よむ、つかう、まなぶ。
【参考資料3-6】医療情報システムの契約における当事者間の役割分担等に関する確認表 (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
〇
こうしたことから、近年の情報セキュリティインシデントで明らかになった課題を踏まえつ
つ、「医療機関におけるサイバーセキュリティ対策チェックリスト」の項目も参考に、医療情
報システムの契約において、医療機関と事業者が役割分担等を協議する上で必要な項目につい
て、具体化を図ることを目的として、確認表として取りまとめることとした。
〇
なお、本確認表の作成に当たっては、「医療情報システムの契約のあり方等に関する有識者委
員会」において、以下の項目について議論した。
Part1 【主に医療機関が実施する項目】
:契約を締結する上で医療機関が主体となって、必要に応じて事業者の協力を得ながら実施
することが望ましい項目の例(医療機関が主体的に実施する項目ではあるが、事業者は医療
機関が意思決定を行う上で適切に情報提供等を行う必要がある場合があり、事業者において
も一定の責任が生じうる。)
Part2 【医療機関と事業者が共同で実施する項目】
:技術的な対策等医療機関だけでは実施することが困難な事項で、役割分担等を明確にして
おくことが望ましい項目の例
2.本確認表の使い方
○ 本確認表の主な対象は、マルチベンダー型契約により役割分担等が複雑であるものの、法務
や IT に精通した担当者が不在である中小規模の病院を想定している。小規模な診療所等では対
象外となるような項目が含まれているが、適切に選択すれば有用と考えられる(※)。
(※)例えば、小規模な診療所等では、担当する業務ごとに区分された組織(部署)がなく、
組織運営のための計画等がない場合がある。このような場合は、厚労省ガイドライン別添
小規模医療機関向けガイダンスを参考にして、必要な内容を定めることが重要である。
また、大規模な病院等で、法務や IT に精通した担当者が存在する場合でも、本確認表に掲げ
る項目は、最低限確認すべき項目も多いため、本確認表を自施設の状況等に応じて改変する等
した上で、用いることも可能である。
○
本確認表の使い方としては、以下のとおりである。
①
まず、医療機関において、契約前に本確認表の Part1を用いて、医療機関自身が主体とな
って実施する情報セキュリティ対策を確認する。
②
次に、契約に当たっては、Part1についても、必要に応じて事業者が医療機関を支援する
ことも想定される。このため、Part1・Part2のそれぞれの項目の役割分担等について、医
療機関と事業者の両者で共通理解と明示的な合意が得られるように協議を行う。
2
こうしたことから、近年の情報セキュリティインシデントで明らかになった課題を踏まえつ
つ、「医療機関におけるサイバーセキュリティ対策チェックリスト」の項目も参考に、医療情
報システムの契約において、医療機関と事業者が役割分担等を協議する上で必要な項目につい
て、具体化を図ることを目的として、確認表として取りまとめることとした。
〇
なお、本確認表の作成に当たっては、「医療情報システムの契約のあり方等に関する有識者委
員会」において、以下の項目について議論した。
Part1 【主に医療機関が実施する項目】
:契約を締結する上で医療機関が主体となって、必要に応じて事業者の協力を得ながら実施
することが望ましい項目の例(医療機関が主体的に実施する項目ではあるが、事業者は医療
機関が意思決定を行う上で適切に情報提供等を行う必要がある場合があり、事業者において
も一定の責任が生じうる。)
Part2 【医療機関と事業者が共同で実施する項目】
:技術的な対策等医療機関だけでは実施することが困難な事項で、役割分担等を明確にして
おくことが望ましい項目の例
2.本確認表の使い方
○ 本確認表の主な対象は、マルチベンダー型契約により役割分担等が複雑であるものの、法務
や IT に精通した担当者が不在である中小規模の病院を想定している。小規模な診療所等では対
象外となるような項目が含まれているが、適切に選択すれば有用と考えられる(※)。
(※)例えば、小規模な診療所等では、担当する業務ごとに区分された組織(部署)がなく、
組織運営のための計画等がない場合がある。このような場合は、厚労省ガイドライン別添
小規模医療機関向けガイダンスを参考にして、必要な内容を定めることが重要である。
また、大規模な病院等で、法務や IT に精通した担当者が存在する場合でも、本確認表に掲げ
る項目は、最低限確認すべき項目も多いため、本確認表を自施設の状況等に応じて改変する等
した上で、用いることも可能である。
○
本確認表の使い方としては、以下のとおりである。
①
まず、医療機関において、契約前に本確認表の Part1を用いて、医療機関自身が主体とな
って実施する情報セキュリティ対策を確認する。
②
次に、契約に当たっては、Part1についても、必要に応じて事業者が医療機関を支援する
ことも想定される。このため、Part1・Part2のそれぞれの項目の役割分担等について、医
療機関と事業者の両者で共通理解と明示的な合意が得られるように協議を行う。
2