よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン 第6.0版 システム運用編(案) (16 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.リスクアセスメントを踏まえた安全管理対策の設計
[Ⅰ~Ⅳ]
【遵守事項】
①
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手順等を作
成し、運用すること。その際、情報種別による重要度を踏まえるほか、患者情報については、
患者ごとに識別できるような措置を講じること。
②
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済産業省の定めた「医
療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 にお
ける「サービス仕様適合開示書」を利用することが考えられる。
4.1 情報資産の種別に応じた安全管理の設計
医療機関等において、情報資産の把握に基づくリスク分析は、安全管理の設計の起点となる。シス
テム運用担当者は、企画管理者と協働して医療機関等が保有する情報の棚卸を行うことになる。シス
テム運用担当者は、医療情報システムが直接取り扱う医療情報や、医療情報システムに関する情報な
どについて、棚卸を行い、情報種別を整理する必要がある。
医療情報システムであれば、各システムにおいて、それぞれどのくらいの患者数のどのような情報
が保管されているのか、それらの利用者の範囲や利用権限がどのように整理されているのか、などを
整理するなどが挙げられる。併せて、バックアップなどについても、どのくらいの医療情報が、どこ
でどのような形で保管されているか、その他持出し対象となっている医療情報の状況なども把握する
ことが求められる。
医療情報システムに関する情報は、医療機関等で導入している医療情報システムの全体図やネット
ワーク図、各医療情報システムを構築・導入するのに必要な資料等の管理状況(保管場所、作成時期
等)
、運用において必要な設定に関する情報やログ等に関する管理状況などを把握することなどが挙げ
られる。
情報種別を行う際に、法令により保存などの要件が求められているものについては、その状況も併
せて確認する必要がある。「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する
法律等の施行等について」
(平成 17 年3月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保
発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成 28 年3月 31 日最終改
正。以下「施行通知」という。
)施行通知や「診療録等の保存を行う場所について」(平成 14 年3月 29
日付け医政発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年
3月 25 日最終改正。
)外部保存改正通知などが求める内容に則しているか等が挙げられる。
4.2 リスクアセスメントを踏まえた安全管理対策の設計
システム運用担当者は、医療機関等が保有する医療情報等の情報種別や重要度を整理したうえで、
リスクアセスメント(リスク分析、リスク評価)を企画管理者と行い、その結果を踏まえて、具体的
な安全管理のための技術的な対応について、実装し、運用することになる。
医療情報システムの安全管理のための対策を、リスクアセスメント結果を踏まえて講じる場合には、
医療機関等ごとの組織や規模等の実情や、医療情報システムの利用形態等のリスクに応じて、さまざ
ま方法が挙げられる。また実装の検討に際しては、医療機関等における対応できる負担(要員、費用
等)などを踏まえることも求められる。
- 10 -
[Ⅰ~Ⅳ]
【遵守事項】
①
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手順等を作
成し、運用すること。その際、情報種別による重要度を踏まえるほか、患者情報については、
患者ごとに識別できるような措置を講じること。
②
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済産業省の定めた「医
療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 にお
ける「サービス仕様適合開示書」を利用することが考えられる。
4.1 情報資産の種別に応じた安全管理の設計
医療機関等において、情報資産の把握に基づくリスク分析は、安全管理の設計の起点となる。シス
テム運用担当者は、企画管理者と協働して医療機関等が保有する情報の棚卸を行うことになる。シス
テム運用担当者は、医療情報システムが直接取り扱う医療情報や、医療情報システムに関する情報な
どについて、棚卸を行い、情報種別を整理する必要がある。
医療情報システムであれば、各システムにおいて、それぞれどのくらいの患者数のどのような情報
が保管されているのか、それらの利用者の範囲や利用権限がどのように整理されているのか、などを
整理するなどが挙げられる。併せて、バックアップなどについても、どのくらいの医療情報が、どこ
でどのような形で保管されているか、その他持出し対象となっている医療情報の状況なども把握する
ことが求められる。
医療情報システムに関する情報は、医療機関等で導入している医療情報システムの全体図やネット
ワーク図、各医療情報システムを構築・導入するのに必要な資料等の管理状況(保管場所、作成時期
等)
、運用において必要な設定に関する情報やログ等に関する管理状況などを把握することなどが挙げ
られる。
情報種別を行う際に、法令により保存などの要件が求められているものについては、その状況も併
せて確認する必要がある。「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する
法律等の施行等について」
(平成 17 年3月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保
発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成 28 年3月 31 日最終改
正。以下「施行通知」という。
)施行通知や「診療録等の保存を行う場所について」(平成 14 年3月 29
日付け医政発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年
3月 25 日最終改正。
)外部保存改正通知などが求める内容に則しているか等が挙げられる。
4.2 リスクアセスメントを踏まえた安全管理対策の設計
システム運用担当者は、医療機関等が保有する医療情報等の情報種別や重要度を整理したうえで、
リスクアセスメント(リスク分析、リスク評価)を企画管理者と行い、その結果を踏まえて、具体的
な安全管理のための技術的な対応について、実装し、運用することになる。
医療情報システムの安全管理のための対策を、リスクアセスメント結果を踏まえて講じる場合には、
医療機関等ごとの組織や規模等の実情や、医療情報システムの利用形態等のリスクに応じて、さまざ
ま方法が挙げられる。また実装の検討に際しては、医療機関等における対応できる負担(要員、費用
等)などを踏まえることも求められる。
- 10 -