よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (39 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
リスクコミュニケーション
医療機関等とのリスクコミュニケーションの実施
対象事業者は、自らが提供する医療情報システム等の安全管理に係る説明義務を果たし、
医療機関との共通理解を形成するために、医療機関等に対して第 4 章で情報提供すべき内
容として示した事項を含む必要な情報を文書化して提供すること。具体的には、5.1.5 で作
成した「リスク対応一覧」や後述の運用管理規程に定められた事項に係る情報提供を通し
て、医療機関等との役割分担、対象事業者として受容したリスクの内容等について、医療
機関等と合意形成すること。なお、その際には、対象事業者は、医療機関等が容易に理解
可能となるよう内容を工夫する等、適切に共通理解を得ること33。
なお、医療機関等と合意に至らなかった場合は、対象事業者はリスク対応事項の見直し
結果に基づく再協議、残存するリスクの共通理解に向けた再協議等、医療機関等と再度合
意形成を図り、合意すること。
【コラム:リスクコミュニケーション不足がサイバー攻撃による被害発生の一因となった
例】
通常時や非常時へ対応するために、医療機関等と医療情報システム等事業者の間で
リスクコミュニケーションを行い、リスク内容やその対応に関する認識や、両者での
責任分界などについて共通理解を得ることが求められる。特に昨今のサイバー攻撃に
対しては、両者の間で不一致がある場合、行うべき対策が漏れてしまう危険性もあ
る。
その事案例として、「徳島県つるぎ町立半田病院」において発生したランサムウェア
攻撃による被害事案を紹介する。本事案ではランサムウェアによる被害により、長期
間診療が停止したほか、復旧に多額の費用を要した。また、その原因を分析するため
の報告書が示されている34。
以下では同報告書において、課題として挙げられている内容をまとめた。この中で
は、いくつかの点について、医療機関等と事業者の間でリスクへの対応などについて
のコミュニケーションが不足し、それが原因となって適切な対策が講じられなかった
ことがみられる。
医療機関等との共通理解を得るプロセスは、JIS Q 31000:2019 におけるリスクコミュニケーションに該
当する。リスクコミュニケーションは、リスクアセスメントやリスク対応の内容を医療機関等に情報提供
するといった限定的なものではなく、リスクマネジメントのあらゆるプロセスにおいて、その実効性を高
めるために実施される活動である点に留意すること。そのため、対象事業者は、医療機関等の十分な理解
を得るために、リスク対応を行った最終段階だけでなく、その分析途中についても情報を開示し、医療機
関等の疑問や要求に応えながら、共通理解を得ることが重要である。
34
本事案では、
「コンピュータウイルス感染事案有識者会議」が設置され、その調査報告書が公表されて
いる(https://www.handa-hospital.jp/topics/2022/0616/index.html)
。
33
33
医療機関等とのリスクコミュニケーションの実施
対象事業者は、自らが提供する医療情報システム等の安全管理に係る説明義務を果たし、
医療機関との共通理解を形成するために、医療機関等に対して第 4 章で情報提供すべき内
容として示した事項を含む必要な情報を文書化して提供すること。具体的には、5.1.5 で作
成した「リスク対応一覧」や後述の運用管理規程に定められた事項に係る情報提供を通し
て、医療機関等との役割分担、対象事業者として受容したリスクの内容等について、医療
機関等と合意形成すること。なお、その際には、対象事業者は、医療機関等が容易に理解
可能となるよう内容を工夫する等、適切に共通理解を得ること33。
なお、医療機関等と合意に至らなかった場合は、対象事業者はリスク対応事項の見直し
結果に基づく再協議、残存するリスクの共通理解に向けた再協議等、医療機関等と再度合
意形成を図り、合意すること。
【コラム:リスクコミュニケーション不足がサイバー攻撃による被害発生の一因となった
例】
通常時や非常時へ対応するために、医療機関等と医療情報システム等事業者の間で
リスクコミュニケーションを行い、リスク内容やその対応に関する認識や、両者での
責任分界などについて共通理解を得ることが求められる。特に昨今のサイバー攻撃に
対しては、両者の間で不一致がある場合、行うべき対策が漏れてしまう危険性もあ
る。
その事案例として、「徳島県つるぎ町立半田病院」において発生したランサムウェア
攻撃による被害事案を紹介する。本事案ではランサムウェアによる被害により、長期
間診療が停止したほか、復旧に多額の費用を要した。また、その原因を分析するため
の報告書が示されている34。
以下では同報告書において、課題として挙げられている内容をまとめた。この中で
は、いくつかの点について、医療機関等と事業者の間でリスクへの対応などについて
のコミュニケーションが不足し、それが原因となって適切な対策が講じられなかった
ことがみられる。
医療機関等との共通理解を得るプロセスは、JIS Q 31000:2019 におけるリスクコミュニケーションに該
当する。リスクコミュニケーションは、リスクアセスメントやリスク対応の内容を医療機関等に情報提供
するといった限定的なものではなく、リスクマネジメントのあらゆるプロセスにおいて、その実効性を高
めるために実施される活動である点に留意すること。そのため、対象事業者は、医療機関等の十分な理解
を得るために、リスク対応を行った最終段階だけでなく、その分析途中についても情報を開示し、医療機
関等の疑問や要求に応えながら、共通理解を得ることが重要である。
34
本事案では、
「コンピュータウイルス感染事案有識者会議」が設置され、その調査報告書が公表されて
いる(https://www.handa-hospital.jp/topics/2022/0616/index.html)
。
33
33