よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 [564KB] (7 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
管理事
運用管理項目
項番号
実施項目
対象
盗難、紛失時の対応策
A
技術的対策
・情報に対して暗号化したりアク
セスパスワードを設定したりす
運用的対策
・情報を格納した可搬媒体及び情報機
器の盗難、紛失時の対応
る等、容易に内容を読み取られ
A
と。
途定めるとおり対応すること。
・運用管理規程で定めた盗難、紛失時
方法
・持ち出した情報及び情報機器の盗難、紛失時には、直ちにシステム管理者に届け出るこ
・届出を受け付けたシステム管理者は、その情報及び情報機器の重要度にしたがって、別
ないようにする
利用者への周知徹底
運用管理規程文例
の対応を従業者等に周知徹底し、教
育を行う
・システム管理者は、情報及び情報機器の持ち出しについてマニュアルを整備し、利用者に
周知の上、常に利用可能な状態におくこと。
・システム管理者は、利用者に対し、情報及び情報機器の持ち出しについて研修を行うこ
と。また、研修時のテキスト、出席者リストを残すこと。
⑦
外部の機関と医療
安全を技術的、運用的
情報を交換する場
面から確認する規程
A
・6.11 章に基づいて行われる技
・左記の項と対応する、運用事項
術的対策
・システム管理者は、外部の機関と医療情報を交換する場合、リスク分析を行い、安全に運
用されるように別途定める技術的及び運用的対策を講じること。
合
・技術的対策が適切に実施され問題がないかを定期的に監査を行って確認すること。
リスク対策の検討文書
A
・上記のリスク対策の検討文書を作成し
の管理規程
情報処理関連事業者と
管理する
A
・医療機関等の間の情報通信に関連す
の通常運用時、事故処
る医療機関等、電気通信事業者やシ
理時それぞれで責任分
ステムインテグレータ、クラウドサービ
界点を定めた契約文書
ス事業者、運用委託事業者等、関連
の管理と契約状態の維
組織の責任分界点、責任の所在を契
持管理規程
約書等で明確にする
・外部の機関と医療情報を交換する場合、相手の医療機関等、電気通信事業者、運用委託
業者等との間で、責任分界点や責任の所在を契約書等で明確にすること。
・上記契約状態が適切に維持管理されているか定期的に監査を行って確認すること。
・またその契約状態を維持管理する規
程を定めている
リモートメンテナンスの
A
基本方針
・適切なアクセスポイントの設定、 ・遠隔保守を行う事業者との間で、責任
プロトコルの限定、アクセス権限
分界点、責任の所在を契約書等で明
事業者、運用委託業者等との間で、責任分界点や責任の所在を契約書等で明確にするこ
管理等を行って不必要なログイ
確にすること
と。
ンを防止する
従業者による医療機関
A
・医療機関等の内部のシステム
等の外部からアクセス
に不正な侵入等を防止する技
する場合の運用管理規
術的対策
程
・外部の保守会社からリモートメンテナンスを受ける場合、相手の保守事業者等、電気通信
・上記契約状態が適切に維持管理されているか定期的に監査を行って確認すること。
・外部からアクセスを許容する機器及び
その状態を規定する
・外部からアクセスを許容する機器については、別途定める規程に従ったものに限定するこ
と。その機器が許可された際の状態を保持していることを定期的に確認すること。
・外部からアクセスを許容した機器が、
その許容状態を保持しているのかを
確認する
⑧
自然災害やサイバ
BCP の規程における
ー攻撃等による非
医療情報システムの項
常時の対策
A
・医療サービスを提供し続けるための
BCP の一環として、“非常時”と判断す
る仕組み、正常復帰時の手順を設け
る
・災害、サイバー攻撃等により、一部医療行為の停止等、医療サービス提供体制に支障が
発生する非常時の場合、別途定める事業継続計画(BCP)に従って運用を行うこと。
・どのような状態を非常時とみなすかについては、別途定める基準、手順に従って運用責任
者が判断すること。
-7-
運用管理項目
項番号
実施項目
対象
盗難、紛失時の対応策
A
技術的対策
・情報に対して暗号化したりアク
セスパスワードを設定したりす
運用的対策
・情報を格納した可搬媒体及び情報機
器の盗難、紛失時の対応
る等、容易に内容を読み取られ
A
と。
途定めるとおり対応すること。
・運用管理規程で定めた盗難、紛失時
方法
・持ち出した情報及び情報機器の盗難、紛失時には、直ちにシステム管理者に届け出るこ
・届出を受け付けたシステム管理者は、その情報及び情報機器の重要度にしたがって、別
ないようにする
利用者への周知徹底
運用管理規程文例
の対応を従業者等に周知徹底し、教
育を行う
・システム管理者は、情報及び情報機器の持ち出しについてマニュアルを整備し、利用者に
周知の上、常に利用可能な状態におくこと。
・システム管理者は、利用者に対し、情報及び情報機器の持ち出しについて研修を行うこ
と。また、研修時のテキスト、出席者リストを残すこと。
⑦
外部の機関と医療
安全を技術的、運用的
情報を交換する場
面から確認する規程
A
・6.11 章に基づいて行われる技
・左記の項と対応する、運用事項
術的対策
・システム管理者は、外部の機関と医療情報を交換する場合、リスク分析を行い、安全に運
用されるように別途定める技術的及び運用的対策を講じること。
合
・技術的対策が適切に実施され問題がないかを定期的に監査を行って確認すること。
リスク対策の検討文書
A
・上記のリスク対策の検討文書を作成し
の管理規程
情報処理関連事業者と
管理する
A
・医療機関等の間の情報通信に関連す
の通常運用時、事故処
る医療機関等、電気通信事業者やシ
理時それぞれで責任分
ステムインテグレータ、クラウドサービ
界点を定めた契約文書
ス事業者、運用委託事業者等、関連
の管理と契約状態の維
組織の責任分界点、責任の所在を契
持管理規程
約書等で明確にする
・外部の機関と医療情報を交換する場合、相手の医療機関等、電気通信事業者、運用委託
業者等との間で、責任分界点や責任の所在を契約書等で明確にすること。
・上記契約状態が適切に維持管理されているか定期的に監査を行って確認すること。
・またその契約状態を維持管理する規
程を定めている
リモートメンテナンスの
A
基本方針
・適切なアクセスポイントの設定、 ・遠隔保守を行う事業者との間で、責任
プロトコルの限定、アクセス権限
分界点、責任の所在を契約書等で明
事業者、運用委託業者等との間で、責任分界点や責任の所在を契約書等で明確にするこ
管理等を行って不必要なログイ
確にすること
と。
ンを防止する
従業者による医療機関
A
・医療機関等の内部のシステム
等の外部からアクセス
に不正な侵入等を防止する技
する場合の運用管理規
術的対策
程
・外部の保守会社からリモートメンテナンスを受ける場合、相手の保守事業者等、電気通信
・上記契約状態が適切に維持管理されているか定期的に監査を行って確認すること。
・外部からアクセスを許容する機器及び
その状態を規定する
・外部からアクセスを許容する機器については、別途定める規程に従ったものに限定するこ
と。その機器が許可された際の状態を保持していることを定期的に確認すること。
・外部からアクセスを許容した機器が、
その許容状態を保持しているのかを
確認する
⑧
自然災害やサイバ
BCP の規程における
ー攻撃等による非
医療情報システムの項
常時の対策
A
・医療サービスを提供し続けるための
BCP の一環として、“非常時”と判断す
る仕組み、正常復帰時の手順を設け
る
・災害、サイバー攻撃等により、一部医療行為の停止等、医療サービス提供体制に支障が
発生する非常時の場合、別途定める事業継続計画(BCP)に従って運用を行うこと。
・どのような状態を非常時とみなすかについては、別途定める基準、手順に従って運用責任
者が判断すること。
-7-