よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (3 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
③-8
物理的な破壊措置については受託事業者自身
〇
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
で行うことが望ましいが、外部の事業者に依
頼する場合には、事業者選択の根拠を医療機
関等に示し外部委託の了承を得ておく。ま
た、破壊措置により情報の読み出しが不可能
となったことの証明書等を受け取り、保管し
ておく。
なお、ハードディスクの廃棄方法としては、
一定以上の強度を持つ磁力線を照射する方
法、溶融処理等の物理的破壊措置が確実であ
⑪
るが、ランダムデータ及び固定パターンの複
外部保存を受託する事業者に破棄を委託した場合は、確実に医療情報が破棄された
ことを、証憑または事業者の説明により確認すること。
数回の書き込みを行うソフトウェア実行によ
るデータ消去方式(NSA 推奨方式、米国防総
省準拠方式、NATO 方式、グートマン方式
等)も良く利用されている。保存されている
情報の重要性に合わせて適切な方式を選択
し、医療機関等側に選択の合理的な理由を説
明、合意を得た上で実施することが望まし
い。
③-9
電子媒体を廃棄する場合には、物理的な破壊
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
◎
措置(高温による融解、裁断等)を適用し、
情報の読み出しが不可能であることを確認す
る。
⑩
情報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこと。ま
た、破棄終了後に、残存し、読み出し可能な医療情報がないことを確認すること。
③-10
運用管理規程に以下の内容を定める。
◎
・管理する個人情報又はこれを格納する媒体
等について、医療情報システム等提供上の要
否の確認を定期的に行うこと。
・医療情報システム等提供上不要とされた個
人情報及びこれを格納する媒体についての破
棄手順。
企画管理編
・医療情報システム等提供上不要とされた個
8.情報管理(管理、
持ち出し、破棄等)
人情報及びこれを格納する媒体の破棄に際し
⑪
医療情報の破棄に関する手順等を定める際に、情報種別ごとに破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
を含めること。
て、医療機関等が不測の損害を被らないよう
にするための措置(事前に破棄の基準等を告知
する等)。
③-11
情報の破棄手順について、医療機関等と合意
企画管理編
8.情報管理(管理、持ち出
し、破棄等)
⑪
【遵守事項】
医療情報の破棄に関する手順等を定める際は、情報種別ごとに破棄の手順を定める
こと。当該手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
を含めること。
◎
する。
④情報や機器の組織外
④-1
への持出に対する対策
受託する個人情報を運用や保守に用いる端末
◎
システム運用 7.情報管理(管理・
に原則保存しない旨、自社の運用管理規程等
に定める。
④-2
医療情報を格納する機器等を、保守(例えば
編
◎
機器の修理等)の目的で、医療機関等又は受
託事業者等(再委託事業者含む)の組織外に
持ち出す必要がある場合には、その手順を策
定する。
④-3
④-2で定める手順及び情報の提供条件につい
◎
て、医療機関等と合意する。
④-4
持ち出した機器を再度設置するための適切な
◎
検証手順を策定する。
④-5
保守点検で障害不良等が発見された際の対応
◎
作業等を行う際には受託事業者の管理する領
域にて行うこととし、外部に持ち出すことが
無いようにする。必要により外部に持ち出し
ての作業が必要な場合には、装置内の電磁的
記録を確実に消去してから持ち出す。記憶装
置等、障害により情報の消去が不可能となっ
ている装置については補修ではなく物理的な
破壊を行ってからの廃棄を選択する。
持ち出した機器に格納された情報が漏
洩する又は、持ち帰った機器から不正
なプログラムが感染拡大する。
システム運用編
7.情報管理(管理・持出し・
破棄等)
②
【遵守事項】
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁止
すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾するこ
と。
3/39
持出し・破棄等)
②
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁
止すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾す
ること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
③-8
物理的な破壊措置については受託事業者自身
〇
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
で行うことが望ましいが、外部の事業者に依
頼する場合には、事業者選択の根拠を医療機
関等に示し外部委託の了承を得ておく。ま
た、破壊措置により情報の読み出しが不可能
となったことの証明書等を受け取り、保管し
ておく。
なお、ハードディスクの廃棄方法としては、
一定以上の強度を持つ磁力線を照射する方
法、溶融処理等の物理的破壊措置が確実であ
⑪
るが、ランダムデータ及び固定パターンの複
外部保存を受託する事業者に破棄を委託した場合は、確実に医療情報が破棄された
ことを、証憑または事業者の説明により確認すること。
数回の書き込みを行うソフトウェア実行によ
るデータ消去方式(NSA 推奨方式、米国防総
省準拠方式、NATO 方式、グートマン方式
等)も良く利用されている。保存されている
情報の重要性に合わせて適切な方式を選択
し、医療機関等側に選択の合理的な理由を説
明、合意を得た上で実施することが望まし
い。
③-9
電子媒体を廃棄する場合には、物理的な破壊
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
◎
措置(高温による融解、裁断等)を適用し、
情報の読み出しが不可能であることを確認す
る。
⑩
情報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこと。ま
た、破棄終了後に、残存し、読み出し可能な医療情報がないことを確認すること。
③-10
運用管理規程に以下の内容を定める。
◎
・管理する個人情報又はこれを格納する媒体
等について、医療情報システム等提供上の要
否の確認を定期的に行うこと。
・医療情報システム等提供上不要とされた個
人情報及びこれを格納する媒体についての破
棄手順。
企画管理編
・医療情報システム等提供上不要とされた個
8.情報管理(管理、
持ち出し、破棄等)
人情報及びこれを格納する媒体の破棄に際し
⑪
医療情報の破棄に関する手順等を定める際に、情報種別ごとに破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
を含めること。
て、医療機関等が不測の損害を被らないよう
にするための措置(事前に破棄の基準等を告知
する等)。
③-11
情報の破棄手順について、医療機関等と合意
企画管理編
8.情報管理(管理、持ち出
し、破棄等)
⑪
【遵守事項】
医療情報の破棄に関する手順等を定める際は、情報種別ごとに破棄の手順を定める
こと。当該手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
を含めること。
◎
する。
④情報や機器の組織外
④-1
への持出に対する対策
受託する個人情報を運用や保守に用いる端末
◎
システム運用 7.情報管理(管理・
に原則保存しない旨、自社の運用管理規程等
に定める。
④-2
医療情報を格納する機器等を、保守(例えば
編
◎
機器の修理等)の目的で、医療機関等又は受
託事業者等(再委託事業者含む)の組織外に
持ち出す必要がある場合には、その手順を策
定する。
④-3
④-2で定める手順及び情報の提供条件につい
◎
て、医療機関等と合意する。
④-4
持ち出した機器を再度設置するための適切な
◎
検証手順を策定する。
④-5
保守点検で障害不良等が発見された際の対応
◎
作業等を行う際には受託事業者の管理する領
域にて行うこととし、外部に持ち出すことが
無いようにする。必要により外部に持ち出し
ての作業が必要な場合には、装置内の電磁的
記録を確実に消去してから持ち出す。記憶装
置等、障害により情報の消去が不可能となっ
ている装置については補修ではなく物理的な
破壊を行ってからの廃棄を選択する。
持ち出した機器に格納された情報が漏
洩する又は、持ち帰った機器から不正
なプログラムが感染拡大する。
システム運用編
7.情報管理(管理・持出し・
破棄等)
②
【遵守事項】
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁止
すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾するこ
と。
3/39
持出し・破棄等)
②
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁
止すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾す
ること。