よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (29 ページ)
出典
公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.3.
医療情報システム等の安全管理に係る評価
対象事業者は、医療情報システム等の安全管理の妥当性について、医療機関等と適切な
共通理解を得るため、医療情報システム等の安全管理に係る評価を行い、評価結果を医療
機関等へ情報提供すること。このとき、医療情報システム等関連業務に関与する担当者自
らが評価を行うと、信頼性及び客観性が低下するため、対象事業者内部の独立した監査部
門や第三者機関24が評価を行うことが望ましい。
4.4.
対象事業者の適格性を評価する第三者認証等の取得に係る要件
医療情報の機微性に鑑み、対象事業者は、医療情報を取り扱う事業者として、最低限の
適格性を医療機関等へ示すため、情報セキュリティに係る公的な第三者認証として、プラ
イバシーマーク認定または ISMS 認証25を取得すること。なお、医療情報を直接取り扱わ
ない対象事業者の場合においても、プライバシーマーク認定または ISMS 認証の取得が強
く求められる。また、「政府情報システムにおけるクラウドサービスの利用に係る基本方
針」
(令和 3 年 3 月 30 日各府省情報化統括責任者(CIO)連絡会議決定)で示されている
「クラウドセキュリティ認証等」(表 4-1 参照)は、プライバシーマーク認定や ISMS 認証
と同等の認証等と認められるため、これに代えることも可能である。ただし、これら認証
の取得をもって、本ガイドラインが求める安全管理水準を満たすわけではないことに留意
すること 26。
なお、対象事業者が ISMS 認証を取得する場合、その適用範囲(スコープ)は、処理を
受託する医療情報の入口から出口まで包括的に設定することが望ましい。また、適用宣言
書の開示についても、医療機関等が委託先事業者を選定する際に確認できるよう、医療機
関等への開示を前提として記載に配慮するとともに、医療情報を取り扱うために特別に配
慮している管理策等を明確にすることが望ましい。
また、対象事業者がプライバシーマーク認定を取得する場合は「保健医療福祉分野のプ
ライバシーマーク認定指針(第 4.1 版) 」を参照し、遵守に努めることが望ましい 。
24
第三者機関による評価として、例えば、一般社団法人保健医療福祉情報安全管理適合性評価協会
(HISPRO)による、医療情報に関する IT サービスに関するガイドラインへの適合性評価が挙げられる。
25 ISMS に関する一般的な基準である JIS Q 27001:2014 (ISO/IEC 27001:2013) に基づく認証のほか、クラ
ウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリティ管理策の実施を支援す
る指針である JIS Q 27017:2016 (ISO/IEC 27017:2015)やパブリッククラウドにおける個人情報保護に関する
指針である ISO/IEC 27018:2014 に基づく認証等がある。
26
ISMS 認証は情報システム管理が適正になされていることを認証するものであり、安全対策の有効性ま
でを認証するものではないことに留意する必要がある。
23
医療情報システム等の安全管理に係る評価
対象事業者は、医療情報システム等の安全管理の妥当性について、医療機関等と適切な
共通理解を得るため、医療情報システム等の安全管理に係る評価を行い、評価結果を医療
機関等へ情報提供すること。このとき、医療情報システム等関連業務に関与する担当者自
らが評価を行うと、信頼性及び客観性が低下するため、対象事業者内部の独立した監査部
門や第三者機関24が評価を行うことが望ましい。
4.4.
対象事業者の適格性を評価する第三者認証等の取得に係る要件
医療情報の機微性に鑑み、対象事業者は、医療情報を取り扱う事業者として、最低限の
適格性を医療機関等へ示すため、情報セキュリティに係る公的な第三者認証として、プラ
イバシーマーク認定または ISMS 認証25を取得すること。なお、医療情報を直接取り扱わ
ない対象事業者の場合においても、プライバシーマーク認定または ISMS 認証の取得が強
く求められる。また、「政府情報システムにおけるクラウドサービスの利用に係る基本方
針」
(令和 3 年 3 月 30 日各府省情報化統括責任者(CIO)連絡会議決定)で示されている
「クラウドセキュリティ認証等」(表 4-1 参照)は、プライバシーマーク認定や ISMS 認証
と同等の認証等と認められるため、これに代えることも可能である。ただし、これら認証
の取得をもって、本ガイドラインが求める安全管理水準を満たすわけではないことに留意
すること 26。
なお、対象事業者が ISMS 認証を取得する場合、その適用範囲(スコープ)は、処理を
受託する医療情報の入口から出口まで包括的に設定することが望ましい。また、適用宣言
書の開示についても、医療機関等が委託先事業者を選定する際に確認できるよう、医療機
関等への開示を前提として記載に配慮するとともに、医療情報を取り扱うために特別に配
慮している管理策等を明確にすることが望ましい。
また、対象事業者がプライバシーマーク認定を取得する場合は「保健医療福祉分野のプ
ライバシーマーク認定指針(第 4.1 版) 」を参照し、遵守に努めることが望ましい 。
24
第三者機関による評価として、例えば、一般社団法人保健医療福祉情報安全管理適合性評価協会
(HISPRO)による、医療情報に関する IT サービスに関するガイドラインへの適合性評価が挙げられる。
25 ISMS に関する一般的な基準である JIS Q 27001:2014 (ISO/IEC 27001:2013) に基づく認証のほか、クラ
ウドサービスカスタマ及びクラウドサービスプロバイダのための情報セキュリティ管理策の実施を支援す
る指針である JIS Q 27017:2016 (ISO/IEC 27017:2015)やパブリッククラウドにおける個人情報保護に関する
指針である ISO/IEC 27018:2014 に基づく認証等がある。
26
ISMS 認証は情報システム管理が適正になされていることを認証するものであり、安全対策の有効性ま
でを認証するものではないことに留意する必要がある。
23