よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (43 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
継続的なリスクマネジメントの実践
5.1.1~5.1.6 に示したプロセスは、一度だけ実施すれば良いというものではない。対象事
業者は、医療情報システム等における情報流や脅威の変化、想定外の事態の発生等に応じ
て、医療機関等との契約締結後も継続的に実施し、見直しを行うこと37。
5.2. リスクアセスメント及びリスク対応の実施例
本節では、図 5-3 に示す医療情報システム等の例を用いて、5.1.1~5.1.5 の手順の実施例
を示す。本節で記載する例はいずれも一部を簡略化して提示している。対象事業者は、本
節で記載する手順を参考とした上で、網羅的なリスクマネジメントを行うこと。
本節の例示において想定する対象事業者が提供する医療情報システム等(電子カルテシステム及び医事会計システム)
対象事業者DC
終
端
装
置
転送
開発/保守端末
作成/保存
本番環境の設定情報や
更新用データ/テスト
データ等
医事会計サーバ
(開発環境)
ログサーバ
開発環境/本番環境の
機器上の情報等
転送
作成/保存
転送
対象事業者開発/保守拠点
本番環境の設定情報や
更新用データ/テスト
データ等
保存
電子カルテサーバ
(本番環境)
本番環境の
機器上のログ等
作成/保存
オーダ/検査結果/
診療録/診療諸記録
終端装置
イ
ン
タ
ー
ネ
ッ
ト
VPN
バックアップ
データ等
バックアップ
データ等
搬送業者
終
端
装
置
転送
転送
転送
開発/保守要員
作成/保存
媒体入出力
保管
搬送
レセプト/処方箋/
患者情報等
医事会計サーバ
(本番環境)
テープ装置
バックアップ
データ等
テープ媒体
電子カルテサーバ
(開発環境)
閲覧・操作
遠隔地
開発/保守要員
医療機関等と対象事業者
DC間の通信内容
閉域網VPN
対象事業者の提供する電子カルテシステムと連携する
医療機関等が別途契約した医療情報システム等
転送
通信回線事業者
医療機関等(診療所)
終端装置
転送
転送
転送
転送
転送
閲覧・操作
医事端末
帳票出力
閲覧・操作
閲覧・操作
問診用タブレット
プリンタ
電子カルテ端末
部門システム端末
部門システム
サーバ
検査装置
他社の提供範囲のため具体的な構成や処理の内容は不明
オーダ/検査結果等
患者情報/オーダ/検査結果
診療録/診療諸記録等
レセプト等
患者情報等
患者情報等
患者
医療事務/看護師等
医師/代行入力者等
医師/看護師/臨床検査技師等
待合室
受付/窓口
診察室
処置室/検査室
図 5-3 本節の例示に用いる医療情報システム等の全体構成図
37
このような継続的なリスクマネジメントの実践については、JIS Q 27001:2014 (ISO/IEC 27001:2013)とし
て標準的なプロセスが規格化されている。
37
5.1.1~5.1.6 に示したプロセスは、一度だけ実施すれば良いというものではない。対象事
業者は、医療情報システム等における情報流や脅威の変化、想定外の事態の発生等に応じ
て、医療機関等との契約締結後も継続的に実施し、見直しを行うこと37。
5.2. リスクアセスメント及びリスク対応の実施例
本節では、図 5-3 に示す医療情報システム等の例を用いて、5.1.1~5.1.5 の手順の実施例
を示す。本節で記載する例はいずれも一部を簡略化して提示している。対象事業者は、本
節で記載する手順を参考とした上で、網羅的なリスクマネジメントを行うこと。
本節の例示において想定する対象事業者が提供する医療情報システム等(電子カルテシステム及び医事会計システム)
対象事業者DC
終
端
装
置
転送
開発/保守端末
作成/保存
本番環境の設定情報や
更新用データ/テスト
データ等
医事会計サーバ
(開発環境)
ログサーバ
開発環境/本番環境の
機器上の情報等
転送
作成/保存
転送
対象事業者開発/保守拠点
本番環境の設定情報や
更新用データ/テスト
データ等
保存
電子カルテサーバ
(本番環境)
本番環境の
機器上のログ等
作成/保存
オーダ/検査結果/
診療録/診療諸記録
終端装置
イ
ン
タ
ー
ネ
ッ
ト
VPN
バックアップ
データ等
バックアップ
データ等
搬送業者
終
端
装
置
転送
転送
転送
開発/保守要員
作成/保存
媒体入出力
保管
搬送
レセプト/処方箋/
患者情報等
医事会計サーバ
(本番環境)
テープ装置
バックアップ
データ等
テープ媒体
電子カルテサーバ
(開発環境)
閲覧・操作
遠隔地
開発/保守要員
医療機関等と対象事業者
DC間の通信内容
閉域網VPN
対象事業者の提供する電子カルテシステムと連携する
医療機関等が別途契約した医療情報システム等
転送
通信回線事業者
医療機関等(診療所)
終端装置
転送
転送
転送
転送
転送
閲覧・操作
医事端末
帳票出力
閲覧・操作
閲覧・操作
問診用タブレット
プリンタ
電子カルテ端末
部門システム端末
部門システム
サーバ
検査装置
他社の提供範囲のため具体的な構成や処理の内容は不明
オーダ/検査結果等
患者情報/オーダ/検査結果
診療録/診療諸記録等
レセプト等
患者情報等
患者情報等
患者
医療事務/看護師等
医師/代行入力者等
医師/看護師/臨床検査技師等
待合室
受付/窓口
診察室
処置室/検査室
図 5-3 本節の例示に用いる医療情報システム等の全体構成図
37
このような継続的なリスクマネジメントの実践については、JIS Q 27001:2014 (ISO/IEC 27001:2013)とし
て標準的なプロセスが規格化されている。
37