よむ、つかう、まなぶ。
(2)「医療情報システムの安全管理に関するガイドライン第6.0版」経営管理編(案) (16 ページ)
出典
公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251915 |
出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.1.2 医療情報システムにおける統制上の留意点
【遵守事項】
①
医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討すること。
②
医療機関等において安全管理を直接実行する企画管理者を設置すること。
③
情報セキュリティ対策に関する統制は、医療機関等内の組織や人事等の統制とは区別し、医療
機関等全体における統制の一つと位置付けて、組織横断的に実施すること。
④
情報セキュリティ対策に関する統制の対象には、医療機関等に直接雇用されている職員だけで
なく、システム関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も含む
こと。
➢ 医療情報を取り扱う医療情報システムの情報セキュリティを確保するためには、組織全体として適
切な統制がなされていることが重要であり、統制の実効性確保に当たっては、医療機関等の規模や
組織構成、特性等に応じて留意すべき点が存在する。例えば、小規模の医療機関等や「個人経営」
の医療機関等では、担当する業務ごとに区分された組織(部署)がなく、組織運営のための計画等
がない場合がある。このような場合、情報セキュリティ対策に係る詳細な計画や規程類を策定した
としても、実効性が伴わず、単に医療機関等の負担が増大してしまうことにつながるため、こうし
た規程類の策定に当たっては、医療機関等の組織や規模等に鑑みてリスク評価を行い、そのうえで
必要な内容を定めることが必要である。
また、実際の統制が患者等に対する説明や情報セキュリティインシデントが生じた場合の関係者
への適切な報告として必要十分な内容となっているか、システム関連事業者に対する適切な管理を
行うために必要十分な資料等が確保されているか、といった観点など、医療機関等において情報セ
キュリティ対策に関する説明責任や管理責任を果たしながら業務を運用できているかどうかも念頭
に置きながら、医療機関等の規模や組織構成、特性等を踏まえた上で実効性のある統制の内容を考
える必要がある。
➢ 医療機関等において、情報セキュリティ対策に関する統制の実効性を確保するために、安全管理を
直接実行する企画管理者を設置する必要があり、必要に応じて、企画管理者が行う管理を支援する
ための医療情報システム管理委員会等の組織を設置することも有用である。なお、医療機関等の規
模、組織等を勘案して、経営層が企画管理者等の職務を兼務することは妨げられない。
➢ 医療機関等の組織構成によっては、例えば人事権が各部局に帰属し、各部局でそれぞれ情報セキュ
リティ対策に係る組織編成を行っているような組織構成となっている場合があるが、情報セキュリ
ティ対策に関する統制は組織全体の問題であり、組織横断的に実現されることが求められるため、
情報セキュリティ対策に係る組織編成においては、人事権の帰属先を越えて、組織横断的な実働が
できているかどうかに留意が必要である。
➢ 情報セキュリティ対策に関する統制は、医療機関等に直接雇用されている職員だけではなく、医療
情報システムに関係するシステム関連事業者の担当者や派遣社員など、医療機関等が直接雇用して
いない者も対象に含み、行われる必要がある。
- 13 -
【遵守事項】
①
医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討すること。
②
医療機関等において安全管理を直接実行する企画管理者を設置すること。
③
情報セキュリティ対策に関する統制は、医療機関等内の組織や人事等の統制とは区別し、医療
機関等全体における統制の一つと位置付けて、組織横断的に実施すること。
④
情報セキュリティ対策に関する統制の対象には、医療機関等に直接雇用されている職員だけで
なく、システム関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も含む
こと。
➢ 医療情報を取り扱う医療情報システムの情報セキュリティを確保するためには、組織全体として適
切な統制がなされていることが重要であり、統制の実効性確保に当たっては、医療機関等の規模や
組織構成、特性等に応じて留意すべき点が存在する。例えば、小規模の医療機関等や「個人経営」
の医療機関等では、担当する業務ごとに区分された組織(部署)がなく、組織運営のための計画等
がない場合がある。このような場合、情報セキュリティ対策に係る詳細な計画や規程類を策定した
としても、実効性が伴わず、単に医療機関等の負担が増大してしまうことにつながるため、こうし
た規程類の策定に当たっては、医療機関等の組織や規模等に鑑みてリスク評価を行い、そのうえで
必要な内容を定めることが必要である。
また、実際の統制が患者等に対する説明や情報セキュリティインシデントが生じた場合の関係者
への適切な報告として必要十分な内容となっているか、システム関連事業者に対する適切な管理を
行うために必要十分な資料等が確保されているか、といった観点など、医療機関等において情報セ
キュリティ対策に関する説明責任や管理責任を果たしながら業務を運用できているかどうかも念頭
に置きながら、医療機関等の規模や組織構成、特性等を踏まえた上で実効性のある統制の内容を考
える必要がある。
➢ 医療機関等において、情報セキュリティ対策に関する統制の実効性を確保するために、安全管理を
直接実行する企画管理者を設置する必要があり、必要に応じて、企画管理者が行う管理を支援する
ための医療情報システム管理委員会等の組織を設置することも有用である。なお、医療機関等の規
模、組織等を勘案して、経営層が企画管理者等の職務を兼務することは妨げられない。
➢ 医療機関等の組織構成によっては、例えば人事権が各部局に帰属し、各部局でそれぞれ情報セキュ
リティ対策に係る組織編成を行っているような組織構成となっている場合があるが、情報セキュリ
ティ対策に関する統制は組織全体の問題であり、組織横断的に実現されることが求められるため、
情報セキュリティ対策に係る組織編成においては、人事権の帰属先を越えて、組織横断的な実働が
できているかどうかに留意が必要である。
➢ 情報セキュリティ対策に関する統制は、医療機関等に直接雇用されている職員だけではなく、医療
情報システムに関係するシステム関連事業者の担当者や派遣社員など、医療機関等が直接雇用して
いない者も対象に含み、行われる必要がある。
- 13 -