よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (40 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
責任分界上の課題
1.
医療機関と事業者の間でのセキュリティ対策及び緊急時の対応に関する責任分
界や委託業務範囲が不明瞭
機器等の管理(脆弱性対策)に関する管理責任の範囲が不明瞭
電子カルテシステム等を導入した事業者と保守事業者の間での責任分界が不明
瞭
セキュリティ情報の取り扱いに関する当事者間での責任分界が不明瞭
初動対応上の課題
2.
初動に関する全体的な対応計画が不足(事業者における情報不足に伴う不適切
な対応等)
サービス提供上の課題
3.
事業者における脆弱性情報の取り扱いに対する知見不足
情報セキュリティにおける脅威対応への知見不足を補うための体制構築
情報システム・サービスの運用において考慮すべき基本的セキュリティ(機密
性)についての意識不足(可用性優先に伴い、脆弱性対策がおろそかになって
いた)と、これに関する医療機関側との共通認識が不足
設計上の課題
4.
「医療情報システムの安全管理に関するガイドライン」に示す安全対策への未
対応(バックアップ対応等)及び代替策に対する対応不足への認識が不明瞭
(リスクコミュニケーション不足)
文書・規程の作成
対象事業者は、医療機関等と合意したリスクへの対応を踏まえ、リスクに対する対応計画
を策定すること。また、対象事業者が安全管理義務を果たすために、医療機関等と合意形
成した結果を文書化し、最低限、以下の(ア)~(サ)を含む運用管理規程を定めること。
(ア)医療情報システム等の安全管理に係る基本方針
対象事業者は、医療情報システム等の安全管理に係る基本方針として、以下の事項を運
用管理規程に含めること。
⚫
本ガイドライン及び医療情報安全管理ガイドラインの遵守
⚫
個人情報保護法やその他最新の関連法令等の遵守
⚫
個人情報に関して他の情報と区別した適切な管理
34
1.
医療機関と事業者の間でのセキュリティ対策及び緊急時の対応に関する責任分
界や委託業務範囲が不明瞭
機器等の管理(脆弱性対策)に関する管理責任の範囲が不明瞭
電子カルテシステム等を導入した事業者と保守事業者の間での責任分界が不明
瞭
セキュリティ情報の取り扱いに関する当事者間での責任分界が不明瞭
初動対応上の課題
2.
初動に関する全体的な対応計画が不足(事業者における情報不足に伴う不適切
な対応等)
サービス提供上の課題
3.
事業者における脆弱性情報の取り扱いに対する知見不足
情報セキュリティにおける脅威対応への知見不足を補うための体制構築
情報システム・サービスの運用において考慮すべき基本的セキュリティ(機密
性)についての意識不足(可用性優先に伴い、脆弱性対策がおろそかになって
いた)と、これに関する医療機関側との共通認識が不足
設計上の課題
4.
「医療情報システムの安全管理に関するガイドライン」に示す安全対策への未
対応(バックアップ対応等)及び代替策に対する対応不足への認識が不明瞭
(リスクコミュニケーション不足)
文書・規程の作成
対象事業者は、医療機関等と合意したリスクへの対応を踏まえ、リスクに対する対応計画
を策定すること。また、対象事業者が安全管理義務を果たすために、医療機関等と合意形
成した結果を文書化し、最低限、以下の(ア)~(サ)を含む運用管理規程を定めること。
(ア)医療情報システム等の安全管理に係る基本方針
対象事業者は、医療情報システム等の安全管理に係る基本方針として、以下の事項を運
用管理規程に含めること。
⚫
本ガイドライン及び医療情報安全管理ガイドラインの遵守
⚫
個人情報保護法やその他最新の関連法令等の遵守
⚫
個人情報に関して他の情報と区別した適切な管理
34