よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ」 (5 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
具体例として、ガイドラインの「2.2.2. 複数の事業者が提供するケース」と「2.2.3. 医療
機関等が複数事業者と契約するケース」が挙げられます。
「2.2.2. 複数の事業者が提供するケース」のケース1では、事業者 A が他の事業者 B を
選定した上で直接契約し、事業者 B の構成要素を含めてリスクマネジメントを行い、医療
機関等と合意形成を行います。
一方、
「2.2.3. 医療機関等が複数事業者と契約するケース」では、事業者 A は、事業者 B
の選定に関与しておらず、事業者 AB 間で直接的契約がなされていません。
「2.2.2. 複数の
事業者が提供するケース」とは異なり、事業者 A は事業者 B に対してリスクマネジメント
を行うことはできず、医療機関等は事業者 B に対してリスクマネジメントを確認する必要
があります。この点についてガイドラインでは、
「本ガイドラインが求める対応の対象範囲
に、対象事業者 B が提供する構成要素(情報連携のための API 等含む )を含めること。
」
としています。
ただし、事業者 A が事業者 B のシステムについて医療機関等を通じて把握できれば良い
のですが、事業者 A は事業者 B のシステムについて不明である場合があります。その場合、
事業者 A がアプリケーション及びプラットフォームを医療機関等に提供する際には、事業
者 B の構成要素を含めた上で、つまり不明なインフラ上で事業者 A のシステムが利用され
る場合には、どのようなリスクがあるのか医療機関等に対して伝え、事業者 A の負う責任
の範囲を明確化し、合意形成した上で、事業者 A のシステムを医療機関等に提供すること
になります。
また、事業者 A が事業者 B を調達しても、契約上は、医療機関等と事業者 B が直接契約
する場合もあります。その場合、事業者 A は事業者 B の構成要素は不明ではなく、具体的
に把握しているため、
「2.2.2. 複数の事業者が提供するケース」と同様、事業者 A は事業
者 B の構成要素の内容を含めてリスクマネジメントを行い、医療機関等と合意形成を行い
ます。
医療情報システム等がマルチクラウドやマルチベンダーなど複数の事業者により提供さ
れるシステム・サービスで運用される場合、ある事業者の提供サービスや契約の変更が、他
の事業者の提供サービスに影響を及ぼすことがあります。関係者間でサービスや契約変更
に関する通知などの責務について検討、合意形成が重要と考えられます。
2.2. 医療情報連携ネットワークの取扱いはどうなるのか?
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドラ
イン」では、医療情報連携ネットワークが対象範囲となる場合がある旨を記述していました。
3
機関等が複数事業者と契約するケース」が挙げられます。
「2.2.2. 複数の事業者が提供するケース」のケース1では、事業者 A が他の事業者 B を
選定した上で直接契約し、事業者 B の構成要素を含めてリスクマネジメントを行い、医療
機関等と合意形成を行います。
一方、
「2.2.3. 医療機関等が複数事業者と契約するケース」では、事業者 A は、事業者 B
の選定に関与しておらず、事業者 AB 間で直接的契約がなされていません。
「2.2.2. 複数の
事業者が提供するケース」とは異なり、事業者 A は事業者 B に対してリスクマネジメント
を行うことはできず、医療機関等は事業者 B に対してリスクマネジメントを確認する必要
があります。この点についてガイドラインでは、
「本ガイドラインが求める対応の対象範囲
に、対象事業者 B が提供する構成要素(情報連携のための API 等含む )を含めること。
」
としています。
ただし、事業者 A が事業者 B のシステムについて医療機関等を通じて把握できれば良い
のですが、事業者 A は事業者 B のシステムについて不明である場合があります。その場合、
事業者 A がアプリケーション及びプラットフォームを医療機関等に提供する際には、事業
者 B の構成要素を含めた上で、つまり不明なインフラ上で事業者 A のシステムが利用され
る場合には、どのようなリスクがあるのか医療機関等に対して伝え、事業者 A の負う責任
の範囲を明確化し、合意形成した上で、事業者 A のシステムを医療機関等に提供すること
になります。
また、事業者 A が事業者 B を調達しても、契約上は、医療機関等と事業者 B が直接契約
する場合もあります。その場合、事業者 A は事業者 B の構成要素は不明ではなく、具体的
に把握しているため、
「2.2.2. 複数の事業者が提供するケース」と同様、事業者 A は事業
者 B の構成要素の内容を含めてリスクマネジメントを行い、医療機関等と合意形成を行い
ます。
医療情報システム等がマルチクラウドやマルチベンダーなど複数の事業者により提供さ
れるシステム・サービスで運用される場合、ある事業者の提供サービスや契約の変更が、他
の事業者の提供サービスに影響を及ぼすことがあります。関係者間でサービスや契約変更
に関する通知などの責務について検討、合意形成が重要と考えられます。
2.2. 医療情報連携ネットワークの取扱いはどうなるのか?
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドラ
イン」では、医療情報連携ネットワークが対象範囲となる場合がある旨を記述していました。
3