よむ、つかう、まなぶ。
【参考資料1-11】安全管理GL第6.0版_第5.2版→第6.0版項目移行対応表(案) (5 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
第5.2版記載内容
6.12 法令で定められた記
項番
区分
名・押印を電子署名で行う C.最低限のガイ
ドライン
ことについて
第6.0版
内容
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
1. 以下の電子証明書を用いて電子署名を施すこと
レ
14①
レ
14①
レ
14①
レ
14①
レ
14①
レ
13.⑧
(1) A項の要件を満たす電子署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型
電子署名の場合も同様である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の(a)〜
(c)のいずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用いること。
(a) 厚生労働省の定める準拠性監査基準を満たす保健医療福祉分野PKI認証局の発行する電子証明書を用い
て電子署名を施すこと。
保健医療福祉分野PKI認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納しており、その
資格を証明する認証基盤として構築されている。したがって、この保健医療福祉分野PKI認証局の発行す
る電子署名を活用すると電子的な本人確認に加え、同時に、医師等の国家資格を電子的に確認することが
可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正しくできる
ことが必要である。
(b) 認定認証事業者(電子署名法第2条第3項に定める特定認証業務を行う者として主務大臣の認定を受け
た者をいう。以下同じ。)又は認証事業者(電子署名法第2条第2項の認証業務を行う者(認定認証事業者
を除く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。その場合、当該電子署名を施
された文書を受け取る者が、医師等の国家資格の確認を電子的に検証でき、電子署名の検証を正しくでき
ることが必要である。事業者(認証局あるいは立会人型電子署名の場合は電子署名サービス提供事業者を
合、「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153
号)第3条第1項に規定する署名用電子証明書に係る電子署名により確認を行うこと。マイナンバーカード
による確認が行えない場合は、身分証明書と住民票等の公的証明書をスキャンしたデータ(いずれも本項
と同等の電子署名(資格確認を除く)を施すこと)により確認を行うこと。郵送の場合は、身分証明書の
コピー(署名又は押印(実印が捺印され、印鑑登録証明書が添えてあること ))、住民票等の公的証明書
により確認を行うこと。対面の場合は、身分証明書と住民票等の公的証明書により確認を行うこと。な
お、新たな技術により、医療分野の特性を踏まえた現行の本人確認に必要な保証レベルと同等のレベルが
担保される方法を用いることが可能となった場合には、これを活用することも可能であるため、本ガイド
ライン及び関連資料を参照の上、選択・採用すること 。
※
身分証明書の確認は、公的な写真付きの身分証明書であればマイナンバーカード、運転免許証、パス
ポート等のいずれか1種類により、又はその他の身分証明書であれば2種類以上により行うこと。
する署名用証明書を用いた電子署名を事業者へ提供することによりオンラインで行う方法、②利用者が官
公庁の発行した国家資格を証明する書類(以下「国家資格免許証等」という。)の原本又はコピー等(紙
媒体の場合は、国家資格免許証等のコピーに署名又は押印(実印が捺印され、印鑑登録証明書が添えてあ
ること)があること 。電子媒体の場合は、本項と同等の電子署名(資格確認を除く)をスキャンしたデー
タに施すこと。)を事業者へ持参、郵送又は送信する方法、③利用者が電子署名による確認方法以外の電
子的に国家資格等情報と連携して提示できる仕組みを用いて事業者へ提示する方法、④利用者の所属又は
運営する医療機関等が利用者の国家資格保有の事実の立証を事業者へ行う方法、のいずれかによって利用
者の登録時において確認すること(電子署名を行う都度、事業者による医師等の国家資格保有の確認を求
-
医療機関等の管理者が、自組織の実在性を事業者に対して立証すること。
-
医療機関等の管理者が国家資格保有の確認を行った者の「氏名、生年月日、性別、住所」(以下「基
本4情報」という。)を事業者へ提出すること(これによって、利用者が実在性、本人性及び利用者個人
の申請意思を立証した際に、国家資格保有の立証もなされたものとみなすこととする)。
-
医療機関等による医師等の国家資格保有の立証に当たって、医療機関等が責任の主体としての説明責
任を果たすため、資格確認を行った実施記録の作成を行うとともに、資格確認を実施した国家資格免許証
等のコピーや利用者の基本4情報を提出した書類のコピー等について保存年限を定めて保存し、さらに医
療機関等の内部の独立した監査部門による定期的な監査を行うこと。
※
①〜④のいずれかによって資格確認を行った後、利用可能となった当該電子署名を利用者が他の事業
者に提供した場合、提供を受けた事業者が別途資格の確認を行う必要はない。なお、この場合であっても
以下の事項を行うこと。
・
適切な外部からの評価を受けること。
・
資格確認に用いた証明書等について、保存年限を定めて保存しておくこと。
(c) 「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153
号)に基づき、平成16年1月29日から開始されている公的個人認証サービスを用いることも可能である
が、その場合、その署名用電子証明書に係る電子 署名に紐づく医師等の国家資格が検証時に電子的に確認
2. 電子署名を含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「タイムビジネスに係る指針-ネットワーク
の安心な利用と電子データの安全な長期保存のために-」(総務省、平成16年11月)等で示されている時
刻認証業務の基準に準拠し、一般財団法人日本データ通信協会が認定した時刻認証事業者のものを使用す
ること。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係
ガイドラインに留意しながら適切に対策を実施すること。
2. 法定保存期間等の必要な期間、電子署名の検証を継続して行うことができるよう、必要に応じて電子署
名を含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「時刻認証業務の認定に関する規程」(令和
3年4月1日、総務省告示第146号)に基づき認定された事業者(認定事業者)が提供するものを使用するこ
と。なお、一般財団法人日本データ通信協会が認定した時刻認証事業者(「タイムビジネスに係る指針」
(総務省、平成16年11月)等で示されている時刻認証業務の基準に準拠し、一般財団法人日本データ通信
協会が認定した時刻認証事業者。以下「認定時刻認証事業者」という。)については、令和4年以降、国
による認定制度に順次移行する予定であることから、当面の間、認定時刻認証事業者によるものを使用し
ても差し支え無い。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係
ガイドラインに留意しながら適切に対策を実施すること。
(4) タイムスタンプを付与する時点で有効な電子証明書を用いること。
当然ではあるが、有効な電子証明書を用いて電子署名を行わなければならない。本来法定保存期間は電子
署名自体が検証可能であることが求められるが、タイムスタンプが検証可能であれば電子署名を含めて改
変の事実がないことが証明されるため、タイムスタンプ付与時点で電子署名が検証可能であれば、電子署
名付与時点での有効性を検証することが可能である。具体的には、電子署名が有効である間に、電子署名
の検証に必要となる情報(関連する電子証明書や失効情報等)を収集し、署名対象文書と署名値とともに
その全体に対してタイムスタンプを付与する等の対策が必要である。
(略)
7.1 真正性の確保について B.考え方
C.最低限のガイ 1. 入力者及び確定者の識別・認証
ドライン
(1) 電子カルテシステム等でPC等の汎用入力端末により記録が作成される場合
レ
1.1
レ
1.1
15⑬
【医療機関等に a 入力者及び確定者を正しく識別し、認証を行うこと。
保存する場合】 b システムへの全ての入力操作について、対象情報ごとに入力者の職種や所属等の必要な区分に基づいた
権限管理(アクセスコントロール)を定めること。また、権限のある入力者以外による作成、追記、変更
を防止すること。
c 業務アプリケーションが稼動可能な端末を管理し、権限を持たない者からのアクセスを防止すること。
(2) 臨床検査システム、医用画像ファイリングシステム等、特定の装置又はシステムにより記録が作成され
る場合
a 装置の操作者を運用管理規程で明確にするとともに操作者以外のものによる機器の操作を運用上防止す
ること。
b 当該装置による記録をいつ・誰が行ったか、システム機能と運用の組み合わせにより明確にすること。
5 / 9 ページ
Q&A
6.12 法令で定められた記
項番
区分
名・押印を電子署名で行う C.最低限のガイ
ドライン
ことについて
第6.0版
内容
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
1. 以下の電子証明書を用いて電子署名を施すこと
レ
14①
レ
14①
レ
14①
レ
14①
レ
14①
レ
13.⑧
(1) A項の要件を満たす電子署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型
電子署名の場合も同様である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の(a)〜
(c)のいずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用いること。
(a) 厚生労働省の定める準拠性監査基準を満たす保健医療福祉分野PKI認証局の発行する電子証明書を用い
て電子署名を施すこと。
保健医療福祉分野PKI認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納しており、その
資格を証明する認証基盤として構築されている。したがって、この保健医療福祉分野PKI認証局の発行す
る電子署名を活用すると電子的な本人確認に加え、同時に、医師等の国家資格を電子的に確認することが
可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正しくできる
ことが必要である。
(b) 認定認証事業者(電子署名法第2条第3項に定める特定認証業務を行う者として主務大臣の認定を受け
た者をいう。以下同じ。)又は認証事業者(電子署名法第2条第2項の認証業務を行う者(認定認証事業者
を除く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。その場合、当該電子署名を施
された文書を受け取る者が、医師等の国家資格の確認を電子的に検証でき、電子署名の検証を正しくでき
ることが必要である。事業者(認証局あるいは立会人型電子署名の場合は電子署名サービス提供事業者を
合、「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153
号)第3条第1項に規定する署名用電子証明書に係る電子署名により確認を行うこと。マイナンバーカード
による確認が行えない場合は、身分証明書と住民票等の公的証明書をスキャンしたデータ(いずれも本項
と同等の電子署名(資格確認を除く)を施すこと)により確認を行うこと。郵送の場合は、身分証明書の
コピー(署名又は押印(実印が捺印され、印鑑登録証明書が添えてあること ))、住民票等の公的証明書
により確認を行うこと。対面の場合は、身分証明書と住民票等の公的証明書により確認を行うこと。な
お、新たな技術により、医療分野の特性を踏まえた現行の本人確認に必要な保証レベルと同等のレベルが
担保される方法を用いることが可能となった場合には、これを活用することも可能であるため、本ガイド
ライン及び関連資料を参照の上、選択・採用すること 。
※
身分証明書の確認は、公的な写真付きの身分証明書であればマイナンバーカード、運転免許証、パス
ポート等のいずれか1種類により、又はその他の身分証明書であれば2種類以上により行うこと。
する署名用証明書を用いた電子署名を事業者へ提供することによりオンラインで行う方法、②利用者が官
公庁の発行した国家資格を証明する書類(以下「国家資格免許証等」という。)の原本又はコピー等(紙
媒体の場合は、国家資格免許証等のコピーに署名又は押印(実印が捺印され、印鑑登録証明書が添えてあ
ること)があること 。電子媒体の場合は、本項と同等の電子署名(資格確認を除く)をスキャンしたデー
タに施すこと。)を事業者へ持参、郵送又は送信する方法、③利用者が電子署名による確認方法以外の電
子的に国家資格等情報と連携して提示できる仕組みを用いて事業者へ提示する方法、④利用者の所属又は
運営する医療機関等が利用者の国家資格保有の事実の立証を事業者へ行う方法、のいずれかによって利用
者の登録時において確認すること(電子署名を行う都度、事業者による医師等の国家資格保有の確認を求
-
医療機関等の管理者が、自組織の実在性を事業者に対して立証すること。
-
医療機関等の管理者が国家資格保有の確認を行った者の「氏名、生年月日、性別、住所」(以下「基
本4情報」という。)を事業者へ提出すること(これによって、利用者が実在性、本人性及び利用者個人
の申請意思を立証した際に、国家資格保有の立証もなされたものとみなすこととする)。
-
医療機関等による医師等の国家資格保有の立証に当たって、医療機関等が責任の主体としての説明責
任を果たすため、資格確認を行った実施記録の作成を行うとともに、資格確認を実施した国家資格免許証
等のコピーや利用者の基本4情報を提出した書類のコピー等について保存年限を定めて保存し、さらに医
療機関等の内部の独立した監査部門による定期的な監査を行うこと。
※
①〜④のいずれかによって資格確認を行った後、利用可能となった当該電子署名を利用者が他の事業
者に提供した場合、提供を受けた事業者が別途資格の確認を行う必要はない。なお、この場合であっても
以下の事項を行うこと。
・
適切な外部からの評価を受けること。
・
資格確認に用いた証明書等について、保存年限を定めて保存しておくこと。
(c) 「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153
号)に基づき、平成16年1月29日から開始されている公的個人認証サービスを用いることも可能である
が、その場合、その署名用電子証明書に係る電子 署名に紐づく医師等の国家資格が検証時に電子的に確認
2. 電子署名を含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「タイムビジネスに係る指針-ネットワーク
の安心な利用と電子データの安全な長期保存のために-」(総務省、平成16年11月)等で示されている時
刻認証業務の基準に準拠し、一般財団法人日本データ通信協会が認定した時刻認証事業者のものを使用す
ること。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係
ガイドラインに留意しながら適切に対策を実施すること。
2. 法定保存期間等の必要な期間、電子署名の検証を継続して行うことができるよう、必要に応じて電子署
名を含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「時刻認証業務の認定に関する規程」(令和
3年4月1日、総務省告示第146号)に基づき認定された事業者(認定事業者)が提供するものを使用するこ
と。なお、一般財団法人日本データ通信協会が認定した時刻認証事業者(「タイムビジネスに係る指針」
(総務省、平成16年11月)等で示されている時刻認証業務の基準に準拠し、一般財団法人日本データ通信
協会が認定した時刻認証事業者。以下「認定時刻認証事業者」という。)については、令和4年以降、国
による認定制度に順次移行する予定であることから、当面の間、認定時刻認証事業者によるものを使用し
ても差し支え無い。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係
ガイドラインに留意しながら適切に対策を実施すること。
(4) タイムスタンプを付与する時点で有効な電子証明書を用いること。
当然ではあるが、有効な電子証明書を用いて電子署名を行わなければならない。本来法定保存期間は電子
署名自体が検証可能であることが求められるが、タイムスタンプが検証可能であれば電子署名を含めて改
変の事実がないことが証明されるため、タイムスタンプ付与時点で電子署名が検証可能であれば、電子署
名付与時点での有効性を検証することが可能である。具体的には、電子署名が有効である間に、電子署名
の検証に必要となる情報(関連する電子証明書や失効情報等)を収集し、署名対象文書と署名値とともに
その全体に対してタイムスタンプを付与する等の対策が必要である。
(略)
7.1 真正性の確保について B.考え方
C.最低限のガイ 1. 入力者及び確定者の識別・認証
ドライン
(1) 電子カルテシステム等でPC等の汎用入力端末により記録が作成される場合
レ
1.1
レ
1.1
15⑬
【医療機関等に a 入力者及び確定者を正しく識別し、認証を行うこと。
保存する場合】 b システムへの全ての入力操作について、対象情報ごとに入力者の職種や所属等の必要な区分に基づいた
権限管理(アクセスコントロール)を定めること。また、権限のある入力者以外による作成、追記、変更
を防止すること。
c 業務アプリケーションが稼動可能な端末を管理し、権限を持たない者からのアクセスを防止すること。
(2) 臨床検査システム、医用画像ファイリングシステム等、特定の装置又はシステムにより記録が作成され
る場合
a 装置の操作者を運用管理規程で明確にするとともに操作者以外のものによる機器の操作を運用上防止す
ること。
b 当該装置による記録をいつ・誰が行ったか、システム機能と運用の組み合わせにより明確にすること。
5 / 9 ページ
Q&A