よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (8 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
②-2
情報を格納する機器・媒体等については、台
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
帳管理等を行い、定期的に所在確認を行う。
②-3
個人情報が保存されている機器や媒体は、
企画管理編
◎
サービスの提供及び運用上、必要最低限と
9.医療情報システムに用いる
情報機器等の資産管理
③
【遵守事項】
台帳管理されている医療情報システムに用いる情報機器等の棚卸を定期的に行い、
存在確認を行うこと。また担当者と協働して、滅失状況などについても適宜確認するこ
と。
し、定期的に所在確認や棚卸し等を行う。
③システム構成やソフ
③-1
システム構成やソフトウェアの動作状況に関
◎
システム構成やソフトウェアの不備に
トウェアの動作状況に
する内部監査の内容、手順等を運用管理規程
より、意図しない情報の虚偽入力、書
関する内部監査の実施
等に含める。
き換えや消去、混同が生じる。
①組織外に持出する情
①-1
物理的に情報を搬送する際には以下の対策を
報に対する暗号化等の
実施する。
対策
・ 医療機関等が合意する基準にもとづいて信
◎
企画管理編
15.技術的な安全管理対策の
管理
【遵守事項】
⑫
システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施するこ
と。
企画管理編
15.技術的な安全管
⑫ システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施するこ
理対策の管理
と。
搬送中の電子媒体内の情報が抜き取ら
れることで、情報漏洩が生じる。
頼できる配送業者を選択する。
・ 配送時の作業者については、発送元、受領
先の双方で身分確認を行い第三者によるなり
すましを防ぐ。
・ 配送業者等による電子媒体の抜き取り等を
防ぐため、交換する電子媒体の数と種類につ
いて、予め情報交換して受領時に欠損が無い
ことを確認する。
システム運用編
・ 配送業者等による電子媒体からの情報の抜
7.情報管理(管理・持出し・
破棄等)
②
【遵守事項】
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁止
すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾するこ
と。
き取りを防ぐため、不正な開封を検出するこ
システム運用 7.情報管理(管理・
編
持出し・破棄等)
②
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁
止すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾す
ること。
とのできるコンテナ等を利用する。
・ 電子媒体を発送、受領する際は、配送業者
と直接行い、第三者を介さない。
・ 電子媒体により情報を交換する場合、移送
中の安全管理上のリスクがある場合には電子
媒体内のデータに暗号化を施す。
1.6. 物理的に情報を搬送
する場合の対策
システム運用編
①受託した医療情報の
①-1
解析及び第三者提供の
受託した医療情報を保守・運用を行うために
◎
閲覧するのは必要最小限とする。
7.情報管理(管理・持出し・
破棄等)
③
【遵守事項】
医療情報及び情報機器等の持出しに際しての盗難、置き忘れ等に対応する措置とし
て、医療情報や情報機器等に対する暗号化やアクセスパスワードの設定等、容易に内容
を読み取られないようにすること。
システム運用 7.情報管理(管理・
編
持出し・破棄等)
企画管理編
1.管理体系
③
医療情報及び情報機器等の持出しに際しての盗難、置き忘れ等に対応する措置と
して、医療情報や情報機器等に対する暗号化やアクセスパスワードの設定等、容易に
内容を読み取られないようにすること。
患者等からの同意を得ないまま、医療
情報の解析や第三者提供が行われる。
制限
企画管理編
①-2
①-1の閲覧が必要な場合には、緊急時を除
1.管理体系
【遵守事項】
①
医療情報システムの管理に関する法令等について理解し、医療機関等の組織全体と
して法令等を遵守できるよう、必要な措置を講じること。
①
医療情報の管理に関する法令等について理解し、医療機関等の組織が遵守できる
よう、必要な措置を講じること。
◎
き、システム管理者の事前・事後の承認によ
り実施する。
②
企画管理編
1.管理体系
【遵守事項】
②
委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等
に対しても①に関して必要な措置を講じるよう契約において求め、その対応状況を定期
企画管理編
的に把握すること。委託先事業者が再委託を用いる場合も同様の対応をすること。
①-3
受託した医療情報を緊急時に閲覧した場合に
7.安全管理のための
は、閲覧した受託情報の範囲及び緊急で閲覧
7.安全管理のための人的管理
企画管理編
承認を得る。
め、その状況を定期的に把握すること。委託先事業者が再委託を用いる場合も同様の
対応をすること。
◎
が必要な理由等を示して、システム管理者の
1.管理体系
委託先事業者等に対しても①に関して必要な措置を講じるよう契約において求
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
①-4
①-1~①-3における閲覧に係る範囲、手順等
◎
について、医療機関等と合意する。また①-
7.安全管理のための
2、①-3により医療情報を閲覧した場合に、
速やかに医療機関等にその旨の報告を行う。
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
育・訓練、事業者選定・契約)
【遵守事項】
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
約)
8/39
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
②-2
情報を格納する機器・媒体等については、台
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
帳管理等を行い、定期的に所在確認を行う。
②-3
個人情報が保存されている機器や媒体は、
企画管理編
◎
サービスの提供及び運用上、必要最低限と
9.医療情報システムに用いる
情報機器等の資産管理
③
【遵守事項】
台帳管理されている医療情報システムに用いる情報機器等の棚卸を定期的に行い、
存在確認を行うこと。また担当者と協働して、滅失状況などについても適宜確認するこ
と。
し、定期的に所在確認や棚卸し等を行う。
③システム構成やソフ
③-1
システム構成やソフトウェアの動作状況に関
◎
システム構成やソフトウェアの不備に
トウェアの動作状況に
する内部監査の内容、手順等を運用管理規程
より、意図しない情報の虚偽入力、書
関する内部監査の実施
等に含める。
き換えや消去、混同が生じる。
①組織外に持出する情
①-1
物理的に情報を搬送する際には以下の対策を
報に対する暗号化等の
実施する。
対策
・ 医療機関等が合意する基準にもとづいて信
◎
企画管理編
15.技術的な安全管理対策の
管理
【遵守事項】
⑫
システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施するこ
と。
企画管理編
15.技術的な安全管
⑫ システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施するこ
理対策の管理
と。
搬送中の電子媒体内の情報が抜き取ら
れることで、情報漏洩が生じる。
頼できる配送業者を選択する。
・ 配送時の作業者については、発送元、受領
先の双方で身分確認を行い第三者によるなり
すましを防ぐ。
・ 配送業者等による電子媒体の抜き取り等を
防ぐため、交換する電子媒体の数と種類につ
いて、予め情報交換して受領時に欠損が無い
ことを確認する。
システム運用編
・ 配送業者等による電子媒体からの情報の抜
7.情報管理(管理・持出し・
破棄等)
②
【遵守事項】
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁止
すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾するこ
と。
き取りを防ぐため、不正な開封を検出するこ
システム運用 7.情報管理(管理・
編
持出し・破棄等)
②
保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁
止すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾す
ること。
とのできるコンテナ等を利用する。
・ 電子媒体を発送、受領する際は、配送業者
と直接行い、第三者を介さない。
・ 電子媒体により情報を交換する場合、移送
中の安全管理上のリスクがある場合には電子
媒体内のデータに暗号化を施す。
1.6. 物理的に情報を搬送
する場合の対策
システム運用編
①受託した医療情報の
①-1
解析及び第三者提供の
受託した医療情報を保守・運用を行うために
◎
閲覧するのは必要最小限とする。
7.情報管理(管理・持出し・
破棄等)
③
【遵守事項】
医療情報及び情報機器等の持出しに際しての盗難、置き忘れ等に対応する措置とし
て、医療情報や情報機器等に対する暗号化やアクセスパスワードの設定等、容易に内容
を読み取られないようにすること。
システム運用 7.情報管理(管理・
編
持出し・破棄等)
企画管理編
1.管理体系
③
医療情報及び情報機器等の持出しに際しての盗難、置き忘れ等に対応する措置と
して、医療情報や情報機器等に対する暗号化やアクセスパスワードの設定等、容易に
内容を読み取られないようにすること。
患者等からの同意を得ないまま、医療
情報の解析や第三者提供が行われる。
制限
企画管理編
①-2
①-1の閲覧が必要な場合には、緊急時を除
1.管理体系
【遵守事項】
①
医療情報システムの管理に関する法令等について理解し、医療機関等の組織全体と
して法令等を遵守できるよう、必要な措置を講じること。
①
医療情報の管理に関する法令等について理解し、医療機関等の組織が遵守できる
よう、必要な措置を講じること。
◎
き、システム管理者の事前・事後の承認によ
り実施する。
②
企画管理編
1.管理体系
【遵守事項】
②
委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等
に対しても①に関して必要な措置を講じるよう契約において求め、その対応状況を定期
企画管理編
的に把握すること。委託先事業者が再委託を用いる場合も同様の対応をすること。
①-3
受託した医療情報を緊急時に閲覧した場合に
7.安全管理のための
は、閲覧した受託情報の範囲及び緊急で閲覧
7.安全管理のための人的管理
企画管理編
承認を得る。
め、その状況を定期的に把握すること。委託先事業者が再委託を用いる場合も同様の
対応をすること。
◎
が必要な理由等を示して、システム管理者の
1.管理体系
委託先事業者等に対しても①に関して必要な措置を講じるよう契約において求
(職員管理、事業者管理、教
【遵守事項】
育・訓練、事業者選定・契約)
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
①
医療情報を取り扱う者を職員として採用するに当たって、雇用契約に雇用中及び
退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
約)
①-4
①-1~①-3における閲覧に係る範囲、手順等
◎
について、医療機関等と合意する。また①-
7.安全管理のための
2、①-3により医療情報を閲覧した場合に、
速やかに医療機関等にその旨の報告を行う。
7.安全管理のための人的管理
企画管理編
(職員管理、事業者管理、教
育・訓練、事業者選定・契約)
【遵守事項】
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に
守秘・非開示に関する内容を含めること。
人的管理(職員管理、
企画管理編
事業者管理、教育・訓
練、事業者選定・契
約)
8/39
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約等におい
て、守秘・非開示に関する条項を含めること。