よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン 第6.0版 経営管理編(案) (18 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.3 安全管理対策の管理
3.3.1 安全管理状況の自己点検
【遵守事項】
①
医療機関等において医療情報システムに関する安全管理対策が適切に実施されていることを確
認するため、企画管理者やシステム運用担当者に定期的に自己点検を行うよう指示し、その結果
報告を受け、必要に応じて改善に向けた対応を指示すること。
➢ 情報セキュリティ対策の実効性を担保するためには、医療情報システムに関する安全管理対策が適
切に実施されていることを確認し、その結果を把握・分析する必要がある、具体的には、規程類に
基づく医療機関等内の運用状況のほか、規程類を踏まえた医療情報システム・サービスの機能の実
装状況、運用状況、利用者における遵守状況等を内部で点検することが必要である。
➢ 当該点検は、医療機関等の各システム運用担当者が自ら行うことが想定される(「自己点検」)
。自己
点検により、医療機関等における医療従事者や職員等が自らの役割に応じて実施すべき対策事項を
実際に実施しているか否かを確認することができ、日常業務における個々の情報セキュリティ対策
の妥当性を確認することができるため、組織全体の情報セキュリティ対策の水準の確認に資するこ
とも期待される。
➢ 経営層においては、企画管理者やシステム運用担当者に定期的に自己点検を実施するよう指示し、
その点検結果を把握した上で、必要に応じて、改善に向けた対応を指示することが重要である。
3.3.2 情報セキュリティ監査
【遵守事項】
①
医療機関等内で、企画管理者やシステム運用担当者から独立した組織による内部監査、または
医療機関等とは異なる機関による外部監査を実施し、管理責任を果たすこと。
②
内部監査や外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画
管理者やシステム運用担当者に指示するとともに、その対応結果をフォローすること。
➢ 医療機関等における主な説明責任の1つとして、医療情報システムの運用等が適切に行われている
ことを患者等に説明できるようにすることがあげられる。この説明責任を果たすために、医療情報
システムの仕様や運用方法を明確に文書化し、情報セキュリティ方針に基づき、機能・運用してい
るかどうかを定期的に監査し、その結果を文書で整理することが必要である。
➢ 監査は、結果の信頼性という観点から、例えば、企画管理者や医療情報システムの運用担当者から
独立した組織による内部監査や、外部機関による監査など、独立性を有する者により実施される必
要がある。
➢ 監査の結果で課題や問題点が明らかになった場合は、経営層や情報セキュリティに関する最高責任
者においては、安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示し、必
要な対応を講じさせるとともに、その対応結果を適切にフォローすることが重要である。
- 15 -
3.3.1 安全管理状況の自己点検
【遵守事項】
①
医療機関等において医療情報システムに関する安全管理対策が適切に実施されていることを確
認するため、企画管理者やシステム運用担当者に定期的に自己点検を行うよう指示し、その結果
報告を受け、必要に応じて改善に向けた対応を指示すること。
➢ 情報セキュリティ対策の実効性を担保するためには、医療情報システムに関する安全管理対策が適
切に実施されていることを確認し、その結果を把握・分析する必要がある、具体的には、規程類に
基づく医療機関等内の運用状況のほか、規程類を踏まえた医療情報システム・サービスの機能の実
装状況、運用状況、利用者における遵守状況等を内部で点検することが必要である。
➢ 当該点検は、医療機関等の各システム運用担当者が自ら行うことが想定される(「自己点検」)
。自己
点検により、医療機関等における医療従事者や職員等が自らの役割に応じて実施すべき対策事項を
実際に実施しているか否かを確認することができ、日常業務における個々の情報セキュリティ対策
の妥当性を確認することができるため、組織全体の情報セキュリティ対策の水準の確認に資するこ
とも期待される。
➢ 経営層においては、企画管理者やシステム運用担当者に定期的に自己点検を実施するよう指示し、
その点検結果を把握した上で、必要に応じて、改善に向けた対応を指示することが重要である。
3.3.2 情報セキュリティ監査
【遵守事項】
①
医療機関等内で、企画管理者やシステム運用担当者から独立した組織による内部監査、または
医療機関等とは異なる機関による外部監査を実施し、管理責任を果たすこと。
②
内部監査や外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画
管理者やシステム運用担当者に指示するとともに、その対応結果をフォローすること。
➢ 医療機関等における主な説明責任の1つとして、医療情報システムの運用等が適切に行われている
ことを患者等に説明できるようにすることがあげられる。この説明責任を果たすために、医療情報
システムの仕様や運用方法を明確に文書化し、情報セキュリティ方針に基づき、機能・運用してい
るかどうかを定期的に監査し、その結果を文書で整理することが必要である。
➢ 監査は、結果の信頼性という観点から、例えば、企画管理者や医療情報システムの運用担当者から
独立した組織による内部監査や、外部機関による監査など、独立性を有する者により実施される必
要がある。
➢ 監査の結果で課題や問題点が明らかになった場合は、経営層や情報セキュリティに関する最高責任
者においては、安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示し、必
要な対応を講じさせるとともに、その対応結果を適切にフォローすることが重要である。
- 15 -