よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン 第6.0版 経営管理編(案) (4 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
【はじめに】
<経営管理編が想定する読者>
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層に認識して
いただく考え方や関連法制度等を示している。具体的には、経営層として遵守・判断すべき事項や、企
画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示している。
<医療機関等における情報セキュリティ>
紙やフイルムの媒体だけでなく、電磁的記録媒体や情報通信機器、情報通信環境を用いて電子的に医
療情報を取り扱う医療情報システムの利用が進んでいる中、サイバー攻撃の脅威も近年増大している。
その攻撃手法は日々高度化、巧妙化しており、対策が十分に行われていなかったことで、医療機関等の
経営や地域医療の安全性に直接影響が生じる事案も生じている。また、サイバー攻撃の被害が一医療機
関等内で止まることなく、直接的にサイバー攻撃を受けた医療機関等を踏み台にし、他の医療機関等に
も被害が拡大するなど、一医療機関等に限定されない重大な影響を及ぼす危険性も生じている。
情報セキュリティインシデントが起きた場合、医療の提供が停止し、地域や社会に対して損害や不安
を与えるほか、安全管理上のリスクに対する対応の是非、さらには経営責任や法的責任が問われる可能
性がある。その結果、行政処分の対象となったり、民事上の賠償責任などを負ったりする可能性がある
ほか、医療機関等の公共社会インフラとしての役割からの謝罪を求められたり、安全管理対策を実施す
るためのシステム導入や体制整備に多大な費用の捻出を余儀なくされるなど、医療機関等の経営や運営
に大きな影響を及ぼすことも想定される。
安全管理対策は、事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、
医療情報を高度に活用して、質の高い医療の提供や個人の健康の維持増進の前提にもなる。安全管理対
策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉えることも重
要である。
本ガイドラインの「経営管理編」では、このような医療機関等の経営管理の観点から求められる医療
情報システムの安全管理についての遵守事項やその考え方を示す。
医療機関等の経営層においては、本編を閲読し、理解した上で、必要な措置を講じることが求められ
る。
-1-
<経営管理編が想定する読者>
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層に認識して
いただく考え方や関連法制度等を示している。具体的には、経営層として遵守・判断すべき事項や、企
画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示している。
<医療機関等における情報セキュリティ>
紙やフイルムの媒体だけでなく、電磁的記録媒体や情報通信機器、情報通信環境を用いて電子的に医
療情報を取り扱う医療情報システムの利用が進んでいる中、サイバー攻撃の脅威も近年増大している。
その攻撃手法は日々高度化、巧妙化しており、対策が十分に行われていなかったことで、医療機関等の
経営や地域医療の安全性に直接影響が生じる事案も生じている。また、サイバー攻撃の被害が一医療機
関等内で止まることなく、直接的にサイバー攻撃を受けた医療機関等を踏み台にし、他の医療機関等に
も被害が拡大するなど、一医療機関等に限定されない重大な影響を及ぼす危険性も生じている。
情報セキュリティインシデントが起きた場合、医療の提供が停止し、地域や社会に対して損害や不安
を与えるほか、安全管理上のリスクに対する対応の是非、さらには経営責任や法的責任が問われる可能
性がある。その結果、行政処分の対象となったり、民事上の賠償責任などを負ったりする可能性がある
ほか、医療機関等の公共社会インフラとしての役割からの謝罪を求められたり、安全管理対策を実施す
るためのシステム導入や体制整備に多大な費用の捻出を余儀なくされるなど、医療機関等の経営や運営
に大きな影響を及ぼすことも想定される。
安全管理対策は、事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、
医療情報を高度に活用して、質の高い医療の提供や個人の健康の維持増進の前提にもなる。安全管理対
策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉えることも重
要である。
本ガイドラインの「経営管理編」では、このような医療機関等の経営管理の観点から求められる医療
情報システムの安全管理についての遵守事項やその考え方を示す。
医療機関等の経営層においては、本編を閲読し、理解した上で、必要な措置を講じることが求められ
る。
-1-