よむ、つかう、まなぶ。
(2)「医療情報システムの安全管理に関するガイドライン第6.0版」経営管理編(案) (17 ページ)
出典
公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251915 |
出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.2 設計
3.2.1 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備
【遵守事項】
①
リスク評価やリスク管理方針を踏まえて、情報セキュリティ方針を整備すること。
②
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、実施可能な内容で、実効性
のある、適切な情報セキュリティ対策を整備するよう、企画管理者に指示し、管理すること。
➢ 情報セキュリティ方針は、リスク評価及びリスク管理方針に基づいて策定されるものであり、情報
セキュリティ方針に基づき、医療機関等は医療情報システムに対する情報セキュリティ対策を実装
する。
➢ 具体的な情報セキュリティ対策の検討や設計等は、企画管理者やシステム運用担当者が実施するが、
経営層においても、情報セキュリティ対策の整備に関する理解は必要である。
➢ 具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用
可能な内容を整備することが求められる。例えば、他の医療機関等で策定された運用管理規程やア
クセス管理規程等をそのまま自医療機関等の規程等に転用したとしても、実態と合致していない場
合、情報セキュリティ対策の運用ルールが適切に示されていないことになり、却って情報セキュリ
ティリスクが増大する危険性が生じる。また、極端に厳格な内容の規程類を整備しても、実際の運
用が困難である場合には、実質的には死文化してしまうこととなり、有効な対策とはならない可能
性がある。
➢ 規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図ることが求められ、
実際に運用可能なものであって、適切な内容が記載されたものを整備する必要がある。
3.2.2 情報セキュリティ対策を踏まえた訓練・教育
【遵守事項】
①
整備した規程類を適切に利用し、情報セキュリティ方針を遵守した対策が実施できるよう、通
常時から情報セキュリティ対策に関する統制対象者すべてに対して定期的な教育・訓練を実施す
ること。
➢ 規程類が適切に整備され、また、必要な情報セキュリティ対策が医療情報システム上で実装されて
いるとしても、その内容が医療情報システムの利用者をはじめ、関係者に認知されておらず、適切
な対策が実行されていなければ、当該規定類が遵守されていないことと同義であり、情報セキュリ
ティ対策の水準向上を望むことはできない。また災害やサイバー攻撃、システム障害に起因する非
常時の対策についても、実際の状況下で適切に実行できない可能性が高い。
➢ このため、整備した規程類や情報セキュリティ対策については、関係者が認知し、その上で遵守す
ることができるよう、通常時から定期的に教育・訓練することが重要である。この教育・訓練につ
いては、医療情報システムに関係する者全員に対して行うことが重要である。
➢ 教育・訓練は、過度の負担にならない範囲で定期的に実施することが求められ、医療情報システム
を取り巻く情報セキュリティに関する脅威が日々変化していることも踏まえると、その対策も随時
更新されるものであるため、更新内容に応じた教育・訓練の実施が重要である。
- 14 -
3.2.1 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備
【遵守事項】
①
リスク評価やリスク管理方針を踏まえて、情報セキュリティ方針を整備すること。
②
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、実施可能な内容で、実効性
のある、適切な情報セキュリティ対策を整備するよう、企画管理者に指示し、管理すること。
➢ 情報セキュリティ方針は、リスク評価及びリスク管理方針に基づいて策定されるものであり、情報
セキュリティ方針に基づき、医療機関等は医療情報システムに対する情報セキュリティ対策を実装
する。
➢ 具体的な情報セキュリティ対策の検討や設計等は、企画管理者やシステム運用担当者が実施するが、
経営層においても、情報セキュリティ対策の整備に関する理解は必要である。
➢ 具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用
可能な内容を整備することが求められる。例えば、他の医療機関等で策定された運用管理規程やア
クセス管理規程等をそのまま自医療機関等の規程等に転用したとしても、実態と合致していない場
合、情報セキュリティ対策の運用ルールが適切に示されていないことになり、却って情報セキュリ
ティリスクが増大する危険性が生じる。また、極端に厳格な内容の規程類を整備しても、実際の運
用が困難である場合には、実質的には死文化してしまうこととなり、有効な対策とはならない可能
性がある。
➢ 規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図ることが求められ、
実際に運用可能なものであって、適切な内容が記載されたものを整備する必要がある。
3.2.2 情報セキュリティ対策を踏まえた訓練・教育
【遵守事項】
①
整備した規程類を適切に利用し、情報セキュリティ方針を遵守した対策が実施できるよう、通
常時から情報セキュリティ対策に関する統制対象者すべてに対して定期的な教育・訓練を実施す
ること。
➢ 規程類が適切に整備され、また、必要な情報セキュリティ対策が医療情報システム上で実装されて
いるとしても、その内容が医療情報システムの利用者をはじめ、関係者に認知されておらず、適切
な対策が実行されていなければ、当該規定類が遵守されていないことと同義であり、情報セキュリ
ティ対策の水準向上を望むことはできない。また災害やサイバー攻撃、システム障害に起因する非
常時の対策についても、実際の状況下で適切に実行できない可能性が高い。
➢ このため、整備した規程類や情報セキュリティ対策については、関係者が認知し、その上で遵守す
ることができるよう、通常時から定期的に教育・訓練することが重要である。この教育・訓練につ
いては、医療情報システムに関係する者全員に対して行うことが重要である。
➢ 教育・訓練は、過度の負担にならない範囲で定期的に実施することが求められ、医療情報システム
を取り巻く情報セキュリティに関する脅威が日々変化していることも踏まえると、その対策も随時
更新されるものであるため、更新内容に応じた教育・訓練の実施が重要である。
- 14 -