よむ、つかう、まなぶ。
(3)「医療情報システムの安全管理に関するガイドライン第6.0版」企画管理編(案) (30 ページ)
出典
公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251916 |
出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.リスクマネジメント(リスク管理)
【遵守事項】
①
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を
経営層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して
必要な措置を講じること。
②
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上
の重要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
③
医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて
速やかに確認できる状態で管理すること。
④
安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連
する情報の安全管理上の重要度を分類すること。
⑤
②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
⑥
経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
⑦
リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が
説明責任を果たすために必要な対応を行うこと。
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
を講じること。
⑨
PDCA( Plan-Do-Check-Act )モ デ ル に 基づ く ISMS ( Information Security Management
System:情報セキュリティマネジメントシステム)を構築し、管理すること。また、ISMS が適
切に実施されていることを確認し、経営層にその状況を報告すること。
⑩
PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策
を講じ、経営層に報告し、承認を得ること。
6.1 運用管理におけるリスクマネジメント
6.1.1 リスクマネジメントの役割
医療情報システムにおける情報セキュリティ対策を講じるにあたっては、組織としてのマネジメン
トが必要なため、運用管理としてリスクマネジメントを適切に行うことが求められる。
リスクマネジメントとしては、リスク分析とリスク評価、そしてこれらを踏まえたリスク管理を行
う必要があるところ、運用管理において、この一連のリスクマネジメントサイクルが適切に行われる
よう管理を行うことが求められる。
リスク分析とリスク評価については、医療機関等における情報資産の状況などを把握しながら、医
療機関等で利用する医療情報システム・サービスを踏まえて行うことから、情報システムの技術担当
者などとも協働して行うことになる。その上で、リスクに対する判断は最終的には経営層に委ねられ
ることになるが、運用管理上は、企画管理者において経営層による判断に必要な資料の整理などを行
うことが求められる。
また、サイバー攻撃など日々新しい形態の脅威が発生することから、医療情報システムにおけるリ
スク分析やリスク評価なども定期的に行うことが求められ、これら一連のマネジメントサイクルが適
切に実施されるよう管理することが運用管理において求められる。
- 24 -
【遵守事項】
①
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を
経営層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して
必要な措置を講じること。
②
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上
の重要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
③
医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて
速やかに確認できる状態で管理すること。
④
安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連
する情報の安全管理上の重要度を分類すること。
⑤
②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
⑥
経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
⑦
リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が
説明責任を果たすために必要な対応を行うこと。
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
を講じること。
⑨
PDCA( Plan-Do-Check-Act )モ デ ル に 基づ く ISMS ( Information Security Management
System:情報セキュリティマネジメントシステム)を構築し、管理すること。また、ISMS が適
切に実施されていることを確認し、経営層にその状況を報告すること。
⑩
PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策
を講じ、経営層に報告し、承認を得ること。
6.1 運用管理におけるリスクマネジメント
6.1.1 リスクマネジメントの役割
医療情報システムにおける情報セキュリティ対策を講じるにあたっては、組織としてのマネジメン
トが必要なため、運用管理としてリスクマネジメントを適切に行うことが求められる。
リスクマネジメントとしては、リスク分析とリスク評価、そしてこれらを踏まえたリスク管理を行
う必要があるところ、運用管理において、この一連のリスクマネジメントサイクルが適切に行われる
よう管理を行うことが求められる。
リスク分析とリスク評価については、医療機関等における情報資産の状況などを把握しながら、医
療機関等で利用する医療情報システム・サービスを踏まえて行うことから、情報システムの技術担当
者などとも協働して行うことになる。その上で、リスクに対する判断は最終的には経営層に委ねられ
ることになるが、運用管理上は、企画管理者において経営層による判断に必要な資料の整理などを行
うことが求められる。
また、サイバー攻撃など日々新しい形態の脅威が発生することから、医療情報システムにおけるリ
スク分析やリスク評価なども定期的に行うことが求められ、これら一連のマネジメントサイクルが適
切に実施されるよう管理することが運用管理において求められる。
- 24 -