よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (6 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
1.2. 個人情報を含まない ①医療情報システム等
テストデータの利用
対策項目で対応できる
No.
内容
区分
①-1
医療情報を操作する可能性のある受託事業者
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
医療情報システム等提供に係る職員
提供に係る職員全てと
の職員全てについて、雇用契約時あるいは医
(派遣従業員含む)のうち悪意をもっ
の守秘義務に係る契約
療情報を扱う職務に着任する際の条件として
た者による情報漏洩が行われる。
締結
秘密保持契約への署名を求める。派遣従業員
7.安全管理のための
7.安全管理のための人的管理
企画管理編
については守秘義務及び継続的な情報セキュ
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
リティ教育を課すことを条件に選定、派遣す
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
ることを求める。
7.安全管理のための
1.3. 守秘義務に係る契約
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①-2
医療情報を操作する可能性のある受託事業者
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
約)
7.安全管理のための
7.安全管理のための人的管理
義務に関する内容を就業規則等に含める。
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
医療情報を操作する受託事業者の職員(派遣
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
◎
の職員(派遣従業員含む)については、守秘
①-3
③
④
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
④
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
約)
◎
従業員含む)が退職する際には、貸与された
情報資産の全てについて返却し、返却が完全
であることを確認するための台帳及び返却確
7.安全管理のための
認手続きを予め規定しておく。また、業務上
7.安全管理のための人的管理
知りえた医療情報について退職後も秘密とし
企画管理編
て管理することを記した合意書への署名を求
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
める。派遣従業員については、派遣契約解除
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
時に同等の合意書への署名を求める。
7.安全管理のための
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①-4
医療情報を操作する受託事業者の職員(派遣
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
練、事業者選定・契
◎
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
7.安全管理のための
人的管理(職員管理、
り扱った個人情報に関する守秘義務等につい
企画管理編
て、雇用契約又は派遣契約に含めるか、就業
事業者管理、教育・訓
練、事業者選定・契
規則等に含める。
上記に違反した受託事業者(派遣従業員含
③
約)
従業員含む)が退職した場合の、就業中に取
①-5
事業者管理、教育・訓
④
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
約)
◎
む)の職員に対して、適切な懲戒手続きを課
④
7.安全管理のための人的管理
すことを、雇用契約又は派遣契約に含める
企画管理編
か、就業規則等に含める。定めた懲戒手続き
(職員管理、事業者管理、教
【遵守事項】
こと
育・訓練、事業者選定・契約)
については各職員に周知し、理解したことの
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求める
確認を行う。
①-6
医療情報を操作する受託事業者の職員(派遣
◎
従業員含む)に対する教育・訓練の実施状況
や、守秘義務等への対応状況等に関する資料
の提供について、医療機関等と合意する。
②医療機関等や再委託
②-1
医療情報システム等に係る情報及び受託した
◎
医療情報システム等提供に係る事業者
先との守秘義務を含め
情報に関する守秘義務について、医療情報シ
(再委託先も含む)による故意又は過
た契約の締結
ステム等提供に係る契約に含める。契約に
失による情報漏洩が行われる。
は、守秘義務に違反した受託事業者にはペナ
企画管理編
ルティが課されること、及び委託した情報の
取扱いに対する医療機関等による監督に関す
15.技術的な安全管理対策の
管理
⑧
【遵守事項】
保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。ま
た、必要に応じて、保守を行うシステム関連事業者と契約や
SLA等により管理項目に
ついて取決めを行うこと。
る内容を含める。
②-2
医療情報システム等の動作確認に際し、受託
◎
した個人情報を含むデータをやむを得ず使用
する場合には、守秘義務が課された要員・委
託先等により動作確認を行う旨を含めた手順
⑨
を定める。
②-3
医療情報システム等の動作確認に際し、受託
企画管理編
15.技術的な安全管理対策の
管理
【遵守事項】
医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情
報を用いないことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる
場合には、漏洩等が生じないために必要な対策を講じる旨を示し、その具体的な手順の
策定を担当者に指示すること。
◎
した個人情報をやむを得ず使用する場合につ
いて、医療機関等と合意する。
①医療情報システム等
1.4. 教育訓練の実施
①-1
医療情報を操作する可能性のある受託事業者
◎
提供に係る教育訓練の
の職員の全てに個人情報保護及び情報セキュ
(派遣従業員含む)が定められた手順
実施
リティに関する教育を行い、一定水準の理解
を理解しないことで、過失による事故
を得た職員だけを業務に従事させる。
が発生する。
①-2
派遣従業員に関しては、派遣元に対し、個人
7.安全管理のための
医療情報システム等提供に係る職員
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施するこ
と。また、教育・訓練の実施状況について定期的に経営層に報告すること。
人的管理(職員管理、
企画管理編
練、事業者選定・契
職員に対し個人情報の安全管理に関する教育・訓練を、採用時及び定期的に実施
すること。また教育・訓練の実施状況は、定期的に経営層に報告すること。
7.安全管理のための
情報保護及び情報セキュリティに関する一定
7.安全管理のための人的管理
企画管理編
ができる人員を選定、派遣することを求め、
②
約)
◎
水準の知識、理解を持つ、あるいは持つこと
事業者管理、教育・訓
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
受入れ後に正規職員同等の教育を行う。
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
約)
7.安全管理のための
この教育は新しい脅威や情報セキュリティ技
①-3
術の推移に合わせて定期的に行う。
7.安全管理のための人的管理
◎
企画管理編
(職員管理、事業者管理、教
育・訓練、事業者選定・契約)
④
【遵守事項】
人的管理(職員管理、
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求める
こと。
企画管理編
事業者管理、教育・訓
練、事業者選定・契
約)
6/39
④
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
1.2. 個人情報を含まない ①医療情報システム等
テストデータの利用
対策項目で対応できる
No.
内容
区分
①-1
医療情報を操作する可能性のある受託事業者
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
医療情報システム等提供に係る職員
提供に係る職員全てと
の職員全てについて、雇用契約時あるいは医
(派遣従業員含む)のうち悪意をもっ
の守秘義務に係る契約
療情報を扱う職務に着任する際の条件として
た者による情報漏洩が行われる。
締結
秘密保持契約への署名を求める。派遣従業員
7.安全管理のための
7.安全管理のための人的管理
企画管理編
については守秘義務及び継続的な情報セキュ
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
リティ教育を課すことを条件に選定、派遣す
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
ることを求める。
7.安全管理のための
1.3. 守秘義務に係る契約
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①-2
医療情報を操作する可能性のある受託事業者
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
約)
7.安全管理のための
7.安全管理のための人的管理
義務に関する内容を就業規則等に含める。
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
医療情報を操作する受託事業者の職員(派遣
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
◎
の職員(派遣従業員含む)については、守秘
①-3
③
④
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
④
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
約)
◎
従業員含む)が退職する際には、貸与された
情報資産の全てについて返却し、返却が完全
であることを確認するための台帳及び返却確
7.安全管理のための
認手続きを予め規定しておく。また、業務上
7.安全管理のための人的管理
知りえた医療情報について退職後も秘密とし
企画管理編
て管理することを記した合意書への署名を求
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
める。派遣従業員については、派遣契約解除
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
時に同等の合意書への署名を求める。
7.安全管理のための
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①-4
医療情報を操作する受託事業者の職員(派遣
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
練、事業者選定・契
◎
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
7.安全管理のための
人的管理(職員管理、
り扱った個人情報に関する守秘義務等につい
企画管理編
て、雇用契約又は派遣契約に含めるか、就業
事業者管理、教育・訓
練、事業者選定・契
規則等に含める。
上記に違反した受託事業者(派遣従業員含
③
約)
従業員含む)が退職した場合の、就業中に取
①-5
事業者管理、教育・訓
④
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
約)
◎
む)の職員に対して、適切な懲戒手続きを課
④
7.安全管理のための人的管理
すことを、雇用契約又は派遣契約に含める
企画管理編
か、就業規則等に含める。定めた懲戒手続き
(職員管理、事業者管理、教
【遵守事項】
こと
育・訓練、事業者選定・契約)
については各職員に周知し、理解したことの
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求める
確認を行う。
①-6
医療情報を操作する受託事業者の職員(派遣
◎
従業員含む)に対する教育・訓練の実施状況
や、守秘義務等への対応状況等に関する資料
の提供について、医療機関等と合意する。
②医療機関等や再委託
②-1
医療情報システム等に係る情報及び受託した
◎
医療情報システム等提供に係る事業者
先との守秘義務を含め
情報に関する守秘義務について、医療情報シ
(再委託先も含む)による故意又は過
た契約の締結
ステム等提供に係る契約に含める。契約に
失による情報漏洩が行われる。
は、守秘義務に違反した受託事業者にはペナ
企画管理編
ルティが課されること、及び委託した情報の
取扱いに対する医療機関等による監督に関す
15.技術的な安全管理対策の
管理
⑧
【遵守事項】
保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。ま
た、必要に応じて、保守を行うシステム関連事業者と契約や
SLA等により管理項目に
ついて取決めを行うこと。
る内容を含める。
②-2
医療情報システム等の動作確認に際し、受託
◎
した個人情報を含むデータをやむを得ず使用
する場合には、守秘義務が課された要員・委
託先等により動作確認を行う旨を含めた手順
⑨
を定める。
②-3
医療情報システム等の動作確認に際し、受託
企画管理編
15.技術的な安全管理対策の
管理
【遵守事項】
医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情
報を用いないことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる
場合には、漏洩等が生じないために必要な対策を講じる旨を示し、その具体的な手順の
策定を担当者に指示すること。
◎
した個人情報をやむを得ず使用する場合につ
いて、医療機関等と合意する。
①医療情報システム等
1.4. 教育訓練の実施
①-1
医療情報を操作する可能性のある受託事業者
◎
提供に係る教育訓練の
の職員の全てに個人情報保護及び情報セキュ
(派遣従業員含む)が定められた手順
実施
リティに関する教育を行い、一定水準の理解
を理解しないことで、過失による事故
を得た職員だけを業務に従事させる。
が発生する。
①-2
派遣従業員に関しては、派遣元に対し、個人
7.安全管理のための
医療情報システム等提供に係る職員
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施するこ
と。また、教育・訓練の実施状況について定期的に経営層に報告すること。
人的管理(職員管理、
企画管理編
練、事業者選定・契
職員に対し個人情報の安全管理に関する教育・訓練を、採用時及び定期的に実施
すること。また教育・訓練の実施状況は、定期的に経営層に報告すること。
7.安全管理のための
情報保護及び情報セキュリティに関する一定
7.安全管理のための人的管理
企画管理編
ができる人員を選定、派遣することを求め、
②
約)
◎
水準の知識、理解を持つ、あるいは持つこと
事業者管理、教育・訓
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
受入れ後に正規職員同等の教育を行う。
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
約)
7.安全管理のための
この教育は新しい脅威や情報セキュリティ技
①-3
術の推移に合わせて定期的に行う。
7.安全管理のための人的管理
◎
企画管理編
(職員管理、事業者管理、教
育・訓練、事業者選定・契約)
④
【遵守事項】
人的管理(職員管理、
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求める
こと。
企画管理編
事業者管理、教育・訓
練、事業者選定・契
約)
6/39
④
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。