よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (14 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-8
サービスにより管理する医療情報を患者等の
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
⑨
閲覧に供する場合に、受託事業者において対
応すべきセキュリティ上の措置の条件、内容
等について、医療機関等と合意する。
①-9
交換する情報の機密レベルについて、受領側
には、患者等に対して、危険性や提供目的についての納得できる説明を行い、情報シ
編
ステムに係る以外の法令等の遵守の体制等も含めた幅広い対策を立て、それぞれの責
持ち出し、破棄等)
⑭
◎
企画管理編
等と合意する。
医療機関等の管理者の患者等に対する説明責
システム運用 8.情報管理(管理、
任を明確にすること。
で機密レベルが低くならないよう、医療機関
①-10
患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合
8.情報管理(管理、持ち出
し、破棄等)
⑨
【遵守事項】
患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合に
は、患者等に対して、情報セキュリティに関するリスクや情報提供目的について説明を
行い、それぞれの責任範囲を明確にすること。
システム運用 7.情報管理(管理・
編
持出し・破棄等)
患者等に医療情報を閲覧させる場合、医療情報を公開しているコンピュータシス
テムを通じて、医療機関等の内部のシステムに不正な侵入等が起こらないように、例
えば、システムやアプリケーションを切り分け 、ファイアウォール、アクセス監
視、通信のTLS暗号化、PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の
対策を実施すること。
◎
任、管理責任等に関し、受託事業者が負う管
理責任の所在や管理方法について、医療機関
等と合意する。
①医療情報システム等
①-1
に関する構成図や仕様
医療情報システム等における機器及びソフト
◎
医療情報システム等の構成や仕様の問
題に起因する意図しない情報の虚偽入
ウェアの構成図を作成する。
力、書き換えや消去、混同が生じる。
に係るドキュメント作
企画管理編
15.技術的な安全管理対策の
管理
⑩
【遵守事項】
医療情報システム等のネットワーク構成図を
し、必要に応じて、改善措置を講じること。品質の管理方法については、担当者と協働
企画管理編
して検討すること。
成
①-2
⑩
医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理
システム運用
編
①-3
①-1、①-2で作成する各構成図に含まれる機
15.技術的な安全管
管理について、システム、サービス、情報機器等の品質を定期的に管理し、必要に応
理対策の管理
じて、改善措置を講じること。品質の管理及び確認方法については、担当者と協働し
て検討すること。
◎
作成する。
医療情報システムで用いるシステム、サービス、情報機器等の品質に関する安全
9.ソフトウェア・
③
医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に
サービスに対する要求
管理するための手順を作成し、これに従い必要な措置を講じ、企画管理者に報告する
事項
こと。
15.技術的な安全管
⑪
理対策の管理
に、具体的な手順の作成と実施を担当者に指示すること。
◎
器等について、システム要件等の説明を付し
た資料を作成する。
①-4
医療情報システム等を構成する機器及びソフ
システム運用編
◎
トウェア等の更新の仕様等に関する資料並び
9.ソフトウェア・サービスに
対する要求事項
③
【遵守事項】
医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に管
理するための手順を作成し、これに従い必要な措置を講じ、企画管理者に報告するこ
と。
にその更新履歴を作成する。
①-5
①-1~①-4で策定した資料等を医療機関等の
◎
求めに応じて提出することについて、開示内
容、範囲、条件等を医療機関等と合意する。
②機器・ソフトウェア
の導入や変更における
事前検証の実施
②-1
保守に伴う情報処理装置及びソフトウェアの
変更がもたらす影響の評価を行う。
◎
機器・ソフトウェアのバージョン不整
合やバグの混入等に起因する意図しな
企画管理編
い情報の虚偽入力、書き換え、消去及
14/39
情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるととも
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-8
サービスにより管理する医療情報を患者等の
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
⑨
閲覧に供する場合に、受託事業者において対
応すべきセキュリティ上の措置の条件、内容
等について、医療機関等と合意する。
①-9
交換する情報の機密レベルについて、受領側
には、患者等に対して、危険性や提供目的についての納得できる説明を行い、情報シ
編
ステムに係る以外の法令等の遵守の体制等も含めた幅広い対策を立て、それぞれの責
持ち出し、破棄等)
⑭
◎
企画管理編
等と合意する。
医療機関等の管理者の患者等に対する説明責
システム運用 8.情報管理(管理、
任を明確にすること。
で機密レベルが低くならないよう、医療機関
①-10
患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合
8.情報管理(管理、持ち出
し、破棄等)
⑨
【遵守事項】
患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合に
は、患者等に対して、情報セキュリティに関するリスクや情報提供目的について説明を
行い、それぞれの責任範囲を明確にすること。
システム運用 7.情報管理(管理・
編
持出し・破棄等)
患者等に医療情報を閲覧させる場合、医療情報を公開しているコンピュータシス
テムを通じて、医療機関等の内部のシステムに不正な侵入等が起こらないように、例
えば、システムやアプリケーションを切り分け 、ファイアウォール、アクセス監
視、通信のTLS暗号化、PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の
対策を実施すること。
◎
任、管理責任等に関し、受託事業者が負う管
理責任の所在や管理方法について、医療機関
等と合意する。
①医療情報システム等
①-1
に関する構成図や仕様
医療情報システム等における機器及びソフト
◎
医療情報システム等の構成や仕様の問
題に起因する意図しない情報の虚偽入
ウェアの構成図を作成する。
力、書き換えや消去、混同が生じる。
に係るドキュメント作
企画管理編
15.技術的な安全管理対策の
管理
⑩
【遵守事項】
医療情報システム等のネットワーク構成図を
し、必要に応じて、改善措置を講じること。品質の管理方法については、担当者と協働
企画管理編
して検討すること。
成
①-2
⑩
医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理
システム運用
編
①-3
①-1、①-2で作成する各構成図に含まれる機
15.技術的な安全管
管理について、システム、サービス、情報機器等の品質を定期的に管理し、必要に応
理対策の管理
じて、改善措置を講じること。品質の管理及び確認方法については、担当者と協働し
て検討すること。
◎
作成する。
医療情報システムで用いるシステム、サービス、情報機器等の品質に関する安全
9.ソフトウェア・
③
医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に
サービスに対する要求
管理するための手順を作成し、これに従い必要な措置を講じ、企画管理者に報告する
事項
こと。
15.技術的な安全管
⑪
理対策の管理
に、具体的な手順の作成と実施を担当者に指示すること。
◎
器等について、システム要件等の説明を付し
た資料を作成する。
①-4
医療情報システム等を構成する機器及びソフ
システム運用編
◎
トウェア等の更新の仕様等に関する資料並び
9.ソフトウェア・サービスに
対する要求事項
③
【遵守事項】
医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に管
理するための手順を作成し、これに従い必要な措置を講じ、企画管理者に報告するこ
と。
にその更新履歴を作成する。
①-5
①-1~①-4で策定した資料等を医療機関等の
◎
求めに応じて提出することについて、開示内
容、範囲、条件等を医療機関等と合意する。
②機器・ソフトウェア
の導入や変更における
事前検証の実施
②-1
保守に伴う情報処理装置及びソフトウェアの
変更がもたらす影響の評価を行う。
◎
機器・ソフトウェアのバージョン不整
合やバグの混入等に起因する意図しな
企画管理編
い情報の虚偽入力、書き換え、消去及
14/39
情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるととも