よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン 第6.0版 概説編(案) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.4 医療情報システムに関する統制
医療情報システムの安全管理を行うためには、医療機関等内において、医療情報システムの運営や利
用に対する統制が行われていることが求められる。
内部統制としては、
・ 組織としての安全管理等に関する基本的な方針や計画の策定
・ 安全管理等に必要な組織・体制の整備
・ 組織における安全管理のルールとなる規程類の整備
・ 上記に基づく運用
等を実施することが求められる。
適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握
して必要な情報を経営層に報告し、経営層において医療機関等の組織全体の医療情報システムの安全性
を継続的に管理することが求められる。
また、医療情報システムの運営や利用に際しては、様々な医療情報システム・サービス事業者と協働
しながら安全管理措置を実施する場合が想定される。医療機関等においては、医療情報システムに求め
られる安全管理の水準に鑑み、本ガイドライン、総務省・経済産業省が定めている「医療情報を取り扱
う情報システム・サービスの提供事業者における安全管理ガイドライン」、その他の法令等に掲げる基
準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、双方の認
識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、当
該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが求められる。
加えて、当該事業者に対して、必要に応じて、
「医療情報を取り扱う情報システム・サービスの提供事
業者における安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められる。
4.5 リスク評価とリスク管理
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因
となる「脅威」を認識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、シス
テム障害などの環境要因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
また、これらの脅威によって生じる被害等が発生する可能性がリスクとして表される。
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提
供が停止するといった影響が生じることも考えられる。各医療機関等においては、自組織にとっての脅
威を特定し、そのリスクを評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻
撃、システム障害などについては、被害の影響がより大規模となる可能性が高いため、高度なリスク評
価を踏まえた対策が求められる。
なお、医療情報システムの安全管理上のリスク評価、リスク管理を実施するに当たっては、医療情報
システム・サービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経
済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガ
イドライン」における「サービス仕様適合開示書」や日本画像医療システム工業会(JIRA)の工業会規
格(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システ
ム工業会(JAHIS)の JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリテ
-8-
医療情報システムの安全管理を行うためには、医療機関等内において、医療情報システムの運営や利
用に対する統制が行われていることが求められる。
内部統制としては、
・ 組織としての安全管理等に関する基本的な方針や計画の策定
・ 安全管理等に必要な組織・体制の整備
・ 組織における安全管理のルールとなる規程類の整備
・ 上記に基づく運用
等を実施することが求められる。
適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握
して必要な情報を経営層に報告し、経営層において医療機関等の組織全体の医療情報システムの安全性
を継続的に管理することが求められる。
また、医療情報システムの運営や利用に際しては、様々な医療情報システム・サービス事業者と協働
しながら安全管理措置を実施する場合が想定される。医療機関等においては、医療情報システムに求め
られる安全管理の水準に鑑み、本ガイドライン、総務省・経済産業省が定めている「医療情報を取り扱
う情報システム・サービスの提供事業者における安全管理ガイドライン」、その他の法令等に掲げる基
準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、双方の認
識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、当
該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが求められる。
加えて、当該事業者に対して、必要に応じて、
「医療情報を取り扱う情報システム・サービスの提供事
業者における安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められる。
4.5 リスク評価とリスク管理
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因
となる「脅威」を認識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、シス
テム障害などの環境要因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
また、これらの脅威によって生じる被害等が発生する可能性がリスクとして表される。
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提
供が停止するといった影響が生じることも考えられる。各医療機関等においては、自組織にとっての脅
威を特定し、そのリスクを評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻
撃、システム障害などについては、被害の影響がより大規模となる可能性が高いため、高度なリスク評
価を踏まえた対策が求められる。
なお、医療情報システムの安全管理上のリスク評価、リスク管理を実施するに当たっては、医療情報
システム・サービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経
済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガ
イドライン」における「サービス仕様適合開示書」や日本画像医療システム工業会(JIRA)の工業会規
格(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システ
ム工業会(JAHIS)の JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリテ
-8-