よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ」 (6 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
本ガイドラインでも同様の扱いとなります。
医療情報連携ネットワーク運営主体が、医療情報の取扱いに責任を有する場合には、同主
体も、本ガイドラインにおける対象事業者として位置づけられると考えられます。例えば、
医療情報連携ネットワークに参加する医療機関等が医療情報の管理(の一部)を運営主体に
委託するような場合です。医療機関同士が患者の情報を交換したい場合にはこのような委
託が行われます。この場合、医療機関等は厚生労働省「医療情報システムの安全管理に関す
るガイドライン」
(以下、医療情報安全管理ガイドライン)に基づいて、医療情報連携ネッ
トワーク運営主体との間で適切な役割分担を契約等により合意した上で対応する必要があ
ります。また、医療情報連携ネットワーク運営主体が、委託により、別の事業者と医療情報
の管理を分担して実施する場合には、同主体は、本ガイドラインに基づいて、委託先の事業
者を監督し、管理責任を果たすことが求められます。なお、医療情報連携ネットワーク運営
主体の中には、医療情報に関する管理責任は負わず、参加団体の取りまとめや情報システム
仕様の調整等のみを行っている者もあり、そのような運営主体については、本ガイドライン
における対象事業者とはなりません。
3.
医療情報システム等のライフサイクルにおける義務と責任(基本的な考え方)
ガイドラインの「3.2. 医療情報システム等のライフサイクルにおける義務と責任」は、医
療機関等と対象事業者間における義務と責任についての合意形成の重要性を示しています。
当該箇所は、医療機関等と対象事業者間の合意形成に焦点を当てて書かれていますが、本
FAQ の「2 医療情報システム等の提供形態」で述べているサプライチェーン全体において
も適応可能なものです。例えば、事業者 A のアプリケーションを事業者 B のプラットフォ
ームとインフラ上で利用する場合の事業者 AB 間の義務と責任の合意形成を考える際にも
適応できます。
3.1. 運用フェーズと開発フェーズで事業者が異なる場合があるのではないか?
医療情報システム等のライフサイクルは、運用フェーズだけでなく、運用開始前もしくは
運用開始後の開発(保守)フェーズがあります。医療情報システム等の運用と開発が別事業
者になる場合があり、そのような複数事業者が関与する場合においても、医療情報システム
等のライフサイクルにおける義務と責任について関係者間で合意形成しておく必要があり
ます。例えば、事業者 A が運用を担当し、事業者 B が開発を担当し、医療機関等は事業者
A のみとの契約関係にある場合(契約内容に運用と開発を含む)です。医療機関等は事業者
A との間で運用と開発に関する義務と責任について明確化し、合意形成しておく必要があ
ります。事業者 A は事業者 B との間で開発に関する義務と責任について内部的に明確化し、
4
医療情報連携ネットワーク運営主体が、医療情報の取扱いに責任を有する場合には、同主
体も、本ガイドラインにおける対象事業者として位置づけられると考えられます。例えば、
医療情報連携ネットワークに参加する医療機関等が医療情報の管理(の一部)を運営主体に
委託するような場合です。医療機関同士が患者の情報を交換したい場合にはこのような委
託が行われます。この場合、医療機関等は厚生労働省「医療情報システムの安全管理に関す
るガイドライン」
(以下、医療情報安全管理ガイドライン)に基づいて、医療情報連携ネッ
トワーク運営主体との間で適切な役割分担を契約等により合意した上で対応する必要があ
ります。また、医療情報連携ネットワーク運営主体が、委託により、別の事業者と医療情報
の管理を分担して実施する場合には、同主体は、本ガイドラインに基づいて、委託先の事業
者を監督し、管理責任を果たすことが求められます。なお、医療情報連携ネットワーク運営
主体の中には、医療情報に関する管理責任は負わず、参加団体の取りまとめや情報システム
仕様の調整等のみを行っている者もあり、そのような運営主体については、本ガイドライン
における対象事業者とはなりません。
3.
医療情報システム等のライフサイクルにおける義務と責任(基本的な考え方)
ガイドラインの「3.2. 医療情報システム等のライフサイクルにおける義務と責任」は、医
療機関等と対象事業者間における義務と責任についての合意形成の重要性を示しています。
当該箇所は、医療機関等と対象事業者間の合意形成に焦点を当てて書かれていますが、本
FAQ の「2 医療情報システム等の提供形態」で述べているサプライチェーン全体において
も適応可能なものです。例えば、事業者 A のアプリケーションを事業者 B のプラットフォ
ームとインフラ上で利用する場合の事業者 AB 間の義務と責任の合意形成を考える際にも
適応できます。
3.1. 運用フェーズと開発フェーズで事業者が異なる場合があるのではないか?
医療情報システム等のライフサイクルは、運用フェーズだけでなく、運用開始前もしくは
運用開始後の開発(保守)フェーズがあります。医療情報システム等の運用と開発が別事業
者になる場合があり、そのような複数事業者が関与する場合においても、医療情報システム
等のライフサイクルにおける義務と責任について関係者間で合意形成しておく必要があり
ます。例えば、事業者 A が運用を担当し、事業者 B が開発を担当し、医療機関等は事業者
A のみとの契約関係にある場合(契約内容に運用と開発を含む)です。医療機関等は事業者
A との間で運用と開発に関する義務と責任について明確化し、合意形成しておく必要があ
ります。事業者 A は事業者 B との間で開発に関する義務と責任について内部的に明確化し、
4