よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン 第6.0版 経営管理編(案) (23 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.2 必要な措置
【遵守事項】
①
医療情報システムの安全管理対策項目の特徴を認識し、企画管理者やシステム運用担当者に、
必要に応じて、対策項目に掲げられる措置をするよう指示すること。
➢ 対策項目の分類として、予防的措置と発見的措置が挙げられる。予防的措置は、想定されたリスク
が実際に生じないようにするための措置であり、例えば許諾された者以外に患者の医療情報を閲覧
できないようにするためのデータに対するアクセスコントロールなどが挙げられる。発見的措置は、
仮にリスクとして想定する事象が発生しても、速やかに事象の発生を検知することで、具体的なリ
スクの発生を防止したり、被害拡大を防止したりするための措置であり、例えば医療情報に対する
アクセス状況をシステム操作ログ等を用いて監査し、不審なアクセスがないかどうかを確認の上、
必要に応じて措置を講じることなどが挙げられる。
➢ 対策項目としては、可能な限り予防的措置を講じることが望ましい。リスクの発生を未然に防止す
ることが妥当であるし、また費用や労力の点からも、発見的措置に比べて負担が大きくならない場
合が多いことが想定されるためである。
➢ 多様化・巧妙化が進む昨今のサイバー攻撃に対しては、必ずしも予防的措置だけでは十分な対応が
難しいため、速やかに攻撃、あるいは攻撃された痕跡を検知するなどの発見的措置も、適宜組み合
わせることが求められる。
- 20 -
【遵守事項】
①
医療情報システムの安全管理対策項目の特徴を認識し、企画管理者やシステム運用担当者に、
必要に応じて、対策項目に掲げられる措置をするよう指示すること。
➢ 対策項目の分類として、予防的措置と発見的措置が挙げられる。予防的措置は、想定されたリスク
が実際に生じないようにするための措置であり、例えば許諾された者以外に患者の医療情報を閲覧
できないようにするためのデータに対するアクセスコントロールなどが挙げられる。発見的措置は、
仮にリスクとして想定する事象が発生しても、速やかに事象の発生を検知することで、具体的なリ
スクの発生を防止したり、被害拡大を防止したりするための措置であり、例えば医療情報に対する
アクセス状況をシステム操作ログ等を用いて監査し、不審なアクセスがないかどうかを確認の上、
必要に応じて措置を講じることなどが挙げられる。
➢ 対策項目としては、可能な限り予防的措置を講じることが望ましい。リスクの発生を未然に防止す
ることが妥当であるし、また費用や労力の点からも、発見的措置に比べて負担が大きくならない場
合が多いことが想定されるためである。
➢ 多様化・巧妙化が進む昨今のサイバー攻撃に対しては、必ずしも予防的措置だけでは十分な対応が
難しいため、速やかに攻撃、あるいは攻撃された痕跡を検知するなどの発見的措置も、適宜組み合
わせることが求められる。
- 20 -