よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(別冊)(令和4年3月)[2,057KB] (28 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
理関連事業者と外部保存を受託する事業者は異なることが多いため、障害が起こった際
の対処の責任範囲について明確に定めた上で、医療機関等が理解しておく必要がある。
さらに、委託先に対する監督も必須であり、定期的に安全管理に関する状況の報告を
受ける必要がある。
クラウドサービスは、受託事業者等によって提供されるサービスで、利用者が医療情
報システム及びこれに必要な機器を保有することなく、ネットワーク経由で事業者が提
供する医療情報システムにアクセスし、必要な処理や、データ保管等の管理を行うもの
である。医療情報においても、外部保存を行うほか、必要な情報処理を行うのに用いる
ことができる。
外部保存を受託事業者が 1 社ではなく複数の事業者を通じて行われることもある。こ
の場合には障害や情報漏洩等の事故が生じた場合に、責任分界を明瞭にしておかないと、
原因の特定や対策などが遅滞する危険性がある。
図 4-1 の②の場合は、医療機関等が複数の事業者と外部保存に関する契約を行う例で
あるが、障害等が発生した非常時の場合に、最初に原因調査の範囲を決める責任を負う
主体や、原因調査に必要な調査協力義務などについての役割、範囲等をそれぞれの事業
者と取り決めておくことが求められる。複数事業者の提供サービス内容や契約内容を合
わせて、本ガイドラインの要求に漏れなく適合していることの確認が必要である。
② 外部受託事業者が提供するサービス以外に、医療機関
等が、当該外部委託事業者以外のサービスを利用する場合
① 外部受託事業者がすべ
てのサービスを提供する場合
A 水平連携ケース
医療機関等
医療機関等
サービスを一体
として提供
クラウドサービス事業者A
アプリケーション
プラットフォーム
インフラ
B 垂直連携ケース
医療機関等
サービス提供
サービス提供
サービス提供
クラウドサービス
事業者A
クラウドサービス
事業者B
アプリケーション
アプリケーション
プラットフォーム
連携関係
がある場合
プラットフォーム
インフラ
インフラ
別
途
契
約
クラウドサービス
事業者A
アプリケーション
サービス
基盤提供
クラウドサービス事業者B
プラットフォーム
インフラ
内部的にサプライチェーンが発生し
ても、医療機関等との関係では、
すべて事業者Aが一括してサービ
ス提供責任を負う
図 4-1
外部受託事業者間での連携が必要となる場合に関する責任分界の
考え方を、それぞれの事業者と定める必要がある
1 者又は複数の事業者が受託する場合の責任分界の考え方
(5) 法令で定められている場合
法令で定められている場合等の特別な事情により、情報処理関連事業者に暗号化され
ていない医療情報が送信される場合は、情報処理関連事業者及びネットワーク事業者等
において盗聴の脅威に対する対策を施す必要がある。
26
の対処の責任範囲について明確に定めた上で、医療機関等が理解しておく必要がある。
さらに、委託先に対する監督も必須であり、定期的に安全管理に関する状況の報告を
受ける必要がある。
クラウドサービスは、受託事業者等によって提供されるサービスで、利用者が医療情
報システム及びこれに必要な機器を保有することなく、ネットワーク経由で事業者が提
供する医療情報システムにアクセスし、必要な処理や、データ保管等の管理を行うもの
である。医療情報においても、外部保存を行うほか、必要な情報処理を行うのに用いる
ことができる。
外部保存を受託事業者が 1 社ではなく複数の事業者を通じて行われることもある。こ
の場合には障害や情報漏洩等の事故が生じた場合に、責任分界を明瞭にしておかないと、
原因の特定や対策などが遅滞する危険性がある。
図 4-1 の②の場合は、医療機関等が複数の事業者と外部保存に関する契約を行う例で
あるが、障害等が発生した非常時の場合に、最初に原因調査の範囲を決める責任を負う
主体や、原因調査に必要な調査協力義務などについての役割、範囲等をそれぞれの事業
者と取り決めておくことが求められる。複数事業者の提供サービス内容や契約内容を合
わせて、本ガイドラインの要求に漏れなく適合していることの確認が必要である。
② 外部受託事業者が提供するサービス以外に、医療機関
等が、当該外部委託事業者以外のサービスを利用する場合
① 外部受託事業者がすべ
てのサービスを提供する場合
A 水平連携ケース
医療機関等
医療機関等
サービスを一体
として提供
クラウドサービス事業者A
アプリケーション
プラットフォーム
インフラ
B 垂直連携ケース
医療機関等
サービス提供
サービス提供
サービス提供
クラウドサービス
事業者A
クラウドサービス
事業者B
アプリケーション
アプリケーション
プラットフォーム
連携関係
がある場合
プラットフォーム
インフラ
インフラ
別
途
契
約
クラウドサービス
事業者A
アプリケーション
サービス
基盤提供
クラウドサービス事業者B
プラットフォーム
インフラ
内部的にサプライチェーンが発生し
ても、医療機関等との関係では、
すべて事業者Aが一括してサービ
ス提供責任を負う
図 4-1
外部受託事業者間での連携が必要となる場合に関する責任分界の
考え方を、それぞれの事業者と定める必要がある
1 者又は複数の事業者が受託する場合の責任分界の考え方
(5) 法令で定められている場合
法令で定められている場合等の特別な事情により、情報処理関連事業者に暗号化され
ていない医療情報が送信される場合は、情報処理関連事業者及びネットワーク事業者等
において盗聴の脅威に対する対策を施す必要がある。
26