よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (41 ページ)
出典
公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
⚫
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平
成 29 年 4 月 14 日)
」に基づき、患者等が死亡した後においても、当該患者等の情報
を保存している場合には、死者に係る情報であっても、個人情報と同等の安全管理
措置の実施
⚫
情報セキュリティに関する基本方針等の情報セキュリティポリシーの策定
⚫
情報セキュリティポリシーの遵守を担保する組織体制の構築
(イ)医療情報システム等の提供に係る体制
対象事業者は、医療情報システム等の提供に係る体制として、最終的な管理責任者や、
十分な技術的能力及び経験35を有する責任者(システム管理者)、医療情報システム等の運
用に関する事務を統括する責任者、個人情報保護に係る責任者を定め、これら責任者の役
割や任命・解任等のルール、緊急時の対応と併せて運用管理規程に含めること。また、再
委託を行う場合は、再委託先の体制に関する情報も運用管理規程に含めること。
(ウ)契約書・マニュアル等の文書の管理方法
対象事業者は、契約書や運用管理規程を含むマニュアル等の管理については、必要に応
じて速やかに内容を確認できるようにすること。また、文書の不正な閲覧・操作をアクセ
ス制限等により防止することを運用管理規程に含め、第三者による不正な閲覧・操作を防
止すること。なお、アクセス制限を侵害する行為については、検出・記録できるような仕
組みが実装されていることが望ましい。
(エ)機器等を用いる場合の機器等の管理責任の所在・管理方法
対象事業者は、機器等を用いる場合、機器等の管理責任の所在36や管理方法について台
帳管理等による所在確認を行う旨を運用管理規程に含めること。
(オ)リスク対応策の運用方法
対象事業者は、リスクへの対応策の運用方法として、リスク対応にて決定したリスクへ
の対策のうち、対象事業者による運用が必要となる事項についての運用手順を運用管理規
程に含めること。
35
十分な技術的能力及び経験には、例えば情報処理安全確保支援士等の情報セキュリティに関する資格
を有し、情報セキュリティに係る技術的対策の実務を⼀定年数以上経験していること等が想定される。
36
例えば、事業者がシステム・サービスを提供するのに必要な機器等を医療機関等に設置した場合に、
その装置の管理責任(脆弱性管理含め)が、医療機関等にあるのか設置した事業者にあるのかなどを明確
にすることが想定される。
35
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平
成 29 年 4 月 14 日)
」に基づき、患者等が死亡した後においても、当該患者等の情報
を保存している場合には、死者に係る情報であっても、個人情報と同等の安全管理
措置の実施
⚫
情報セキュリティに関する基本方針等の情報セキュリティポリシーの策定
⚫
情報セキュリティポリシーの遵守を担保する組織体制の構築
(イ)医療情報システム等の提供に係る体制
対象事業者は、医療情報システム等の提供に係る体制として、最終的な管理責任者や、
十分な技術的能力及び経験35を有する責任者(システム管理者)、医療情報システム等の運
用に関する事務を統括する責任者、個人情報保護に係る責任者を定め、これら責任者の役
割や任命・解任等のルール、緊急時の対応と併せて運用管理規程に含めること。また、再
委託を行う場合は、再委託先の体制に関する情報も運用管理規程に含めること。
(ウ)契約書・マニュアル等の文書の管理方法
対象事業者は、契約書や運用管理規程を含むマニュアル等の管理については、必要に応
じて速やかに内容を確認できるようにすること。また、文書の不正な閲覧・操作をアクセ
ス制限等により防止することを運用管理規程に含め、第三者による不正な閲覧・操作を防
止すること。なお、アクセス制限を侵害する行為については、検出・記録できるような仕
組みが実装されていることが望ましい。
(エ)機器等を用いる場合の機器等の管理責任の所在・管理方法
対象事業者は、機器等を用いる場合、機器等の管理責任の所在36や管理方法について台
帳管理等による所在確認を行う旨を運用管理規程に含めること。
(オ)リスク対応策の運用方法
対象事業者は、リスクへの対応策の運用方法として、リスク対応にて決定したリスクへ
の対策のうち、対象事業者による運用が必要となる事項についての運用手順を運用管理規
程に含めること。
35
十分な技術的能力及び経験には、例えば情報処理安全確保支援士等の情報セキュリティに関する資格
を有し、情報セキュリティに係る技術的対策の実務を⼀定年数以上経験していること等が想定される。
36
例えば、事業者がシステム・サービスを提供するのに必要な機器等を医療機関等に設置した場合に、
その装置の管理責任(脆弱性管理含め)が、医療機関等にあるのか設置した事業者にあるのかなどを明確
にすることが想定される。
35