よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(別冊)(令和4年3月)[2,057KB] (76 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
所管する行政機関の調査等に供するため、提出等を行う必要が生じうることから、これ
を円滑に実現できることが求められる。そのため外部保存の受託事業者の選定にあたっ
ては、国内法の適用があることや、逆にこれを阻害するような国外法の適用がないこと
などを確認し、適切に判断した上で選定することが求められる。
2.情報の取扱い
① 病院、診療所、医療法人等が適切に管理する場所に保存する場合
病院、診療所等であっても、保存を受託した診療録等について分析等を行おうとする
場合は、委託した病院、診療所及び患者の同意を得た上で、不当な利益を目的としない
場合に限る。
また、実施に当たっては院内に検証のための組織等を作り客観的な評価を行う必要が
ある。
匿名化された情報を取り扱う場合においても、地域や委託した医療機関等の規模に
よっては容易に個人が特定される可能性もあることから、匿名化の妥当性の検証を検証
組織で検討したり、取扱いをしている事実を患者等に掲示等を使って知らせる等、個人
情報の保護に配慮する必要がある。
② 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
本項で定める外部保存を受託する事業者が医療機関等から委託を受けて情報を保存す
る場合、
不当な利益追求を目的として情報を閲覧、
分析等を行うことはあってはならず、
許されない。したがって、外部保存を受託する事業者を選定する場合、医療機関等はそ
れらが実施されないことの確認、又は実施させないことを明記した契約書等を取り交わ
す必要がある。
外部保存の技術的な方法としては、例えばトラブル発生時のデータ修復作業等、緊急
時の対応を除き、原則として医療機関等のみがデータ内容を閲覧できることを担保する
ことも考えられる。
さらに、外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い
適切に管理することや、あるいは情報処理関連事業者の管理者といえどもアクセスでき
ない制御機構をもつことも考えられる。
具体的には、
「暗号化を行う」
、
「情報を分散保管する」方法が考えられる。
この場合、不測の事故等を想定し、情報の可用性に十分留意しなければならない。
医療機関等が自ら暗号化を行って暗号鍵を保管している場合、火災や事故等で暗号鍵
が利用不可能になった場合、全ての保存委託を行っている医療情報が利用不可能になる
可能性がある。
これを避けるためには暗号鍵を、外部保存を受託する事業者に預託する、複数の信頼
できる他の医療機関等に預託する等が考えられる。分散保管においても同様の可用性の
74
を円滑に実現できることが求められる。そのため外部保存の受託事業者の選定にあたっ
ては、国内法の適用があることや、逆にこれを阻害するような国外法の適用がないこと
などを確認し、適切に判断した上で選定することが求められる。
2.情報の取扱い
① 病院、診療所、医療法人等が適切に管理する場所に保存する場合
病院、診療所等であっても、保存を受託した診療録等について分析等を行おうとする
場合は、委託した病院、診療所及び患者の同意を得た上で、不当な利益を目的としない
場合に限る。
また、実施に当たっては院内に検証のための組織等を作り客観的な評価を行う必要が
ある。
匿名化された情報を取り扱う場合においても、地域や委託した医療機関等の規模に
よっては容易に個人が特定される可能性もあることから、匿名化の妥当性の検証を検証
組織で検討したり、取扱いをしている事実を患者等に掲示等を使って知らせる等、個人
情報の保護に配慮する必要がある。
② 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
本項で定める外部保存を受託する事業者が医療機関等から委託を受けて情報を保存す
る場合、
不当な利益追求を目的として情報を閲覧、
分析等を行うことはあってはならず、
許されない。したがって、外部保存を受託する事業者を選定する場合、医療機関等はそ
れらが実施されないことの確認、又は実施させないことを明記した契約書等を取り交わ
す必要がある。
外部保存の技術的な方法としては、例えばトラブル発生時のデータ修復作業等、緊急
時の対応を除き、原則として医療機関等のみがデータ内容を閲覧できることを担保する
ことも考えられる。
さらに、外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い
適切に管理することや、あるいは情報処理関連事業者の管理者といえどもアクセスでき
ない制御機構をもつことも考えられる。
具体的には、
「暗号化を行う」
、
「情報を分散保管する」方法が考えられる。
この場合、不測の事故等を想定し、情報の可用性に十分留意しなければならない。
医療機関等が自ら暗号化を行って暗号鍵を保管している場合、火災や事故等で暗号鍵
が利用不可能になった場合、全ての保存委託を行っている医療情報が利用不可能になる
可能性がある。
これを避けるためには暗号鍵を、外部保存を受託する事業者に預託する、複数の信頼
できる他の医療機関等に預託する等が考えられる。分散保管においても同様の可用性の
74