よむ、つかう、まなぶ。
【参考資料3-7】(別添1)医療情報システムの契約における当事者間の役割分担等に関する確認表 推奨される対応例 (1 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
参考資料3-7
医療情報システムの契約における当事者間の役割分担等に関する確認表
ー
推奨される対応例
別添1
ー
Part1 主に医療機関が実施する項目
(契約を締結する上で医療機関が主体となって、必要に応じてシステム関連業者の協力を得ながら実施することが望ましい項目の例)
項番
A
1
項目
内容
推奨される対応例
事業者からの開示
資料の確認
事業者から開示を受けたサービス仕様適合開示
*1
書
等(MDS/SDS
*2
、MDS2
*3
等)を確認し
ているか。
・医療情報システムの安全管理に関する
事業者から開示を受けたサービス仕様適合開示書*1 等(MDS/SDS*2 、MDS2*3
別添小規模医療機関向けガイダンス3.5
どの事業者と、どのシステム・サービスについて、どのような契約を締結してい
るかいつでも確認できるようにしておく。
①事業者との契約・協働体制を把握・管理でき
(b)
ているか。
非常時の対応内容や非常時の連絡体制や連絡手順もいつでも確認できるようにしてお
事業者管理
(c)
整備されているか。
B
医療情報システム・サービス事業者の体制、連絡先などを整理し、
く。
②医療情報を第三者提供する場合の管理体制が
ガイドライン第6.0版
経営管理編5.1
等)を確認する。
(a)
2
ガイドライン等関連部分
事業者選定・事業者管理
・医療情報システムの安全管理に関する
ガイドライン第6.0版
別添小規模医療機関向けガイダンス3.5.2
契約終了時のデータの取り扱い等も確認しておく。
法令遵守の上で第三者提供の手続き等の記録等を適切に管理する体制を整備し、医療 ・医療情報システムの安全管理に関する
機関と提供先それぞれが負う責任の範囲を契約においてあらかじめ明確にし、認識の齟
齬等が生じないよう、書面等で可視化し、適切に管理する。
ガイドライン第6.0版
経営管理編1.4
医療機関の内部体制
「医療情報システ
1
ムの安全管理に関 「医療情報システムの安全管理に関するガイド
「医療情報システムの安全管理に関するガイドライン」の内容を把握し、特に弱みがあ ・医療情報システムの安全管理に関する
するガイドライ
る部分を把握し、必要な対策を検討する。
ライン」を確認したか。
ガイドライン第6.0版
ン」の確認
「医療機関におけ
2
るサイバーセキュ 「医療機関におけるサイバーセキュリティ対策
厚生労働省から公表している立入検査マニュアルや関係団体が作成しているマニュアル
リティ対策チェッ チェックリスト」を用いて、契約時に医療情報
等を参考に、必要な対策について確認する。
クリスト」に基づ システムの現状把握及び対応を実施している
医療機関におけるサイバーセキュリティ対策チェックリストをもとに、医療情報システ
く契約時での現状 か。
ムの脆弱性*8 等現状を把握し、適切な対策について契約時に対応する。
・医療機関におけるサイバーセキュリティ対策
チェックリスト
把握及び対応
① 医療情報を取り扱う職員に関して人的安全管
理対策を実施しているか。
3
4
5
安全管理のための
人的管理
② 個人情報の安全管理に関する職員への教育・ (a)
向けての訓練を定期的に行う。
の実施状況について定期的に経営層に報告して
(b)
いるか。
職員への教育を実施する。
いるか。
6
応
機関として状況を適切に把握し、必要に応じて
化し、管理しておく。また、それらの情報を患者等への説明を適切に行うための窓口の
② システム構築等を実施する際に、医療機関と
設置を行う。
と等を行う。医療機関が既存事業者に情報提供を依頼する場合であっても、役割分担に
ついて取り決めること。
➁ 施設への物理的侵入リスクの対応を行ってい
ガイドライン第6.0版
経営管理編3.2.2、企画管理編7
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編3.2.2、企画管理編7
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1
別添小規模医療機関向けガイダンス3.53.1.2
に説明ができるようになっているか。
スクの対応を行っているか。
・医療情報システムの安全管理に関する
システム構築等を実施する際に必要な情報について適切に事業者に対して提供するこ ・医療情報システムの安全管理に関する
して状況を適切に把握し、必要に応じて事業者
るか。
C
管理責任を適切に果たすために必要な組織体制を整備し、定期的に管理状況に関する
報告を受けて状況を確認するとともに、組織内において監査を実施する。
システムの機能仕様やシステムの運用手順等について、事業者の協力を得ながら文書
① 機器や記憶媒体を持ち出す際の紛失・盗難リ
物理的リスクの対
サイバー攻撃被害により地域医療の安全性を脅かされる近年の事案等を参考に、
① 医療情報システムの機能や運用につき、医療
通常時における説 患者等に説明ができるようになっているか。
明責任
職員が安全管理に関して遵守すべき内容を十分理解できるよう、教育や非常時に
訓練を採用時及び定期的に実施し、教育・訓練
通常時における管 医療情報システムの管理や運用を適切に行って
理責任
医療情報を取り扱う職員に対し、退職後を含めた守秘義務や教育・訓練等を受ける義
務を課す雇用契約等を締結することで、人的管理を行う。
ガイドライン第6.0版
システム運用編6.2
機器や記憶媒体を業務上の理由で施設等の外へ持ち出す際、誤って紛失、あるいは第
三者に盗難されないよう、持ち出しルールの策定や、機器等へのセキュリティ対策等の
対応を行う。
正当な権限を持たない者(組織の内外を問わない)が、執務エリアやデータセンター
等、医療情報システム等に関連する機器や記憶媒体が設置されている施設に侵入しない
よう、入退室管理等の対応を行う。
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン5.1.1
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン5.1.1
規程類の整備
・医療情報システムの安全管理に関する
医療情報システム 医療情報システムの運用ルールを定め、明文化
1
の運用ルール及び された規程類を整備しているか。必要に応じて
規程類の策定
規程類の見直しを行っているか。
必要に応じて事業者と協力しながら、自医療機関と同規模、同様の医療サービス提供
形態、同じ医療情報システム・サービスを利用しているなどの条件に適合する他の医療
機関の運用ルールや規程類を参考にして整備(不要なソフトウェアのインストールの禁
止等)する。
ガイドライン第6.0版
企画管理編4
別添小規模医療機関向けガイダンス3.3.2
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン5.1
2
3
通常時における定 医療情報システムの運用につき、適宜事業者か
医療機関で利用している医療情報システムを提供する事業者の協力を得ながら、医療
期的な見直し、改 らの情報提供を受け、定期的に見直し、必要な
機関として安全管理の改善に必要な情報を収集し、安全管理を適切に維持するための計
善責任
画を策定し、必要に応じて、文書化して管理しているシステム運用手順等を改善する。
インシデント発生
に備えた対応
改善を行えるようになっているか。
BCP
*4
(事業継続計画)について、定期的な見
直しや従業員への訓練・周知等を行っている
か。
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1
別添小規模医療機関向けガイダンス3.1.2
・医療情報システムの安全管理に関する
BCP*4 について、従業員に対する訓練・周知等を通じて、必要に応じて事業者の協
力を得ながら、改善の要否を定期的に確認する。
ガイドライン第6.0版
経営管理編3.4.1、企画管理編11.1
別添小規模医療機関向けガイダンス3.3.4
1 ページ
医療情報システムの契約における当事者間の役割分担等に関する確認表
ー
推奨される対応例
別添1
ー
Part1 主に医療機関が実施する項目
(契約を締結する上で医療機関が主体となって、必要に応じてシステム関連業者の協力を得ながら実施することが望ましい項目の例)
項番
A
1
項目
内容
推奨される対応例
事業者からの開示
資料の確認
事業者から開示を受けたサービス仕様適合開示
*1
書
等(MDS/SDS
*2
、MDS2
*3
等)を確認し
ているか。
・医療情報システムの安全管理に関する
事業者から開示を受けたサービス仕様適合開示書*1 等(MDS/SDS*2 、MDS2*3
別添小規模医療機関向けガイダンス3.5
どの事業者と、どのシステム・サービスについて、どのような契約を締結してい
るかいつでも確認できるようにしておく。
①事業者との契約・協働体制を把握・管理でき
(b)
ているか。
非常時の対応内容や非常時の連絡体制や連絡手順もいつでも確認できるようにしてお
事業者管理
(c)
整備されているか。
B
医療情報システム・サービス事業者の体制、連絡先などを整理し、
く。
②医療情報を第三者提供する場合の管理体制が
ガイドライン第6.0版
経営管理編5.1
等)を確認する。
(a)
2
ガイドライン等関連部分
事業者選定・事業者管理
・医療情報システムの安全管理に関する
ガイドライン第6.0版
別添小規模医療機関向けガイダンス3.5.2
契約終了時のデータの取り扱い等も確認しておく。
法令遵守の上で第三者提供の手続き等の記録等を適切に管理する体制を整備し、医療 ・医療情報システムの安全管理に関する
機関と提供先それぞれが負う責任の範囲を契約においてあらかじめ明確にし、認識の齟
齬等が生じないよう、書面等で可視化し、適切に管理する。
ガイドライン第6.0版
経営管理編1.4
医療機関の内部体制
「医療情報システ
1
ムの安全管理に関 「医療情報システムの安全管理に関するガイド
「医療情報システムの安全管理に関するガイドライン」の内容を把握し、特に弱みがあ ・医療情報システムの安全管理に関する
するガイドライ
る部分を把握し、必要な対策を検討する。
ライン」を確認したか。
ガイドライン第6.0版
ン」の確認
「医療機関におけ
2
るサイバーセキュ 「医療機関におけるサイバーセキュリティ対策
厚生労働省から公表している立入検査マニュアルや関係団体が作成しているマニュアル
リティ対策チェッ チェックリスト」を用いて、契約時に医療情報
等を参考に、必要な対策について確認する。
クリスト」に基づ システムの現状把握及び対応を実施している
医療機関におけるサイバーセキュリティ対策チェックリストをもとに、医療情報システ
く契約時での現状 か。
ムの脆弱性*8 等現状を把握し、適切な対策について契約時に対応する。
・医療機関におけるサイバーセキュリティ対策
チェックリスト
把握及び対応
① 医療情報を取り扱う職員に関して人的安全管
理対策を実施しているか。
3
4
5
安全管理のための
人的管理
② 個人情報の安全管理に関する職員への教育・ (a)
向けての訓練を定期的に行う。
の実施状況について定期的に経営層に報告して
(b)
いるか。
職員への教育を実施する。
いるか。
6
応
機関として状況を適切に把握し、必要に応じて
化し、管理しておく。また、それらの情報を患者等への説明を適切に行うための窓口の
② システム構築等を実施する際に、医療機関と
設置を行う。
と等を行う。医療機関が既存事業者に情報提供を依頼する場合であっても、役割分担に
ついて取り決めること。
➁ 施設への物理的侵入リスクの対応を行ってい
ガイドライン第6.0版
経営管理編3.2.2、企画管理編7
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編3.2.2、企画管理編7
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1
別添小規模医療機関向けガイダンス3.53.1.2
に説明ができるようになっているか。
スクの対応を行っているか。
・医療情報システムの安全管理に関する
システム構築等を実施する際に必要な情報について適切に事業者に対して提供するこ ・医療情報システムの安全管理に関する
して状況を適切に把握し、必要に応じて事業者
るか。
C
管理責任を適切に果たすために必要な組織体制を整備し、定期的に管理状況に関する
報告を受けて状況を確認するとともに、組織内において監査を実施する。
システムの機能仕様やシステムの運用手順等について、事業者の協力を得ながら文書
① 機器や記憶媒体を持ち出す際の紛失・盗難リ
物理的リスクの対
サイバー攻撃被害により地域医療の安全性を脅かされる近年の事案等を参考に、
① 医療情報システムの機能や運用につき、医療
通常時における説 患者等に説明ができるようになっているか。
明責任
職員が安全管理に関して遵守すべき内容を十分理解できるよう、教育や非常時に
訓練を採用時及び定期的に実施し、教育・訓練
通常時における管 医療情報システムの管理や運用を適切に行って
理責任
医療情報を取り扱う職員に対し、退職後を含めた守秘義務や教育・訓練等を受ける義
務を課す雇用契約等を締結することで、人的管理を行う。
ガイドライン第6.0版
システム運用編6.2
機器や記憶媒体を業務上の理由で施設等の外へ持ち出す際、誤って紛失、あるいは第
三者に盗難されないよう、持ち出しルールの策定や、機器等へのセキュリティ対策等の
対応を行う。
正当な権限を持たない者(組織の内外を問わない)が、執務エリアやデータセンター
等、医療情報システム等に関連する機器や記憶媒体が設置されている施設に侵入しない
よう、入退室管理等の対応を行う。
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン5.1.1
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン5.1.1
規程類の整備
・医療情報システムの安全管理に関する
医療情報システム 医療情報システムの運用ルールを定め、明文化
1
の運用ルール及び された規程類を整備しているか。必要に応じて
規程類の策定
規程類の見直しを行っているか。
必要に応じて事業者と協力しながら、自医療機関と同規模、同様の医療サービス提供
形態、同じ医療情報システム・サービスを利用しているなどの条件に適合する他の医療
機関の運用ルールや規程類を参考にして整備(不要なソフトウェアのインストールの禁
止等)する。
ガイドライン第6.0版
企画管理編4
別添小規模医療機関向けガイダンス3.3.2
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン5.1
2
3
通常時における定 医療情報システムの運用につき、適宜事業者か
医療機関で利用している医療情報システムを提供する事業者の協力を得ながら、医療
期的な見直し、改 らの情報提供を受け、定期的に見直し、必要な
機関として安全管理の改善に必要な情報を収集し、安全管理を適切に維持するための計
善責任
画を策定し、必要に応じて、文書化して管理しているシステム運用手順等を改善する。
インシデント発生
に備えた対応
改善を行えるようになっているか。
BCP
*4
(事業継続計画)について、定期的な見
直しや従業員への訓練・周知等を行っている
か。
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1
別添小規模医療機関向けガイダンス3.1.2
・医療情報システムの安全管理に関する
BCP*4 について、従業員に対する訓練・周知等を通じて、必要に応じて事業者の協
力を得ながら、改善の要否を定期的に確認する。
ガイドライン第6.0版
経営管理編3.4.1、企画管理編11.1
別添小規模医療機関向けガイダンス3.3.4
1 ページ