よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


(4)「医療情報システムの安全管理に関するガイドライン第6.0版」システム運用編(案) (13 ページ)

公開元URL https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251917
出典情報 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

SaaS では、医療情報システムのアプリケーション部分、PaaS では、医療情報システムが利用するミ
ドルウェアの部分、IaaS では医療情報システムが利用するインフラの部分をサービスとして提供する
ことになる。
例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を
事業者に委ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーショ
ン部分に関する安全管理対策項目などについて、事業者との責任分界を検討することになる。
このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、企画
管理者は、委託により医療機関等が行うべき安全管理のうち、どの部分の責任を分担し、責任分界を
定め、具体的な管理内容について、事業者と取り決めることが求められる。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲

事業者側の管理対象範囲

・利用者は、クラウドサービス事業者が提供す

・クラウドサービス事業者は、契約 ・SLA

るアプリケーションを利用するためのデータ

(Service Level Agreement:サービス品質

やアプリケーション上で生成したデータの管

保証、サービスレベル合意書) に基づくサ

理(データに対する編集 ・削除等の行為)を

ービスをクラウドサービス利用者に提供す

する権限と責任を有する。

るために、アプリケーション層以下の実

・アカウント管理などの限定的な管理権限をク

装、設定、更新及び運用を管理するととも

ラウドサービス事業者から付与され、外部か

に、クラウドサービス利用者に限定的な管

らのアクセス権限を設定する場合がある。

理権限等を提供する場合がある

出所:
「クラウドサービス提供における 情報セキュリティ対策ガイドライン(第 3 版)」
(総務省、2021 年 9 月)より作成
3.4.2 複数の事業者に対する委託を含む場合の責任分界
医療機関等が事業者に委託を行う場合、この情報システム・サービスを利用するに際して複数の事
業者が関与する場合がある。
医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事
業者が複数のサービスを組み合わせて、医療機関等に提供する場合などが想定される(表3-2参照)。

-7-