よむ、つかう、まなぶ。
(4)「医療情報システムの安全管理に関するガイドライン第6.0版」システム運用編(案) (11 ページ)
出典
公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251917 |
出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.責任分界
[Ⅰ~Ⅳ]
【遵守事項】
①
医療情報システムに関する情報システム・サービスの委託において、技術的な対応の役割分
担を検討するため、情報システム・サービス事業者(以下「事業者」という。)から必要な情報
等の収集を行うとともに、提供された情報の内容が正確であることを事業者に確認すること。
②
事業者と技術的な対応に関する責任分界を調整する際に、要求仕様との適合性に関する確認
を行い、医療機関等において実施する技術的な対応におけるリスク評価との間で齟齬が生じな
いことを確認し、齟齬がある場合には、必要な調整を行うこと。
③
通常時の運用や、非常時の運用において発生する技術的な対応に関する役割分担を、委託先
である事業者との間で調整し、企画管理者に対してその結果を報告すること。
④
サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に関して必要な役割につい
て、事業者と調整し、その結果を企画管理者に報告すること。
⑤
第三者提供を行う際の責任分界について、企画管理者と協議の上で、医療機関等のリスク評
価に従った範囲で、技術的な対応に関する責任分界の範囲を検討し、企画管理者に報告するこ
と。
3.1 技術的な対応における責任分界決定の考慮事項
医療情報システムを委託する場合、提供される情報システム・サービスの機能仕様が、法令、本ガ
イドラインや関連ガイドラインに適合していることを、医療機関等で直接確認することができないも
のも含まれている。
従って、提供する情報システム・サービスの要求仕様に対する適合性に関しては、情報システム・
サービス事業者(以下「事業者」という。)から資料の提供を受けるとともに、提供された情報が正確
なものであることを確認する必要がある。
システム運用担当者は、技術的な対応に関する情報システム・サービスの機能仕様に関する情報と、
その内容が正確であることを示す資料を、事業者から提出を求め、その確認を行うことが求められる。
3.2 要求仕様適合性の確認を踏まえた調整
技術的な対応に関する責任分界を設定するに際して、提供される情報システム・サービスについて、
事業者がどのようなリスク評価を踏まえて、対応を分担するのかに関する情報を収集することが求め
られる。
例えば、総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
における安全管理ガイドライン」においては、医療機関等と事業者との間でリスクコミュニケーショ
ンを図る際には、合意形成に必要な情報を提供することとされており、その基礎となる内容はサービ
ス仕様適合開示書等により示されている。
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認
し、必要があれば個別の調整を事業者と行うなどにより、技術的な対応に関するリスク分担などを行
うことが求められる。
-5-
[Ⅰ~Ⅳ]
【遵守事項】
①
医療情報システムに関する情報システム・サービスの委託において、技術的な対応の役割分
担を検討するため、情報システム・サービス事業者(以下「事業者」という。)から必要な情報
等の収集を行うとともに、提供された情報の内容が正確であることを事業者に確認すること。
②
事業者と技術的な対応に関する責任分界を調整する際に、要求仕様との適合性に関する確認
を行い、医療機関等において実施する技術的な対応におけるリスク評価との間で齟齬が生じな
いことを確認し、齟齬がある場合には、必要な調整を行うこと。
③
通常時の運用や、非常時の運用において発生する技術的な対応に関する役割分担を、委託先
である事業者との間で調整し、企画管理者に対してその結果を報告すること。
④
サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に関して必要な役割につい
て、事業者と調整し、その結果を企画管理者に報告すること。
⑤
第三者提供を行う際の責任分界について、企画管理者と協議の上で、医療機関等のリスク評
価に従った範囲で、技術的な対応に関する責任分界の範囲を検討し、企画管理者に報告するこ
と。
3.1 技術的な対応における責任分界決定の考慮事項
医療情報システムを委託する場合、提供される情報システム・サービスの機能仕様が、法令、本ガ
イドラインや関連ガイドラインに適合していることを、医療機関等で直接確認することができないも
のも含まれている。
従って、提供する情報システム・サービスの要求仕様に対する適合性に関しては、情報システム・
サービス事業者(以下「事業者」という。)から資料の提供を受けるとともに、提供された情報が正確
なものであることを確認する必要がある。
システム運用担当者は、技術的な対応に関する情報システム・サービスの機能仕様に関する情報と、
その内容が正確であることを示す資料を、事業者から提出を求め、その確認を行うことが求められる。
3.2 要求仕様適合性の確認を踏まえた調整
技術的な対応に関する責任分界を設定するに際して、提供される情報システム・サービスについて、
事業者がどのようなリスク評価を踏まえて、対応を分担するのかに関する情報を収集することが求め
られる。
例えば、総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
における安全管理ガイドライン」においては、医療機関等と事業者との間でリスクコミュニケーショ
ンを図る際には、合意形成に必要な情報を提供することとされており、その基礎となる内容はサービ
ス仕様適合開示書等により示されている。
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認
し、必要があれば個別の調整を事業者と行うなどにより、技術的な対応に関するリスク分担などを行
うことが求められる。
-5-