よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (30 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
安全管理のためのリスクマネジメントプロセス
本章では、医療情報システム等特有のリスクに応じて適切な対応を行うためのリスクマ
ネジメントのプロセスを定める。対象事業者は、本章に従い、医療情報システム等を提供
する際に想定されるリスクを洗い出し、必要な対策をとりまとめること。図 5-1 はリスク
マネジメントのプロセスを示している。
JISQ
31000:2019
におけるプロセス ※
本章の項番
適用範囲、状況、
基準
該当なし
※ 第 1章~第 3 章
が該当
リスクアセスメント
5.1.1. リスク特定
対象事業者
医療機関等
【凡例】
プロセス間の遷移の方向を
示す矢印
本ガイドラインの適用範囲と
提供 する医療情報システム等の 状況を確認
(第 1 章~第 3 章参照)
プロセスにおける成果物の
入出力を示す矢印
提供 する医療情報システム等の
全体構成を明らかにする
医療情報システム等
の全体構成図
処理を預託する
情報の分類
医療情報システム等の
全体構成図をもとに情報流を特定
実施プロセス
特定した情報流
5.2節の実施例
を参照
情報流を分類
アプリケーションを提供する等により情報の
中身を意識した処理を行う事業者の場合
情報流の分類
プロセス間の遷移における
条件分岐
脅威が顕在化した場合の
リスクを特定
プロセスで入力又は
出力される成果物
(文書化の対象)
特定したリスク
5.1.2. リスク分析
各リスクのリスクレベル
(影響度 × 顕在化率)を算出
プロセスで入力又は
出力される成果物
(文書化の対象を作成する
過程で用いる中間成果物)
各リスクの
リスクレベル
5.1.3. リスク評価
リスクアセスメント
結果の一覧
リスク対応
各リスクについて
リスクレベルをもとに
対応要否を検討
5.1.4. リスク対応
の選択肢の選定
リスクアセスメントの結果をもとに
リスク対応の選択肢を選定
5.1.5
5.1.5. リスク対応策
リスク対応
策の設計・評価
の設計・評価
リスク対応の
選択肢
リスク対応策の設計
リスク対応策
医療機関等に対応を求める
事項を整理
医療機関等に
対応を求める事項
許容できない場合
残存リスク
残存するリスクを
評価
許容できる場合
リスク対応の文書化
リスク対応の
一覧
記録作成及び報
告
5.1.6. リスクコミュ
ニケーション
医療機関等へ情報提供すべき
内容の文書化(第 4 章参照)
情報提供すべき内容
の文書
残存するリスク及び医療機関等との役割分担等
に関する合意形成
見直しが必要
見直しが必要となった
部分のプロセスへ
合意形成の結果
(合意 / 見直しが必要 )
合意
対応計画の策定
運用管理規程の作成
運用管理規程
5.1.7. 継続的な
リスクマネジメント
の実践
5.1.1. ~ 5.1.6. の結果を
継続的に見直し
※ モニタリング及びレビュー、コミュニケーション及び協議は全プロセスと関連
図 5-1 リスクマネジメントのプロセス
24
本章では、医療情報システム等特有のリスクに応じて適切な対応を行うためのリスクマ
ネジメントのプロセスを定める。対象事業者は、本章に従い、医療情報システム等を提供
する際に想定されるリスクを洗い出し、必要な対策をとりまとめること。図 5-1 はリスク
マネジメントのプロセスを示している。
JISQ
31000:2019
におけるプロセス ※
本章の項番
適用範囲、状況、
基準
該当なし
※ 第 1章~第 3 章
が該当
リスクアセスメント
5.1.1. リスク特定
対象事業者
医療機関等
【凡例】
プロセス間の遷移の方向を
示す矢印
本ガイドラインの適用範囲と
提供 する医療情報システム等の 状況を確認
(第 1 章~第 3 章参照)
プロセスにおける成果物の
入出力を示す矢印
提供 する医療情報システム等の
全体構成を明らかにする
医療情報システム等
の全体構成図
処理を預託する
情報の分類
医療情報システム等の
全体構成図をもとに情報流を特定
実施プロセス
特定した情報流
5.2節の実施例
を参照
情報流を分類
アプリケーションを提供する等により情報の
中身を意識した処理を行う事業者の場合
情報流の分類
プロセス間の遷移における
条件分岐
脅威が顕在化した場合の
リスクを特定
プロセスで入力又は
出力される成果物
(文書化の対象)
特定したリスク
5.1.2. リスク分析
各リスクのリスクレベル
(影響度 × 顕在化率)を算出
プロセスで入力又は
出力される成果物
(文書化の対象を作成する
過程で用いる中間成果物)
各リスクの
リスクレベル
5.1.3. リスク評価
リスクアセスメント
結果の一覧
リスク対応
各リスクについて
リスクレベルをもとに
対応要否を検討
5.1.4. リスク対応
の選択肢の選定
リスクアセスメントの結果をもとに
リスク対応の選択肢を選定
5.1.5
5.1.5. リスク対応策
リスク対応
策の設計・評価
の設計・評価
リスク対応の
選択肢
リスク対応策の設計
リスク対応策
医療機関等に対応を求める
事項を整理
医療機関等に
対応を求める事項
許容できない場合
残存リスク
残存するリスクを
評価
許容できる場合
リスク対応の文書化
リスク対応の
一覧
記録作成及び報
告
5.1.6. リスクコミュ
ニケーション
医療機関等へ情報提供すべき
内容の文書化(第 4 章参照)
情報提供すべき内容
の文書
残存するリスク及び医療機関等との役割分担等
に関する合意形成
見直しが必要
見直しが必要となった
部分のプロセスへ
合意形成の結果
(合意 / 見直しが必要 )
合意
対応計画の策定
運用管理規程の作成
運用管理規程
5.1.7. 継続的な
リスクマネジメント
の実践
5.1.1. ~ 5.1.6. の結果を
継続的に見直し
※ モニタリング及びレビュー、コミュニケーション及び協議は全プロセスと関連
図 5-1 リスクマネジメントのプロセス
24