よむ、つかう、まなぶ。
【参考資料3-6】医療情報システムの契約における当事者間の役割分担等に関する確認表 (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
1.本確認表の背景・目的
○
近年の医療機関における情報セキュリティインシデントの発生で明らかになった課題を踏ま
えれば、医療情報システムに関する契約の際に、医療機関と医療情報システム・サービス事業
者(以下「事業者」という。)との役割分担等が適切に協議されていなかったことが課題の一つ
として考えられる。
○
また、契約上は役割分担等が曖昧な点について、事業者が対応をした場合に責任の所在が問
題となる等のケースがあることを踏まえれば、可能な限り、事前に双方の役割分担等について
取り決め、有事の際に即座に対応できるよう、契約の段階で合意形成文書(契約書やサービ
ス・レベル合意書(SLA)等)に落とし込むことが重要であり、医療機関と事業者は、そのよう
な姿勢で契約の締結等に向けて取り組むことが望まれる。役割分担等を事前に取り決め、医療
情報システム全体を漏れなく俯瞰的にとらえることは、情報セキュリティインシデントの予防
にもつながるものと考えられる。
○
医療情報システムの導入・運用においては、本来は、医療機関が、医療機関の経営や医療関
連業務等の観点から、医療等関連情報の内容及びそれらの情報化の必要性に応じて、システム
化する業務・情報等の要件の明確化及びその構築・運用に係る規程や体制等の整備を実施すべ
きものである。他方、医療機関が医療情報システムを導入・運用するに当たり、事業者は、医
療情報システム及びセキュリティに関する専門的な知識等を有することから、医療機関に対
し、委託契約又は信義則に基づく付随義務として、適時適切に必要な情報を提供する義務を負
うものである。
○
こうした中で、医療情報の安全管理に関しては、「医療情報システムの安全管理に関するガイ
ドライン」(以下「厚労省ガイドライン」という。)及び「医療情報を取り扱う情報システム・
サービスの提供事業者における安全管理ガイドライン」(以下「2省ガイドライン」という。)
に、必要な対策が規定されている。
○
また、厚生労働省においては、令和5年4月から、医療法に基づく医療機関に対する立入検
査の項目に、サイバーセキュリティ対策の項目を位置付けた。さらに、立入検査の際に確認す
る項目について、厚労省ガイドラインから特に取り組むべき重要な項目を抽出し、「医療機関に
おけるサイバーセキュリティ対策チェックリスト」を公表した。こうした特に取り組むべき重
要な項目についても、医療機関において適切な対応が行われるためには、契約の段階から医療
機関と事業者が役割分担等を協議しておくことが重要である。
○
しかしながら、現状、厚労省ガイドラインでは、契約時に事業者と役割分担等を取り決める
際の考慮事項や、契約形態に応じた役割分担等の取り決め方等は示されているが、具体的な協
議事項は示されていない。
○
また、2省ガイドラインにおいても、契約時に、事業者から医療機関へ情報提供すべき内容
は示されているが、事業者向けのガイドラインであるため、医療機関に求める具体的な対応は
示されていない。
1
○
近年の医療機関における情報セキュリティインシデントの発生で明らかになった課題を踏ま
えれば、医療情報システムに関する契約の際に、医療機関と医療情報システム・サービス事業
者(以下「事業者」という。)との役割分担等が適切に協議されていなかったことが課題の一つ
として考えられる。
○
また、契約上は役割分担等が曖昧な点について、事業者が対応をした場合に責任の所在が問
題となる等のケースがあることを踏まえれば、可能な限り、事前に双方の役割分担等について
取り決め、有事の際に即座に対応できるよう、契約の段階で合意形成文書(契約書やサービ
ス・レベル合意書(SLA)等)に落とし込むことが重要であり、医療機関と事業者は、そのよう
な姿勢で契約の締結等に向けて取り組むことが望まれる。役割分担等を事前に取り決め、医療
情報システム全体を漏れなく俯瞰的にとらえることは、情報セキュリティインシデントの予防
にもつながるものと考えられる。
○
医療情報システムの導入・運用においては、本来は、医療機関が、医療機関の経営や医療関
連業務等の観点から、医療等関連情報の内容及びそれらの情報化の必要性に応じて、システム
化する業務・情報等の要件の明確化及びその構築・運用に係る規程や体制等の整備を実施すべ
きものである。他方、医療機関が医療情報システムを導入・運用するに当たり、事業者は、医
療情報システム及びセキュリティに関する専門的な知識等を有することから、医療機関に対
し、委託契約又は信義則に基づく付随義務として、適時適切に必要な情報を提供する義務を負
うものである。
○
こうした中で、医療情報の安全管理に関しては、「医療情報システムの安全管理に関するガイ
ドライン」(以下「厚労省ガイドライン」という。)及び「医療情報を取り扱う情報システム・
サービスの提供事業者における安全管理ガイドライン」(以下「2省ガイドライン」という。)
に、必要な対策が規定されている。
○
また、厚生労働省においては、令和5年4月から、医療法に基づく医療機関に対する立入検
査の項目に、サイバーセキュリティ対策の項目を位置付けた。さらに、立入検査の際に確認す
る項目について、厚労省ガイドラインから特に取り組むべき重要な項目を抽出し、「医療機関に
おけるサイバーセキュリティ対策チェックリスト」を公表した。こうした特に取り組むべき重
要な項目についても、医療機関において適切な対応が行われるためには、契約の段階から医療
機関と事業者が役割分担等を協議しておくことが重要である。
○
しかしながら、現状、厚労省ガイドラインでは、契約時に事業者と役割分担等を取り決める
際の考慮事項や、契約形態に応じた役割分担等の取り決め方等は示されているが、具体的な協
議事項は示されていない。
○
また、2省ガイドラインにおいても、契約時に、事業者から医療機関へ情報提供すべき内容
は示されているが、事業者向けのガイドラインであるため、医療機関に求める具体的な対応は
示されていない。
1