よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (7 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
No.
対策項目で対応できる
内容
区分
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
7.安全管理のための
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
7.安全管理のための
医療情報を操作する受託事業者の職員(派遣
①-4
従業員含む)の退職時又は契約終了時以降の
守秘義務について、教育・訓練に含める。
7.安全管理のための人的管理
◎
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
約)
7.安全管理のための
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①医療情報システム等
①-1
受託事業者の職員による安全管理策違反の疑
◎
④
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求めること。
人的管理(職員管理、
企画管理編
練、事業者選定・契
いが発生した際には、ただちに医療情報への
(派遣従業員含む)が業務上不必要な
内容のモニタリング
アクセス権を停止し、改竄又は破壊等の行為
医療情報の閲覧や操作を行う。
が行われていないことを検証する。
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
1.5. 運用状況のモニタリ
③
システム運用編
12.物理的安全管理措置
【遵守事項】
医療情報が保存されている場所等については、記録・識別、入退室の制限等の管理
を行うこと。また、医療情報の保管場所には施錠等の対応を行うこと。
②
ング
企画管理編
医療情報システム等の保守業務を行う際に
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
8.情報管理(管理、
③
持ち出し、破棄等)
理を行うこと。また医療情報の保管場所には施錠等の対応を行うこと。
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
医療情報が保存されている場所等については、記録・識別、入退室の制限等の管
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
メラ、自動侵入監視装置等が設置されていることを確認すること。
①-2
④
約)
医療情報システム等提供に係る職員
提供に係る閲覧・操作
事業者管理、教育・訓
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
◎
は、原則として業務の事前及び事後に医療機
関等の管理者に対して書面等による通知を行
う。事前の了解を必要とする業務及びその業
企画管理編
務について事前の了解を得ることができない
15.技術的な安全管理対策の
管理
⑧
【遵守事項】
保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。ま
た、必要に応じて、保守を行うシステム関連事業者と契約やSLA等により管理項目につ
いて取決めを行うこと。
場合の対応方法について、医療機関等と合意
する。
①-3
保守業務実施後には、医療機関等に対し報告
◎
等を行い、医療機関等の管理者の確認を得
⑨
る。本手順の対応について、医療機関等と合
企画管理編
意する。
15.技術的な安全管理対策の
管理
【遵守事項】
医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情
報を用いないことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる
場合には、漏洩等が生じないために必要な対策を講じる旨を示し、その具体的な手順の
策定を担当者に指示すること。
①-4
医療情報システム等の保守業務を医療機関等
◎
の施設内で行う際の対応について、医療機関
企画管理編
等と合意する。
②機器や媒体の定期的
な所在確認
②-1
電子媒体は台帳を作成して管理する。台帳と
◎
失・盗難を早期を発見できず、被害が
生を検証する。台帳においては利用に関する
拡大する。
わたり記録を維持する。
管理
⑧
【遵守事項】
保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。ま
た、必要に応じて、保守を行うシステム関連事業者と契約やSLA等により管理項目につ
いて取決めを行うこと。
機器や媒体の紛失・盗難発生時に、紛
電子媒体を定期的に検証し、盗難、紛失の発
記録を行い、電子媒体の廃棄後も一定期間に
15.技術的な安全管理対策の
企画管理編
9.医療情報システムに用いる
情報機器等の資産管理
②
【遵守事項】
医療機関等が管理する情報機器等について、台帳管理等を行うこと。台帳管理等の
対象は、医療機関等内部の購入部署や購入形態に関わらず、医療情報システムで利用す
る情報機器等全てとすること。
7/39
企画管理編
7.情報管理(管理・
持出し・破棄等)
⑦
医療情報が格納された可搬媒体及び情報機器の所在を台帳等により管理に関する
手順を作成し、これに基づき持出し等の対応を行う。併せて定期的に棚卸を行う手順
を作成する。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
No.
対策項目で対応できる
内容
区分
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
7.安全管理のための
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
7.安全管理のための
医療情報を操作する受託事業者の職員(派遣
①-4
従業員含む)の退職時又は契約終了時以降の
守秘義務について、教育・訓練に含める。
7.安全管理のための人的管理
◎
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
約)
7.安全管理のための
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①医療情報システム等
①-1
受託事業者の職員による安全管理策違反の疑
◎
④
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよ
う求めること。
人的管理(職員管理、
企画管理編
練、事業者選定・契
いが発生した際には、ただちに医療情報への
(派遣従業員含む)が業務上不必要な
内容のモニタリング
アクセス権を停止し、改竄又は破壊等の行為
医療情報の閲覧や操作を行う。
が行われていないことを検証する。
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
1.5. 運用状況のモニタリ
③
システム運用編
12.物理的安全管理措置
【遵守事項】
医療情報が保存されている場所等については、記録・識別、入退室の制限等の管理
を行うこと。また、医療情報の保管場所には施錠等の対応を行うこと。
②
ング
企画管理編
医療情報システム等の保守業務を行う際に
③における委託契約において、当該事業者の就業規則に①及び②の対応が含まれ
ることを求めること。
8.情報管理(管理、
③
持ち出し、破棄等)
理を行うこと。また医療情報の保管場所には施錠等の対応を行うこと。
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
医療情報が保存されている場所等については、記録・識別、入退室の制限等の管
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
メラ、自動侵入監視装置等が設置されていることを確認すること。
①-2
④
約)
医療情報システム等提供に係る職員
提供に係る閲覧・操作
事業者管理、教育・訓
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
◎
は、原則として業務の事前及び事後に医療機
関等の管理者に対して書面等による通知を行
う。事前の了解を必要とする業務及びその業
企画管理編
務について事前の了解を得ることができない
15.技術的な安全管理対策の
管理
⑧
【遵守事項】
保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。ま
た、必要に応じて、保守を行うシステム関連事業者と契約やSLA等により管理項目につ
いて取決めを行うこと。
場合の対応方法について、医療機関等と合意
する。
①-3
保守業務実施後には、医療機関等に対し報告
◎
等を行い、医療機関等の管理者の確認を得
⑨
る。本手順の対応について、医療機関等と合
企画管理編
意する。
15.技術的な安全管理対策の
管理
【遵守事項】
医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情
報を用いないことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる
場合には、漏洩等が生じないために必要な対策を講じる旨を示し、その具体的な手順の
策定を担当者に指示すること。
①-4
医療情報システム等の保守業務を医療機関等
◎
の施設内で行う際の対応について、医療機関
企画管理編
等と合意する。
②機器や媒体の定期的
な所在確認
②-1
電子媒体は台帳を作成して管理する。台帳と
◎
失・盗難を早期を発見できず、被害が
生を検証する。台帳においては利用に関する
拡大する。
わたり記録を維持する。
管理
⑧
【遵守事項】
保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。ま
た、必要に応じて、保守を行うシステム関連事業者と契約やSLA等により管理項目につ
いて取決めを行うこと。
機器や媒体の紛失・盗難発生時に、紛
電子媒体を定期的に検証し、盗難、紛失の発
記録を行い、電子媒体の廃棄後も一定期間に
15.技術的な安全管理対策の
企画管理編
9.医療情報システムに用いる
情報機器等の資産管理
②
【遵守事項】
医療機関等が管理する情報機器等について、台帳管理等を行うこと。台帳管理等の
対象は、医療機関等内部の購入部署や購入形態に関わらず、医療情報システムで利用す
る情報機器等全てとすること。
7/39
企画管理編
7.情報管理(管理・
持出し・破棄等)
⑦
医療情報が格納された可搬媒体及び情報機器の所在を台帳等により管理に関する
手順を作成し、これに基づき持出し等の対応を行う。併せて定期的に棚卸を行う手順
を作成する。