よむ、つかう、まなぶ。
【参考資料3-7】(別添1)医療情報システムの契約における当事者間の役割分担等に関する確認表 推奨される対応例 (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医療情報システムの契約における当事者間の役割分担等に関する確認表
ー
推奨される対応例
別添1
ー
Part2 医療機関と事業者が共同で実施する項目
(技術的な対策等医療機関だけでは実施することが困難な事項で、役割分担等を明確にしておくことが望ましい項目の例)
項番
A
項目
内容
想定されるリスク
事業者は「医療情報を取り扱
ついて、「医療情報を取り扱う情報シス
「医療情報を取り
扱う情報システ
1
推奨される対応例
ガイドライン等関連部分
共通
事業者が提供する医療情報システムに
事業者は医療情報システム等の提供方法等が「医療情報を取
ム・サービスの提 う情報システム・サービスの
テム・サービスの提供事業者における安 り扱う情報システム・サービスの提供事業者における安全管理 ・医療情報を取り扱う情報システム・サービスの
供事業者における 提供事業者における安全管理
全管理ガイドライン」の遵守ができてお ガイドライン」に遵守しているか等、本ガイドラインを確認す
安全管理ガイドラ ガイドライン」を確認する。
らず、不十分な安全管理によって情報漏 る。
イン」の確認
えいや事故につながるおそれがある。
提供事業者における安全管理ガイドライン
(a) 医療機関はシステムを構成する機器、ソフトウェア、ク
ラウドサービス*6 等の一覧表や全体図をもとに、いずれの事
業者が責任をもって導入、保守、運用等を担当するのか不明な
システム関連業務について、医療機関
2
医療機関が複数事業者と契約
が複数事業者と契約する場合、どの事業
複数事業者間の役 する場合における、事業者間
者も責任を負わない間隙が生じると、当
割分担
の役割分担及び抜け漏れがな
該部分についてのセキュリティ対策が不
いことを確認する。
十分となるほか、事故発生時の責任の所
在が不明確になるおそれがある。
部分がないよう確認する(特に、複数事業者への発注を行う中
で、システム全体を取りまとめる役割を担う事業者(プライム ・医療情報システムの安全管理に関する
事業者)がいる場合には、当該事業者が再委託先から調達する
構成要素を含めてリスクマネジメント及び制度上の要求事項に
ガイドライン第6.0版
企画管理編2.2.2、システム運用編3.4.2
対応するなど、当該事業者がどこまで責任を負うのか明確にし ・医療情報を取り扱う情報システム・サービスの
ておく。また、プライム事業者においても再委託先との適切な
提供事業者における安全管理ガイドライン2.2.3
連携体制を確保する必要がある。)。
(b) また、必要があれば事業者間の連携や役割分担に関する
事項(例えば事故発生時の情報連携・対応における相互協力
等)も契約に含める。
下記「B.システム導入」「C.
システム運用・保守契約」で
例として示すもの以外にも、
3
「医療情報システムの安全管理に関す
「医療情報システ 事業者が提供する医療情報シ
るガイドライン」の遵守ができておら
ムの安全管理に関 ステムやサービスが「医療情
ず、またそのことを医療機関が把握して
するガイドライ
報システムの安全管理に関す
いなかった場合、不十分な安全管理に
ン」の遵守
るガイドライン」の遵守事項
よって情報漏えいや事故につながるおそ
を満たす上で必要な仕様や運
れがある。
用となっていることを確認す
(a) 契約において、事業者が「医療情報システムの安全管理
に関するガイドライン」の遵守事項を満たしたセキュリティ対
策を提案・実施することを取り決める。事業者による情報の開 ・医療情報システムの安全管理に関する
示内容に即して、必要に応じて想定されるリスクについても協
議し、その場合の対応についても取り決める。
ガイドライン第6.0版
企画管理編2.1.2(1)
(b) 契約後も必要に応じて当該遵守状況を示す資料の提出を
求めることができること等を取り決める。
る。
「医療情報を取り扱う情報シ
「医療情報を取り扱う情報システム・サービスの提供事業者
ステム・サービスの提供事業
における安全管理ガイドライン」の5.1.1~5.1.6に示されてい
者における安全管理ガイドラ
継続的なリスクマ
4
ネジメントプロセ
スの実施
イン」5.1に示されたリスク特
定、リスク分析、リスク評
価、リスク対応の選択肢の選
定、リスク対応策の設計・評
価、リスクコミュニケーショ
リスクマネジメントに始まる一連のプ
ロセスの継続的な実行とそれによるシス
テム上のリスク対策の見直しを行わなけ
れば、新たなリスクに対応できなくなる
おそれがある。
るリスクアセスメント*14 に始まる一連のプロセス(リスク特 ・医療情報システムの安全管理に関する
定、リスク分析、リスク評価、リスク対応の選択肢の選定、リ
ガイドライン第6.0版
スク対応策の設計・評価、リスクコミュニケーション)を契約
企画管理編6.1.2
後も継続的に実施し、対応の見直しを行うこと、それを行うに ・医療情報を取り扱う情報システム・サービスの
当たっての具体的な時期・頻度・役割分担等を取り決める。
医療情報システムを構成するシステムごとに、それらが使用
ンのプロセスを継続的に実施
できなくなった場合の影響等についてもリスク評価を行い、事
する。
業継続の観点から代替措置等を検討すること。
提供事業者における安全管理ガイドライン
5.1.7、5.2
「医療情報を取り扱う情報システム・サービスの提供事業者
における安全管理ガイドライン」4.1「医療機関へ情報提供す
開示されたサービ
5
ス仕様等の事後的
な変更
契約締結前に事業者から提示
事前に提示された情報に変更があった べき項目」に記載された情報(「医療機関が医療情報安全管理
された医療情報システム関連
にもかかわらず、それを医療機関が把握 ガイドラインに基づき「外部保存を受託する事業者の選定基
・医療情報を取り扱う情報システム・サービスの
情報について、変更があった
していなければ、想定外の事故が生じる 準」として少なくとも確認する必要のある項目、及び「医療機
提供事業者における安全管理ガイドライン4.1
場合に情報提供する。
おそれがある。
関との共通理解を形成するために情報提供すべき項目」)につ
いて、契約締結後に変更があった場合に改めて情報を提供する
ことを取り決める。
「医療情報を取り扱う情報システム・サービスの提供事業者
サービス・レベル
6
合意書(SLA)
の締結
*5
事業者が提供するサービスの
具体的なサービス・レベルが定まらな
保証範囲を合意するため、
いまま委託をした場合、障害等が発生し
サービス・レベル合意書
た際の責任分担があいまいになるおそれ
(SLA)*5 を締結する。
がある。
における安全管理ガイドライン」別紙 1「 ガイドラインに基
づくサービス仕様適合開示書及びサービス・レベル合意書
(SLA)参考例」」を参考に、事業者は、医療機関との共通理
解を醸成した上で、医療機関が必要とするサービス・レベルを
満たすSLA案を作成し、その内容について事業者から十分な説
明を行った上で、検討して取り決める。
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.2.1、
別紙 1「 ガイドラインに基づくサービス仕様適合
開示書及びサービス・レベル合意書(SLA)参考
例」における「サービス・レベル合意書(SLA)
参考例」
医療情報を開示するに当たり、事業者
医療情報システムに関わる事
7
事業者の責任と秘 業者に対して、医療機関の職
密保持義務
員と同様の責任や秘密保持義
務を課す。
による秘密保持義務がないと、漏えいが
生じるおそれが高まる。
また、事業者による情報漏洩等が発生
した場合に、医療機関が事業者に対して
委託先事業者と当該事業者で業務にあたる者との雇用契約等
において、守秘義務契約を含んでいることを確認する。
対応や協力を求めたり、責任追及したり
することができないおそれがある。
3 ページ
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編7.2
ー
推奨される対応例
別添1
ー
Part2 医療機関と事業者が共同で実施する項目
(技術的な対策等医療機関だけでは実施することが困難な事項で、役割分担等を明確にしておくことが望ましい項目の例)
項番
A
項目
内容
想定されるリスク
事業者は「医療情報を取り扱
ついて、「医療情報を取り扱う情報シス
「医療情報を取り
扱う情報システ
1
推奨される対応例
ガイドライン等関連部分
共通
事業者が提供する医療情報システムに
事業者は医療情報システム等の提供方法等が「医療情報を取
ム・サービスの提 う情報システム・サービスの
テム・サービスの提供事業者における安 り扱う情報システム・サービスの提供事業者における安全管理 ・医療情報を取り扱う情報システム・サービスの
供事業者における 提供事業者における安全管理
全管理ガイドライン」の遵守ができてお ガイドライン」に遵守しているか等、本ガイドラインを確認す
安全管理ガイドラ ガイドライン」を確認する。
らず、不十分な安全管理によって情報漏 る。
イン」の確認
えいや事故につながるおそれがある。
提供事業者における安全管理ガイドライン
(a) 医療機関はシステムを構成する機器、ソフトウェア、ク
ラウドサービス*6 等の一覧表や全体図をもとに、いずれの事
業者が責任をもって導入、保守、運用等を担当するのか不明な
システム関連業務について、医療機関
2
医療機関が複数事業者と契約
が複数事業者と契約する場合、どの事業
複数事業者間の役 する場合における、事業者間
者も責任を負わない間隙が生じると、当
割分担
の役割分担及び抜け漏れがな
該部分についてのセキュリティ対策が不
いことを確認する。
十分となるほか、事故発生時の責任の所
在が不明確になるおそれがある。
部分がないよう確認する(特に、複数事業者への発注を行う中
で、システム全体を取りまとめる役割を担う事業者(プライム ・医療情報システムの安全管理に関する
事業者)がいる場合には、当該事業者が再委託先から調達する
構成要素を含めてリスクマネジメント及び制度上の要求事項に
ガイドライン第6.0版
企画管理編2.2.2、システム運用編3.4.2
対応するなど、当該事業者がどこまで責任を負うのか明確にし ・医療情報を取り扱う情報システム・サービスの
ておく。また、プライム事業者においても再委託先との適切な
提供事業者における安全管理ガイドライン2.2.3
連携体制を確保する必要がある。)。
(b) また、必要があれば事業者間の連携や役割分担に関する
事項(例えば事故発生時の情報連携・対応における相互協力
等)も契約に含める。
下記「B.システム導入」「C.
システム運用・保守契約」で
例として示すもの以外にも、
3
「医療情報システムの安全管理に関す
「医療情報システ 事業者が提供する医療情報シ
るガイドライン」の遵守ができておら
ムの安全管理に関 ステムやサービスが「医療情
ず、またそのことを医療機関が把握して
するガイドライ
報システムの安全管理に関す
いなかった場合、不十分な安全管理に
ン」の遵守
るガイドライン」の遵守事項
よって情報漏えいや事故につながるおそ
を満たす上で必要な仕様や運
れがある。
用となっていることを確認す
(a) 契約において、事業者が「医療情報システムの安全管理
に関するガイドライン」の遵守事項を満たしたセキュリティ対
策を提案・実施することを取り決める。事業者による情報の開 ・医療情報システムの安全管理に関する
示内容に即して、必要に応じて想定されるリスクについても協
議し、その場合の対応についても取り決める。
ガイドライン第6.0版
企画管理編2.1.2(1)
(b) 契約後も必要に応じて当該遵守状況を示す資料の提出を
求めることができること等を取り決める。
る。
「医療情報を取り扱う情報シ
「医療情報を取り扱う情報システム・サービスの提供事業者
ステム・サービスの提供事業
における安全管理ガイドライン」の5.1.1~5.1.6に示されてい
者における安全管理ガイドラ
継続的なリスクマ
4
ネジメントプロセ
スの実施
イン」5.1に示されたリスク特
定、リスク分析、リスク評
価、リスク対応の選択肢の選
定、リスク対応策の設計・評
価、リスクコミュニケーショ
リスクマネジメントに始まる一連のプ
ロセスの継続的な実行とそれによるシス
テム上のリスク対策の見直しを行わなけ
れば、新たなリスクに対応できなくなる
おそれがある。
るリスクアセスメント*14 に始まる一連のプロセス(リスク特 ・医療情報システムの安全管理に関する
定、リスク分析、リスク評価、リスク対応の選択肢の選定、リ
ガイドライン第6.0版
スク対応策の設計・評価、リスクコミュニケーション)を契約
企画管理編6.1.2
後も継続的に実施し、対応の見直しを行うこと、それを行うに ・医療情報を取り扱う情報システム・サービスの
当たっての具体的な時期・頻度・役割分担等を取り決める。
医療情報システムを構成するシステムごとに、それらが使用
ンのプロセスを継続的に実施
できなくなった場合の影響等についてもリスク評価を行い、事
する。
業継続の観点から代替措置等を検討すること。
提供事業者における安全管理ガイドライン
5.1.7、5.2
「医療情報を取り扱う情報システム・サービスの提供事業者
における安全管理ガイドライン」4.1「医療機関へ情報提供す
開示されたサービ
5
ス仕様等の事後的
な変更
契約締結前に事業者から提示
事前に提示された情報に変更があった べき項目」に記載された情報(「医療機関が医療情報安全管理
された医療情報システム関連
にもかかわらず、それを医療機関が把握 ガイドラインに基づき「外部保存を受託する事業者の選定基
・医療情報を取り扱う情報システム・サービスの
情報について、変更があった
していなければ、想定外の事故が生じる 準」として少なくとも確認する必要のある項目、及び「医療機
提供事業者における安全管理ガイドライン4.1
場合に情報提供する。
おそれがある。
関との共通理解を形成するために情報提供すべき項目」)につ
いて、契約締結後に変更があった場合に改めて情報を提供する
ことを取り決める。
「医療情報を取り扱う情報システム・サービスの提供事業者
サービス・レベル
6
合意書(SLA)
の締結
*5
事業者が提供するサービスの
具体的なサービス・レベルが定まらな
保証範囲を合意するため、
いまま委託をした場合、障害等が発生し
サービス・レベル合意書
た際の責任分担があいまいになるおそれ
(SLA)*5 を締結する。
がある。
における安全管理ガイドライン」別紙 1「 ガイドラインに基
づくサービス仕様適合開示書及びサービス・レベル合意書
(SLA)参考例」」を参考に、事業者は、医療機関との共通理
解を醸成した上で、医療機関が必要とするサービス・レベルを
満たすSLA案を作成し、その内容について事業者から十分な説
明を行った上で、検討して取り決める。
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.2.1、
別紙 1「 ガイドラインに基づくサービス仕様適合
開示書及びサービス・レベル合意書(SLA)参考
例」における「サービス・レベル合意書(SLA)
参考例」
医療情報を開示するに当たり、事業者
医療情報システムに関わる事
7
事業者の責任と秘 業者に対して、医療機関の職
密保持義務
員と同様の責任や秘密保持義
務を課す。
による秘密保持義務がないと、漏えいが
生じるおそれが高まる。
また、事業者による情報漏洩等が発生
した場合に、医療機関が事業者に対して
委託先事業者と当該事業者で業務にあたる者との雇用契約等
において、守秘義務契約を含んでいることを確認する。
対応や協力を求めたり、責任追及したり
することができないおそれがある。
3 ページ
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編7.2