よむ、つかう、まなぶ。
【参考資料3-7】(別添1)医療情報システムの契約における当事者間の役割分担等に関する確認表 推奨される対応例 (4 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
項番
項目
内容
想定されるリスク
医療情報には要配慮情報を含む個人情
8
個人情報の管理
個人情報の適切な取り扱いに
報*15 が含まれるため、漏えい等の事故
ついて取り決める。
が発生した場合の影響は重大なものとな
る。
推奨される対応例
ガイドライン等関連部分
事業者が医療機関が保有する個人情報を取り扱う場合には、
個人情報保護法及び厚生労働分野における個人情報の適切な取
扱いのためのガイドラインに基づき、十分な安全管理措置を確
保した取り扱いをすることや、事故発生時の対応等について契
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.1.3
約で取り決める。
(a) 診療録及び診療諸記録等の機密情報や個人情報について
事業者による外部保存を行う場合には、関連する法令及び右記
通知の要求事項を満たすことのほか、「医療情報システムの安
全管理に関するガイドライン第6.0版」企画管理編7の【遵守事
項】のうち、契約において取り決めるべきと記載された項目
➀
医療情報等を外部保存する場合、関
連する通知や「医療情報システムの安全
管理に関するガイドライン第6.0版」企画
管理編7に記載の要件を遵守しない形で
9
医療情報の外部保
存
診療録及び診療諸記録等の機
の外部委託の場合、安全管理が不十分と
密情報や個人情報について事
なり事故が生じるおそれが高まる。
業者が提供するサービスを用
いた外部保存を行う場合に満
たすべき要件(特にクラウド
(委託先事業者の担当人員に守秘義務を課すほか、安全管理に
関する教育訓練を行うこと、守秘義務等の違反に対するペナル
ティ、保存された情報についての独断での分析・解析等の禁止 ・医療情報システムの安全管理に関する
や提供の禁止、匿名化した情報を含めた情報の適切な取り扱
い、アクセス権限の適切な設定)を取り決める必要がある。
ガイドライン第6.0版
企画管理編7
・医療情報を取り扱う情報システム・サービスの
(b) また、事業者が医療情報等の安全管理のための基本方
提供事業者における安全管理ガイドライン6.5
針・取扱規程等や必要な実施体制の整備状況、サイバー攻撃に
・外部保存通知
ティ対策や事故発生時の義務・責任に不 よる被害防止のためのバックアップの取得・管理の状況、実績
・e文書法省令施行通知
足がある場合、事故発生時に必要な対応 等に基づく個人データ安全管理に関する信用度、財務諸表等に
また、外部保存にあたってセキュリ
サービス*6 を利用する場合) がとられないおそれがある。
基づく経営の健全性、関連する認定・認証等(プライバシー
を遵守する。
マーク*9 、ISMS*16 、ISMAP*17 等)の取得状況、医療
情報等を保存する機器の設置場所(地域・国)、事業者に対す
る国外法の適用可能性を確認するほか、事業者が施している具
体的なセキュリティ対策、漏えい・消失等の事故発生時に事業
者が負担する契約上の対応義務や責任の内容に不足がないか確
認する。
➁
事業者による外部保存の期間が終了
したり、外部保存の委託自体が終了して
いるにもかかわらず、外部に医療情報等
の機密情報や個人情報が残存していると
流出のリスクが残る。
医療情報システムに関する業
10
再委託先の選定・ 務を事業者が再委託する場合
管理
に、再委託先の選定・管理に
ついて医療機関が関与する。
医療機関が認識しないまま、医療情報
システムの一部や医療情報等が再委託先
で取り扱われ、不十分な安全管理によっ
て情報漏えいや事故につながるおそれが
ある。
情報の保存期間が満了した場合や外部保存を終了する場合の ・医療情報システムの安全管理に関する
医療情報(バックアップを含む。)の破棄や返却について、破
ガイドライン第6.0版
棄時に適切に破棄されたことを確認できる証跡の提供等も含
企画管理編7、7.4、7.5、8.3、
め、契約において具体的に取り決める。
システム運用編7.3
医療情報システムに関する業務を事業者が再委託する場合に ・医療情報システムの安全管理に関する
は、
ガイドライン第6.0版
(a) 事前に医療機関の承諾が必要であること、
(b) 再委託先の行為について事業者が責任を負うこと、
(c) 事業者が再委託先から実施状況の報告等必要な情報を得
て医療機関に提供すること等を取り決める。
企画管理編2.1.2(2)、経営管理編5.2.2、
システム運用編3.3.1
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン2.2
医療機関は医療の専門家であって、セキュリティについての
説明義務について具体的な定めがない 専門性は乏しい場合が多いのに対し、専門的な医療情報システ
医療情報システム
11
のセキュリティに
関する情報提供義
務
事業者が医療機関に対して、
場合、事業者から医療機関に対する情報 ム等を提供する事業者は、セキュリティに関する専門的な知
医療機関が患者に対する安全
提供が不十分となり、その結果必要なセ 識・経験・人材を擁しているべきであり、こうした専門性の格
管理義務を履行するために必
キュリティ対策をとれないおそれがあ
差に鑑みて、事業者は、医療機関に対し、委託契約又は信義則
要なセキュリティに関する情
る。
に基づく付随義務として、医療機関が患者に対する安全管理義
報を適時適切に提供する義務
また、事故発生時等に、事業者が事前 務を履行するために必要な情報を、適時適切に提供する義務
(説明義務)の具体的内容・
にどこまで説明する義務を負っていたの (説明義務)を負うとされる。
範囲について定める。
かを巡ってトラブルとなるおそれがあ
る。
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.1.2
契約においては、説明義務の範囲を明確にし、医療機関に
とって適時適切な情報提供がなされるよう、こうした事業者の
説明義務の対象や内容をなるべく具体的な形で取り決める。
12
B
セキュリティ対策
の見直し提案
情報セキュリティを巡る情勢
に鑑み、事業者から自発的に
対策の見直しを提案する。
医療機関では情報セキュリティに関す
る最新の情勢を把握できない場合、事業
者からの自発的提案がなければ対策が遅
れるおそれがある。
情報セキュリティの最新情勢に鑑みて、安全管理上必要であ ・医療情報システムの安全管理に関する
れば、事業者において自発的に対策の見直しを行い、医療機関
に提案することを取り決める。
ガイドライン第6.0版
企画管理編2.1.2(3)
システム導入契約
類推されにくいパスワードの設定や、二要素認証の採用など
医療情報システムへのアクセ
1
利用者認証
スを正当な利用者のみに限定
するため、利用者の識別・認
証機能を設定する。
の利用者認証の強度について、リスク評価に基づいて適切に取
医療情報システムに利用者認証機能が り決める。
適切に設定されていないと、不正アクセ
ス*13 が生じる可能性がある。
なお、「医療情報システムの安全管理に関するガイドライ
ン」において、令和9年度時点で稼働していることが想定され
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編14.1
る医療情報システムを今後導入または更新する場合、原則とし
て二要素認証を採用することが求められている。
(a) 医療情報システムにおいてネットワークを通じて通信を
行う際に、通信の相手先が正当であることを認識するための相 ・医療情報システムの安全管理に関する
医療情報システムにおいて通
2
通信相手の認証
信しようとする相手方が、通
信目的に適った正当な相手か
相手がなりすましである場合に、情報
漏えいが生じるおそれがある。
どうか認証する。
互認証を行うこと、
(b) また診療録等のオンライン外部保存を受託する事業者と
ガイドライン第6.0版
システム運用編13⑫
委託する医療機関が、互いに通信目的とする正当な相手かどう ・情報システム・モデル取引・契約書追補版
かを認識するための相互認証機能を設けること等を、システム
セキュリティチェックシート
又はサービスの要件として取り決める。
外部から接続先が限定されているオープンではないセキュア
3
通信経路に対する 通信経路に対する安全対策を
安全対策の確保
確保する。
不正アクセス
*13
による情報漏えいが
生じるおそれがある。
なネットワークへの接続を認める場合、セキュアなネットワー ・医療情報システムの安全管理に関する
ク に到達するまでのオープンなネットワーク(インターネッ
ガイドライン第6.0版
ト)において、チャネル・セキュリティ*18 が確実に確保され
システム運用編 13
るよう事業者において必要な対策を講じることを取り決める。
4 ページ
項目
内容
想定されるリスク
医療情報には要配慮情報を含む個人情
8
個人情報の管理
個人情報の適切な取り扱いに
報*15 が含まれるため、漏えい等の事故
ついて取り決める。
が発生した場合の影響は重大なものとな
る。
推奨される対応例
ガイドライン等関連部分
事業者が医療機関が保有する個人情報を取り扱う場合には、
個人情報保護法及び厚生労働分野における個人情報の適切な取
扱いのためのガイドラインに基づき、十分な安全管理措置を確
保した取り扱いをすることや、事故発生時の対応等について契
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.1.3
約で取り決める。
(a) 診療録及び診療諸記録等の機密情報や個人情報について
事業者による外部保存を行う場合には、関連する法令及び右記
通知の要求事項を満たすことのほか、「医療情報システムの安
全管理に関するガイドライン第6.0版」企画管理編7の【遵守事
項】のうち、契約において取り決めるべきと記載された項目
➀
医療情報等を外部保存する場合、関
連する通知や「医療情報システムの安全
管理に関するガイドライン第6.0版」企画
管理編7に記載の要件を遵守しない形で
9
医療情報の外部保
存
診療録及び診療諸記録等の機
の外部委託の場合、安全管理が不十分と
密情報や個人情報について事
なり事故が生じるおそれが高まる。
業者が提供するサービスを用
いた外部保存を行う場合に満
たすべき要件(特にクラウド
(委託先事業者の担当人員に守秘義務を課すほか、安全管理に
関する教育訓練を行うこと、守秘義務等の違反に対するペナル
ティ、保存された情報についての独断での分析・解析等の禁止 ・医療情報システムの安全管理に関する
や提供の禁止、匿名化した情報を含めた情報の適切な取り扱
い、アクセス権限の適切な設定)を取り決める必要がある。
ガイドライン第6.0版
企画管理編7
・医療情報を取り扱う情報システム・サービスの
(b) また、事業者が医療情報等の安全管理のための基本方
提供事業者における安全管理ガイドライン6.5
針・取扱規程等や必要な実施体制の整備状況、サイバー攻撃に
・外部保存通知
ティ対策や事故発生時の義務・責任に不 よる被害防止のためのバックアップの取得・管理の状況、実績
・e文書法省令施行通知
足がある場合、事故発生時に必要な対応 等に基づく個人データ安全管理に関する信用度、財務諸表等に
また、外部保存にあたってセキュリ
サービス*6 を利用する場合) がとられないおそれがある。
基づく経営の健全性、関連する認定・認証等(プライバシー
を遵守する。
マーク*9 、ISMS*16 、ISMAP*17 等)の取得状況、医療
情報等を保存する機器の設置場所(地域・国)、事業者に対す
る国外法の適用可能性を確認するほか、事業者が施している具
体的なセキュリティ対策、漏えい・消失等の事故発生時に事業
者が負担する契約上の対応義務や責任の内容に不足がないか確
認する。
➁
事業者による外部保存の期間が終了
したり、外部保存の委託自体が終了して
いるにもかかわらず、外部に医療情報等
の機密情報や個人情報が残存していると
流出のリスクが残る。
医療情報システムに関する業
10
再委託先の選定・ 務を事業者が再委託する場合
管理
に、再委託先の選定・管理に
ついて医療機関が関与する。
医療機関が認識しないまま、医療情報
システムの一部や医療情報等が再委託先
で取り扱われ、不十分な安全管理によっ
て情報漏えいや事故につながるおそれが
ある。
情報の保存期間が満了した場合や外部保存を終了する場合の ・医療情報システムの安全管理に関する
医療情報(バックアップを含む。)の破棄や返却について、破
ガイドライン第6.0版
棄時に適切に破棄されたことを確認できる証跡の提供等も含
企画管理編7、7.4、7.5、8.3、
め、契約において具体的に取り決める。
システム運用編7.3
医療情報システムに関する業務を事業者が再委託する場合に ・医療情報システムの安全管理に関する
は、
ガイドライン第6.0版
(a) 事前に医療機関の承諾が必要であること、
(b) 再委託先の行為について事業者が責任を負うこと、
(c) 事業者が再委託先から実施状況の報告等必要な情報を得
て医療機関に提供すること等を取り決める。
企画管理編2.1.2(2)、経営管理編5.2.2、
システム運用編3.3.1
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン2.2
医療機関は医療の専門家であって、セキュリティについての
説明義務について具体的な定めがない 専門性は乏しい場合が多いのに対し、専門的な医療情報システ
医療情報システム
11
のセキュリティに
関する情報提供義
務
事業者が医療機関に対して、
場合、事業者から医療機関に対する情報 ム等を提供する事業者は、セキュリティに関する専門的な知
医療機関が患者に対する安全
提供が不十分となり、その結果必要なセ 識・経験・人材を擁しているべきであり、こうした専門性の格
管理義務を履行するために必
キュリティ対策をとれないおそれがあ
差に鑑みて、事業者は、医療機関に対し、委託契約又は信義則
要なセキュリティに関する情
る。
に基づく付随義務として、医療機関が患者に対する安全管理義
報を適時適切に提供する義務
また、事故発生時等に、事業者が事前 務を履行するために必要な情報を、適時適切に提供する義務
(説明義務)の具体的内容・
にどこまで説明する義務を負っていたの (説明義務)を負うとされる。
範囲について定める。
かを巡ってトラブルとなるおそれがあ
る。
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.1.2
契約においては、説明義務の範囲を明確にし、医療機関に
とって適時適切な情報提供がなされるよう、こうした事業者の
説明義務の対象や内容をなるべく具体的な形で取り決める。
12
B
セキュリティ対策
の見直し提案
情報セキュリティを巡る情勢
に鑑み、事業者から自発的に
対策の見直しを提案する。
医療機関では情報セキュリティに関す
る最新の情勢を把握できない場合、事業
者からの自発的提案がなければ対策が遅
れるおそれがある。
情報セキュリティの最新情勢に鑑みて、安全管理上必要であ ・医療情報システムの安全管理に関する
れば、事業者において自発的に対策の見直しを行い、医療機関
に提案することを取り決める。
ガイドライン第6.0版
企画管理編2.1.2(3)
システム導入契約
類推されにくいパスワードの設定や、二要素認証の採用など
医療情報システムへのアクセ
1
利用者認証
スを正当な利用者のみに限定
するため、利用者の識別・認
証機能を設定する。
の利用者認証の強度について、リスク評価に基づいて適切に取
医療情報システムに利用者認証機能が り決める。
適切に設定されていないと、不正アクセ
ス*13 が生じる可能性がある。
なお、「医療情報システムの安全管理に関するガイドライ
ン」において、令和9年度時点で稼働していることが想定され
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編14.1
る医療情報システムを今後導入または更新する場合、原則とし
て二要素認証を採用することが求められている。
(a) 医療情報システムにおいてネットワークを通じて通信を
行う際に、通信の相手先が正当であることを認識するための相 ・医療情報システムの安全管理に関する
医療情報システムにおいて通
2
通信相手の認証
信しようとする相手方が、通
信目的に適った正当な相手か
相手がなりすましである場合に、情報
漏えいが生じるおそれがある。
どうか認証する。
互認証を行うこと、
(b) また診療録等のオンライン外部保存を受託する事業者と
ガイドライン第6.0版
システム運用編13⑫
委託する医療機関が、互いに通信目的とする正当な相手かどう ・情報システム・モデル取引・契約書追補版
かを認識するための相互認証機能を設けること等を、システム
セキュリティチェックシート
又はサービスの要件として取り決める。
外部から接続先が限定されているオープンではないセキュア
3
通信経路に対する 通信経路に対する安全対策を
安全対策の確保
確保する。
不正アクセス
*13
による情報漏えいが
生じるおそれがある。
なネットワークへの接続を認める場合、セキュアなネットワー ・医療情報システムの安全管理に関する
ク に到達するまでのオープンなネットワーク(インターネッ
ガイドライン第6.0版
ト)において、チャネル・セキュリティ*18 が確実に確保され
システム運用編 13
るよう事業者において必要な対策を講じることを取り決める。
4 ページ