よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン 第6.0版 企画管理編(案) (18 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
る。また、サイバーセキュリティ対策の観点から、委託先事業者に対して、委託している医療情報シ
ステム・サービスに関して、自発的な見直し対応を求めることも想定される。
企画管理者は、委託先事業者に対して、委託しているサービスの特徴に応じて、必要であれば自発
的な対策の見直しを求めるなどの項目を、SLA 等に含めるなどの対応を行うことが求められる。
2.1.3 非常時における責任
医療機関が負う非常時における責任としては、
・情報セキュリティインシデントの原因・対策等に関する説明責任
・善後策を講ずる責任
が挙げられる。
(1)情報セキュリティインシデントの原因・対策等に関する説明責任
医療情報に関して、例えばサイバー攻撃などで、医療情報が破壊されたり、漏洩したりした場合に
は、対策を講じるために、原因を特定し、その上で対策の検討、それらに関する対外的説明などを行
う必要がある。
対外的な説明に関しても、専門的な見地からの対応が求められることもあるため、医療機関等とシ
ステム関連事業者との間での分担等の取決めを行うことが求められる。
企画管理者は、対外的説明の範囲や内容などをあらかじめシステム関連事業者と取り決めておく必
要がある。
(2)善後策を講ずる責任
医療機関等が果たすべき善後策を講ずる責任の中には、「情報セキュリティインシデントの原因を究
明する責任」
、
「再発防止策を講ずる責任」がある。
医療情報システム・サービスを委託している場合には、情報セキュリティインシデントの原因が直
ちに判明しない場合が想定されることから、医療機関等と委託先事業者とで協力して対応する必要が
あり、これらの責任分界についても医療機関等と委託先事業者とであらかじめ取り決めておく必要が
ある。具体的には、情報セキュリティインシデント発生後から収束に至るまでの期間の対応における
分担や協力の内容に関して、あらかじめ委託先事業者と取り決めておくことで、的確かつ迅速な原因
究明が可能となるとともに、究明された原因に応じた再発防止策を講じる際の分担や協力についても
取り決めておくことで、情報セキュリティインシデントの発生後、システム関連事業者への医療情報
システム・サービスの委託を継続する場合に、再発防止策を含むインシデントを踏まえた委託内容の
更新を的確かつ迅速に行うことが可能となる。
以上のとおり、企画管理者はこれらの責任を適切に果たすことができるよう、システム関連事業者
との間での役割分担を含む責任分界を定める必要がある。
2.1.4 リスク分析を踏まえた要求仕様適合性の確認への対応
医療機関等とシステム関連事業者との間で、役割分担、当該事業者が受容したリスクの内容等につ
いて合意形成を図るため、医療情報システムについて、医療機関等におけるリスクアセスメントを踏
- 12 -
ステム・サービスに関して、自発的な見直し対応を求めることも想定される。
企画管理者は、委託先事業者に対して、委託しているサービスの特徴に応じて、必要であれば自発
的な対策の見直しを求めるなどの項目を、SLA 等に含めるなどの対応を行うことが求められる。
2.1.3 非常時における責任
医療機関が負う非常時における責任としては、
・情報セキュリティインシデントの原因・対策等に関する説明責任
・善後策を講ずる責任
が挙げられる。
(1)情報セキュリティインシデントの原因・対策等に関する説明責任
医療情報に関して、例えばサイバー攻撃などで、医療情報が破壊されたり、漏洩したりした場合に
は、対策を講じるために、原因を特定し、その上で対策の検討、それらに関する対外的説明などを行
う必要がある。
対外的な説明に関しても、専門的な見地からの対応が求められることもあるため、医療機関等とシ
ステム関連事業者との間での分担等の取決めを行うことが求められる。
企画管理者は、対外的説明の範囲や内容などをあらかじめシステム関連事業者と取り決めておく必
要がある。
(2)善後策を講ずる責任
医療機関等が果たすべき善後策を講ずる責任の中には、「情報セキュリティインシデントの原因を究
明する責任」
、
「再発防止策を講ずる責任」がある。
医療情報システム・サービスを委託している場合には、情報セキュリティインシデントの原因が直
ちに判明しない場合が想定されることから、医療機関等と委託先事業者とで協力して対応する必要が
あり、これらの責任分界についても医療機関等と委託先事業者とであらかじめ取り決めておく必要が
ある。具体的には、情報セキュリティインシデント発生後から収束に至るまでの期間の対応における
分担や協力の内容に関して、あらかじめ委託先事業者と取り決めておくことで、的確かつ迅速な原因
究明が可能となるとともに、究明された原因に応じた再発防止策を講じる際の分担や協力についても
取り決めておくことで、情報セキュリティインシデントの発生後、システム関連事業者への医療情報
システム・サービスの委託を継続する場合に、再発防止策を含むインシデントを踏まえた委託内容の
更新を的確かつ迅速に行うことが可能となる。
以上のとおり、企画管理者はこれらの責任を適切に果たすことができるよう、システム関連事業者
との間での役割分担を含む責任分界を定める必要がある。
2.1.4 リスク分析を踏まえた要求仕様適合性の確認への対応
医療機関等とシステム関連事業者との間で、役割分担、当該事業者が受容したリスクの内容等につ
いて合意形成を図るため、医療情報システムについて、医療機関等におけるリスクアセスメントを踏
- 12 -