よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン 第6.0版 概説編(案) (12 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ィ 開 示 書 ( 略 称 : MDS/SDS : Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリスト等を参考に、当該事業者から情報提供
していただく等により、当該事業者と医療情報システムの安全管理上のリスクについて共通の理解を得
た上で、リスク管理に関する合意形成(リスクコミュニケーション)を図ることが求められる。また、
合意した内容を契約書や SLA(Service Level Agreement:サービス品質保証、サービスレベル合意書)
等の形で双方の合意文書として明らかにした上で、具体的な責任分界を踏まえた運用を行うことが求め
られる。
4.6 医療情報システムにおける認証・認可
許可認証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く
存在する。医療情報システムも同様に、利用者や利用範囲を適切に管理することが求められ、そのため
にシステム利用等において認証・認可の対策を講じる必要がある。
医療情報システムでは、医療機関等が組織として情報システムの利用権限を認めた利用者に対して、
設定した利用範囲内で適切に利用することを保証するために、利用者の認証・認可を行うことになる。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が認められていないものがあ
る。加えて、患者の医療情報が流出したり、不正に利用されたりした場合には、患者の生命や身体の安
全に影響を及ぼす可能性がある。したがって、こうした医療情報を取り扱う医療情報システムにおいて
算定するリスクは、通常の情報システムよりも高く算定する必要があるため、医療情報システムにおい
て用いる認証・認可については、特に安全なものを採用する必要がある。
情報システムの認証では、認証に際しては利用者を特定するための識別子(ID など)と、利用者が本
人であることを確認するための符号(パスワードや指紋認証データなど)等が必要とされる。医療情報
システムにおいては、このような識別子の発行や、本人であることを確認するための仕組み(認証方法)
のいずれも、高い水準のものを採用することが求められる。例えば ID の発行については、対面など確
実に身元確認が取れる方法を採用する、認証方法については、複数の要素を用いて認証するなどの方法
が挙げられる。
4.7 医療情報の外部保存
医療情報の外部保存については、「4.3
医療情報システムの安全管理に関連する法令」で示した
「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」
や「診療録等の保存を行う場所について」に掲げる基準を満たすことを前提に、外部の事業者に医療情
報のデータの保管を委託し、医療機関の外部に医療情報を保管することが可能となっている。これを踏
まえ、本ガイドラインでは、適切な外部保存委託先としての医療情報システム・サービス事業者の選定
に関する対策項目を示している。
外部保存に際しては、外部と接続するネットワークを利用するという意味で、情報漏洩や不正アクセ
ス等のリスクが生じる。一方、適切な医療情報システム・サービス事業者に委託することで、専門的な
知識に基づいて、必要な情報セキュリティ対策が講じられた環境での医療情報やデータの管理が可能と
なる。そのため、医療機関等においては、自機関のみで整備するよりも、医療情報システム・サービス
事業者に一部の業務を委託する方が、結果として安価でより安全な情報セキュリティ対策を講じること
が可能となることも想定される。加えて、情報システム等の運用に係る要員などの負担軽減にもつなが
-9-
Information Security)』ガイド」で示されているチェックリスト等を参考に、当該事業者から情報提供
していただく等により、当該事業者と医療情報システムの安全管理上のリスクについて共通の理解を得
た上で、リスク管理に関する合意形成(リスクコミュニケーション)を図ることが求められる。また、
合意した内容を契約書や SLA(Service Level Agreement:サービス品質保証、サービスレベル合意書)
等の形で双方の合意文書として明らかにした上で、具体的な責任分界を踏まえた運用を行うことが求め
られる。
4.6 医療情報システムにおける認証・認可
許可認証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く
存在する。医療情報システムも同様に、利用者や利用範囲を適切に管理することが求められ、そのため
にシステム利用等において認証・認可の対策を講じる必要がある。
医療情報システムでは、医療機関等が組織として情報システムの利用権限を認めた利用者に対して、
設定した利用範囲内で適切に利用することを保証するために、利用者の認証・認可を行うことになる。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が認められていないものがあ
る。加えて、患者の医療情報が流出したり、不正に利用されたりした場合には、患者の生命や身体の安
全に影響を及ぼす可能性がある。したがって、こうした医療情報を取り扱う医療情報システムにおいて
算定するリスクは、通常の情報システムよりも高く算定する必要があるため、医療情報システムにおい
て用いる認証・認可については、特に安全なものを採用する必要がある。
情報システムの認証では、認証に際しては利用者を特定するための識別子(ID など)と、利用者が本
人であることを確認するための符号(パスワードや指紋認証データなど)等が必要とされる。医療情報
システムにおいては、このような識別子の発行や、本人であることを確認するための仕組み(認証方法)
のいずれも、高い水準のものを採用することが求められる。例えば ID の発行については、対面など確
実に身元確認が取れる方法を採用する、認証方法については、複数の要素を用いて認証するなどの方法
が挙げられる。
4.7 医療情報の外部保存
医療情報の外部保存については、「4.3
医療情報システムの安全管理に関連する法令」で示した
「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」
や「診療録等の保存を行う場所について」に掲げる基準を満たすことを前提に、外部の事業者に医療情
報のデータの保管を委託し、医療機関の外部に医療情報を保管することが可能となっている。これを踏
まえ、本ガイドラインでは、適切な外部保存委託先としての医療情報システム・サービス事業者の選定
に関する対策項目を示している。
外部保存に際しては、外部と接続するネットワークを利用するという意味で、情報漏洩や不正アクセ
ス等のリスクが生じる。一方、適切な医療情報システム・サービス事業者に委託することで、専門的な
知識に基づいて、必要な情報セキュリティ対策が講じられた環境での医療情報やデータの管理が可能と
なる。そのため、医療機関等においては、自機関のみで整備するよりも、医療情報システム・サービス
事業者に一部の業務を委託する方が、結果として安価でより安全な情報セキュリティ対策を講じること
が可能となることも想定される。加えて、情報システム等の運用に係る要員などの負担軽減にもつなが
-9-