よむ、つかう、まなぶ。
参考資料5 ガイドライン新旧対応表 (19 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000198094_00078.html |
| 出典情報 | 社会保障審議会 介護保険部会 匿名介護情報等の提供に関する専門委員会(第15回 3/14)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ⅳ)人的安全対策の措置
((2)人的な安全管理対策)
a) 提供申出者は、個人情報の安全管理に関する施策が適切に実施されるよう措置する
((2)人的な安全管理対策)
とともに、その実施状況を監督するために、以下の措置をとること。
・法令上の守秘義務のある者以外を事務職員等として採用するにあたっては、雇用契約
((2)人的な安全管理対策)
時に併せて守秘・非開示契約を締結すること等により安全管理を行うこと。
・定期的に従業者に対して、個人情報の安全管理に関する教育訓練を行うこと。
((2)人的な安全管理対策)
・従業者の退職後の個人情報保護規程を定めること。
(3
b)提供申出者が組織の事務、運用等を外部の事業者に委託する場合には、当該事業者
の内部における適切な個人情報保護が行われるようにするために以下の措置を行うこ
と。
・受託する事業者に対する包括的な罰則を定めた就業規則等で裏付けられた守秘契約を
締結すること。
・保守作業等の情報システムに直接アクセスする作業の際には、作業者、作業内容及び
提供申出者及び取扱者の義務)
(2
安全管理措置
冒頭
第3
申出手続
外部委託)
(第3
申出手続
外部委託)
((6)その他の安全管理措置)
作業結果の確認を行うこと。
・清掃等の直接情報システムにアクセスしない作業の場合においても、作業後の定期的
((3)物理的な安全管理措置)
なチェックを行うこと。
・委託事業者が再委託を行うか否かを明確にし、再委託を行う場合は委託事業者と同等
(2
の個人情報保護に関する対策及び契約がなされていることを条件とすること。
安全管理措置
冒頭第3
申出手続
外部委託)
c)プログラムの異常等で、保存データを救済する必要があるとき等、やむを得ない事
情で外部の保守要員が個人情報にアクセスする場合には、罰則のある就業規則等で裏づ
((6)その他の安全管理措置)
けられた守秘契約等の秘密保持の対策を行うこと。
ⅴ)情報の破棄の手順等の設定
((3)物理的な安全管理措置
ⅲ))
a)個人情報保護方針の中で把握した情報種別ごとに破棄の手順を定めること。手順に
は破棄を行う条件、破棄を行うことができる従業者の特定、具体的な破棄の方法を含め
((1)組織的な安全管理対策)
ること。
b)情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、
機器に残存した読み出し可能な情報がないことを確認すること。
((3)物理的な安全管理措置
ⅲ))
((3)物理的な安全管理措置
ⅲ))
c)情報の破棄を委託する場合には、医療情報システムの安全管理に関するガイドライ
ン(第5.1版 令和3年1月)の「6.6人的安全対策 2.事務取扱受託業者の監督及び
守秘義務契約」に準じた対策を行うこと。さらに、委託する提供申出者等は確実に情報
の破棄が行われたことを確認すること。
③
2
匿名要介護認定情報等の利用に際し講じなければならない安全管理措置
安全管理措置
提供申出者及び利用者(外部委託先を含む)は、介保法に基づき、介護DBデータの利
用にあたって以下の安全管理措置を講じなければならない。ただし、(※※)の項目に
ついては、集計表、サンプリングデータセットの利用の場合には不要とする。
ⅰ)組織的安全管理措置
(1)組織的な安全管理対策
a)利用者および取扱者の権限、責務及び業務を明確にすること。
・介護DBデータの適正管理に係る基本方針を定めていること
b)運用管理規程等において次の内容を定めること。
・管理責任者、利用者及び取扱者の権限、責務及び業務を明確にすること
脚注)管理責任者は、医療情報システムの安全管理を行うための運用管理の責任者であ
り、日常的なシステムの安全管理や、安全管理に必要な資料の作成や報告を行い、これ
らの安全管理に係る業務に必要な承認権限等を有するものとする
・理念(基本方針及び管理目的の表明)
・介護DBデータに係る管理簿(利用場所入退室管理簿、操作端末利用管理簿、記憶媒
体利用管理簿、作成帳票管理簿)を整備すること
・匿名要介護認定情報等の適正管理に係る基本方針
・介護DBデータの適正管理に関する規程(運用管理規程等)の策定[9]、実施、運用の
評価、改善を行うこと。
・契約書・マニュアル等の文書の管理
・介護DBデータの漏洩、滅失、毀損が発生した場合の事務処理体制を整備すること
・匿名要介護認定情報等に係る管理簿の整備
・匿名要介護認定情報等の漏洩、紛失又は毀損時の対応
[9]運用管理規程において定める内容は、上記以外に理念(基本方針及び管理目的)、
契約書・マニュアル等の文書の管理、機器の管理、記録媒体の管理(保管及び授受等)
の方法、情報破棄の手順、自己監査、苦情・質問の受付窓口、その他提供申出者が対応
を行っている事項とする
・その他リスクに対する予防、発生時の対応
・機器を用いる場合は機器の管理
・情報システムで扱う情報をすべてリストアップしていること。
・記録媒体の管理(保管及び授受等)の方法
・リストアップした情報を、安全管理上の重要度に応じて分類を行い、常に最新の状態
を維持していること。
・監査
・このリストは情報システムの安全管理者が必要に応じて速やかに確認できる状態で管
理していること。
・苦情・質問の受付窓口
・リストアップした情報に対してリスク分析を実施していること。
・その他提供申出者が対応を行っていると申出た事項
(2安全管理措置
19
冒頭)
((2)人的な安全管理対策)
a) 提供申出者は、個人情報の安全管理に関する施策が適切に実施されるよう措置する
((2)人的な安全管理対策)
とともに、その実施状況を監督するために、以下の措置をとること。
・法令上の守秘義務のある者以外を事務職員等として採用するにあたっては、雇用契約
((2)人的な安全管理対策)
時に併せて守秘・非開示契約を締結すること等により安全管理を行うこと。
・定期的に従業者に対して、個人情報の安全管理に関する教育訓練を行うこと。
((2)人的な安全管理対策)
・従業者の退職後の個人情報保護規程を定めること。
(3
b)提供申出者が組織の事務、運用等を外部の事業者に委託する場合には、当該事業者
の内部における適切な個人情報保護が行われるようにするために以下の措置を行うこ
と。
・受託する事業者に対する包括的な罰則を定めた就業規則等で裏付けられた守秘契約を
締結すること。
・保守作業等の情報システムに直接アクセスする作業の際には、作業者、作業内容及び
提供申出者及び取扱者の義務)
(2
安全管理措置
冒頭
第3
申出手続
外部委託)
(第3
申出手続
外部委託)
((6)その他の安全管理措置)
作業結果の確認を行うこと。
・清掃等の直接情報システムにアクセスしない作業の場合においても、作業後の定期的
((3)物理的な安全管理措置)
なチェックを行うこと。
・委託事業者が再委託を行うか否かを明確にし、再委託を行う場合は委託事業者と同等
(2
の個人情報保護に関する対策及び契約がなされていることを条件とすること。
安全管理措置
冒頭第3
申出手続
外部委託)
c)プログラムの異常等で、保存データを救済する必要があるとき等、やむを得ない事
情で外部の保守要員が個人情報にアクセスする場合には、罰則のある就業規則等で裏づ
((6)その他の安全管理措置)
けられた守秘契約等の秘密保持の対策を行うこと。
ⅴ)情報の破棄の手順等の設定
((3)物理的な安全管理措置
ⅲ))
a)個人情報保護方針の中で把握した情報種別ごとに破棄の手順を定めること。手順に
は破棄を行う条件、破棄を行うことができる従業者の特定、具体的な破棄の方法を含め
((1)組織的な安全管理対策)
ること。
b)情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、
機器に残存した読み出し可能な情報がないことを確認すること。
((3)物理的な安全管理措置
ⅲ))
((3)物理的な安全管理措置
ⅲ))
c)情報の破棄を委託する場合には、医療情報システムの安全管理に関するガイドライ
ン(第5.1版 令和3年1月)の「6.6人的安全対策 2.事務取扱受託業者の監督及び
守秘義務契約」に準じた対策を行うこと。さらに、委託する提供申出者等は確実に情報
の破棄が行われたことを確認すること。
③
2
匿名要介護認定情報等の利用に際し講じなければならない安全管理措置
安全管理措置
提供申出者及び利用者(外部委託先を含む)は、介保法に基づき、介護DBデータの利
用にあたって以下の安全管理措置を講じなければならない。ただし、(※※)の項目に
ついては、集計表、サンプリングデータセットの利用の場合には不要とする。
ⅰ)組織的安全管理措置
(1)組織的な安全管理対策
a)利用者および取扱者の権限、責務及び業務を明確にすること。
・介護DBデータの適正管理に係る基本方針を定めていること
b)運用管理規程等において次の内容を定めること。
・管理責任者、利用者及び取扱者の権限、責務及び業務を明確にすること
脚注)管理責任者は、医療情報システムの安全管理を行うための運用管理の責任者であ
り、日常的なシステムの安全管理や、安全管理に必要な資料の作成や報告を行い、これ
らの安全管理に係る業務に必要な承認権限等を有するものとする
・理念(基本方針及び管理目的の表明)
・介護DBデータに係る管理簿(利用場所入退室管理簿、操作端末利用管理簿、記憶媒
体利用管理簿、作成帳票管理簿)を整備すること
・匿名要介護認定情報等の適正管理に係る基本方針
・介護DBデータの適正管理に関する規程(運用管理規程等)の策定[9]、実施、運用の
評価、改善を行うこと。
・契約書・マニュアル等の文書の管理
・介護DBデータの漏洩、滅失、毀損が発生した場合の事務処理体制を整備すること
・匿名要介護認定情報等に係る管理簿の整備
・匿名要介護認定情報等の漏洩、紛失又は毀損時の対応
[9]運用管理規程において定める内容は、上記以外に理念(基本方針及び管理目的)、
契約書・マニュアル等の文書の管理、機器の管理、記録媒体の管理(保管及び授受等)
の方法、情報破棄の手順、自己監査、苦情・質問の受付窓口、その他提供申出者が対応
を行っている事項とする
・その他リスクに対する予防、発生時の対応
・機器を用いる場合は機器の管理
・情報システムで扱う情報をすべてリストアップしていること。
・記録媒体の管理(保管及び授受等)の方法
・リストアップした情報を、安全管理上の重要度に応じて分類を行い、常に最新の状態
を維持していること。
・監査
・このリストは情報システムの安全管理者が必要に応じて速やかに確認できる状態で管
理していること。
・苦情・質問の受付窓口
・リストアップした情報に対してリスク分析を実施していること。
・その他提供申出者が対応を行っていると申出た事項
(2安全管理措置
19
冒頭)