よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (19 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.2. 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践
B.考え方
安全管理を適切に行うための標準的なマネジメントシステムが ISO(ISO/IEC 27001:2013)
及び JIS(JIS Q 27001:2014)によって規格化されている。適切なマネジメントシステムを
採用することは、安全管理の実践において有用である。
なお、医療情報システムで扱われている情報のリストアップやリスク分析及び対策に当
たっては、医療情報システムベンダ及びサービス事業者から技術的対策等の情報を収集す
ることが重要である。その際には、
「医療情報を取り扱う情報システム・サービスの提供事
業者における安全管理ガイドライン」
(総務省・経済産業省 令和 2 年 8 月 21 日)における
「サービス仕様適合開示書」や、保健医療福祉情報システム工業会の JAHIS 標準及び日本画
像医療システム工業会規格(JESRA)となっている「『製造業者/サービス事業者による医療
情報セキュリティ開示書』ガイド」で示されているチェックリストが参考になる。
「
『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」は以下の URL
から取得できる。
https://www.jahis.jp/standard/contents_type=33
https://www.jira-net.or.jp/publishing/jesra_public.html
6.2.1. ISMS 構築の手順
ISMS の構築は PDCA モデルによって行われる。JIS Q27001:2006(※)では PDCA の各ス
テップを次の様に規定している。
※ JIS Q27001:2014 では PDCA との記述は使われていないが、「情報セキュリティマネ
ジメントシステム」として「組織は、この規格の要求事項に従って ISMS を確立し、
実施し、維持し、かつ、継続的に改善しなければならない。
」と記述されている。そ
のモデルとして PDCA サイクルが理解しやすいので旧版を引用している。
ISMS プロセスに適用される PDCA モデルの概要
(ISMS の確立)
組織の全般的方針及び目的に従った結果を出すための、リスク
マネジメント及び情報セキュリティの改善に関連した、
ISMS 基
本方針、目的、プロセス及び手順の確立
Do-実施
ISMS 基本方針、管理策、プロセス及び手順の導入及び運用
Plan-計画
(ISMS の導入及び運用)
Check-点検
(ISMS の監視及び見直し)
ISMS 基本方針、目的及び実際の経験に照らした、プロセスのパ
フォーマンスのアセスメント(適用可能ならば測定)
、及びそ
の結果のレビューのための経営陣への報告
Action-処置
ISMS の継続的な改善を達成するための、ISMS の内部監査及び
(ISMS の維持及び改善)
マネジメントレビューの結果又はその他の関連情報に基づい
15
B.考え方
安全管理を適切に行うための標準的なマネジメントシステムが ISO(ISO/IEC 27001:2013)
及び JIS(JIS Q 27001:2014)によって規格化されている。適切なマネジメントシステムを
採用することは、安全管理の実践において有用である。
なお、医療情報システムで扱われている情報のリストアップやリスク分析及び対策に当
たっては、医療情報システムベンダ及びサービス事業者から技術的対策等の情報を収集す
ることが重要である。その際には、
「医療情報を取り扱う情報システム・サービスの提供事
業者における安全管理ガイドライン」
(総務省・経済産業省 令和 2 年 8 月 21 日)における
「サービス仕様適合開示書」や、保健医療福祉情報システム工業会の JAHIS 標準及び日本画
像医療システム工業会規格(JESRA)となっている「『製造業者/サービス事業者による医療
情報セキュリティ開示書』ガイド」で示されているチェックリストが参考になる。
「
『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」は以下の URL
から取得できる。
https://www.jahis.jp/standard/contents_type=33
https://www.jira-net.or.jp/publishing/jesra_public.html
6.2.1. ISMS 構築の手順
ISMS の構築は PDCA モデルによって行われる。JIS Q27001:2006(※)では PDCA の各ス
テップを次の様に規定している。
※ JIS Q27001:2014 では PDCA との記述は使われていないが、「情報セキュリティマネ
ジメントシステム」として「組織は、この規格の要求事項に従って ISMS を確立し、
実施し、維持し、かつ、継続的に改善しなければならない。
」と記述されている。そ
のモデルとして PDCA サイクルが理解しやすいので旧版を引用している。
ISMS プロセスに適用される PDCA モデルの概要
(ISMS の確立)
組織の全般的方針及び目的に従った結果を出すための、リスク
マネジメント及び情報セキュリティの改善に関連した、
ISMS 基
本方針、目的、プロセス及び手順の確立
Do-実施
ISMS 基本方針、管理策、プロセス及び手順の導入及び運用
Plan-計画
(ISMS の導入及び運用)
Check-点検
(ISMS の監視及び見直し)
ISMS 基本方針、目的及び実際の経験に照らした、プロセスのパ
フォーマンスのアセスメント(適用可能ならば測定)
、及びそ
の結果のレビューのための経営陣への報告
Action-処置
ISMS の継続的な改善を達成するための、ISMS の内部監査及び
(ISMS の維持及び改善)
マネジメントレビューの結果又はその他の関連情報に基づい
15