告を必要に応じて実施しなければならない。
「契約終了フェーズ」は、対象事業者が医療機関等との契約中に、医療情報システム等
に関する契約を終了する際のフェーズである。対象事業者は、安全管理義務へ対応するた
めに、予め医療機関等と合意した手順に則って情報(プログラム等も含む)の返却・移
管・破棄を実施しなければならない。また、当該手順に則って情報の返却・移管・破棄を
適切に実施したことの証跡を取得しておくことも必要である。
なお、対象事業者が各フェーズで実施する具体的な対応事項については、後述の通り、
第 5 章で記載するリスクマネジメントの実践手順に従って洗い出し、医療機関等への情報
提供と合意形成を行うこととしている。
3.2.3.
危機管理対応時の義務及び責任
医療情報システム等の提供に際しては、特段の問題が発生しないことが本来期待されて
えい
ざん
いるが、上述の各フェーズにおける脅威が顕在化した場合、医療情報の漏洩や改竄、医療
情報システム等の停止等の情報セキュリティ事故が生じる可能性がある。本ガイドライン
では、このような情報セキュリティ事故が生じ、当該問題への対処が必要となる場合を、
19 クラウドサービスについては、利用者側の調達に応じて、新たな開発を伴わず、サービス導入に必要
な検討や設定等を行うためのフェーズを設けることがある。本ガイドラインにおいては、これらも開発フ
ェーズに相当するものと位置付ける。
18