よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン 第6.0版 経営管理編(案) (13 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2.2 リスク評価を踏まえた判断
2.2.1 リスク評価を踏まえたリスク管理
【遵守事項】
①
リスク評価を踏まえ、医療情報の重要性や医療の継続性、経営資源の投入やリスク管理対策の
実施の継続可能性等を鑑みて、リスク管理方針を決定すること。
②
➢
リスク評価結果、リスク管理方針に関する説明責任を果たすこと。
リスク管理方針は、情報・データや情報システム等の情報資産に対するリスク評価の結果を踏まえ
判断される。一般的には、リスク管理方針には、リスクの回避(リスク発生の根源となる事業や行
為を取りやめる)
、低減(リスクを低減するための対策を講じる)
、移転(発生したリスクを、保険
等により移転する)
、受容(リスクが実際に生じることを想定した上での対応を検討する)が挙げら
れる。
➢
医療機関等は公的社会インフラであり、患者のために医療サービスの提供の継続性を確保・維持す
る必要があることを考えると、医療機関等において、リスク管理方針として「リスクの低減」以外
の方針は選択しづらい。
➢
リスク管理方針を策定する際、医療機関等の経営の視点、人事管理の視点等を入れなければ、医療
機関等の運営継続そのものに支障をきたすことになりかねないため、注意が必要である。
➢
リスク評価とリスク管理方針の策定は、医療機関等における情報セキュリティ対策に関する説明責
任を果たすことにもつながる。
2.2.2 情報セキュリティマネジメントシステム(ISMS:Information Security Management System)
の実践
【遵守事項】
①
リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資
産のセキュリティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。
➢ 医療機関等における PDCA(Plan-Do-Check-Act)サイクルの実施については、
「良質な医療を提供
する体制の確立を図るための医療法の一部を改正する法律の一部の施行について」(平成 19 年 3 月
30 日付け医政発第 0330010 号厚生労働省医政局長通知)において、医療の安全管理としてその重要
性が示されている。情報セキュリティに関しても、医療の安全管理と同様の考えのもと、リスク管
理方針を踏まえ、ISMS を策定して PDCA サイクルを実施することが有効であると考えられる。
- 10 -
2.2.1 リスク評価を踏まえたリスク管理
【遵守事項】
①
リスク評価を踏まえ、医療情報の重要性や医療の継続性、経営資源の投入やリスク管理対策の
実施の継続可能性等を鑑みて、リスク管理方針を決定すること。
②
➢
リスク評価結果、リスク管理方針に関する説明責任を果たすこと。
リスク管理方針は、情報・データや情報システム等の情報資産に対するリスク評価の結果を踏まえ
判断される。一般的には、リスク管理方針には、リスクの回避(リスク発生の根源となる事業や行
為を取りやめる)
、低減(リスクを低減するための対策を講じる)
、移転(発生したリスクを、保険
等により移転する)
、受容(リスクが実際に生じることを想定した上での対応を検討する)が挙げら
れる。
➢
医療機関等は公的社会インフラであり、患者のために医療サービスの提供の継続性を確保・維持す
る必要があることを考えると、医療機関等において、リスク管理方針として「リスクの低減」以外
の方針は選択しづらい。
➢
リスク管理方針を策定する際、医療機関等の経営の視点、人事管理の視点等を入れなければ、医療
機関等の運営継続そのものに支障をきたすことになりかねないため、注意が必要である。
➢
リスク評価とリスク管理方針の策定は、医療機関等における情報セキュリティ対策に関する説明責
任を果たすことにもつながる。
2.2.2 情報セキュリティマネジメントシステム(ISMS:Information Security Management System)
の実践
【遵守事項】
①
リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資
産のセキュリティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。
➢ 医療機関等における PDCA(Plan-Do-Check-Act)サイクルの実施については、
「良質な医療を提供
する体制の確立を図るための医療法の一部を改正する法律の一部の施行について」(平成 19 年 3 月
30 日付け医政発第 0330010 号厚生労働省医政局長通知)において、医療の安全管理としてその重要
性が示されている。情報セキュリティに関しても、医療の安全管理と同様の考えのもと、リスク管
理方針を踏まえ、ISMS を策定して PDCA サイクルを実施することが有効であると考えられる。
- 10 -