よむ、つかう、まなぶ。
(4)「医療情報システムの安全管理に関するガイドライン第6.0版」システム運用編(案) (13 ページ)
出典
公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251917 |
出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
SaaS では、医療情報システムのアプリケーション部分、PaaS では、医療情報システムが利用するミ
ドルウェアの部分、IaaS では医療情報システムが利用するインフラの部分をサービスとして提供する
ことになる。
例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を
事業者に委ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーショ
ン部分に関する安全管理対策項目などについて、事業者との責任分界を検討することになる。
このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、企画
管理者は、委託により医療機関等が行うべき安全管理のうち、どの部分の責任を分担し、責任分界を
定め、具体的な管理内容について、事業者と取り決めることが求められる。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲
事業者側の管理対象範囲
・利用者は、クラウドサービス事業者が提供す
・クラウドサービス事業者は、契約 ・SLA
るアプリケーションを利用するためのデータ
(Service Level Agreement:サービス品質
やアプリケーション上で生成したデータの管
保証、サービスレベル合意書) に基づくサ
理(データに対する編集 ・削除等の行為)を
ービスをクラウドサービス利用者に提供す
する権限と責任を有する。
るために、アプリケーション層以下の実
・アカウント管理などの限定的な管理権限をク
装、設定、更新及び運用を管理するととも
ラウドサービス事業者から付与され、外部か
に、クラウドサービス利用者に限定的な管
らのアクセス権限を設定する場合がある。
理権限等を提供する場合がある
出所:
「クラウドサービス提供における 情報セキュリティ対策ガイドライン(第 3 版)」
(総務省、2021 年 9 月)より作成
3.4.2 複数の事業者に対する委託を含む場合の責任分界
医療機関等が事業者に委託を行う場合、この情報システム・サービスを利用するに際して複数の事
業者が関与する場合がある。
医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事
業者が複数のサービスを組み合わせて、医療機関等に提供する場合などが想定される(表3-2参照)。
-7-
ドルウェアの部分、IaaS では医療情報システムが利用するインフラの部分をサービスとして提供する
ことになる。
例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を
事業者に委ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーショ
ン部分に関する安全管理対策項目などについて、事業者との責任分界を検討することになる。
このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、企画
管理者は、委託により医療機関等が行うべき安全管理のうち、どの部分の責任を分担し、責任分界を
定め、具体的な管理内容について、事業者と取り決めることが求められる。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲
事業者側の管理対象範囲
・利用者は、クラウドサービス事業者が提供す
・クラウドサービス事業者は、契約 ・SLA
るアプリケーションを利用するためのデータ
(Service Level Agreement:サービス品質
やアプリケーション上で生成したデータの管
保証、サービスレベル合意書) に基づくサ
理(データに対する編集 ・削除等の行為)を
ービスをクラウドサービス利用者に提供す
する権限と責任を有する。
るために、アプリケーション層以下の実
・アカウント管理などの限定的な管理権限をク
装、設定、更新及び運用を管理するととも
ラウドサービス事業者から付与され、外部か
に、クラウドサービス利用者に限定的な管
らのアクセス権限を設定する場合がある。
理権限等を提供する場合がある
出所:
「クラウドサービス提供における 情報セキュリティ対策ガイドライン(第 3 版)」
(総務省、2021 年 9 月)より作成
3.4.2 複数の事業者に対する委託を含む場合の責任分界
医療機関等が事業者に委託を行う場合、この情報システム・サービスを利用するに際して複数の事
業者が関与する場合がある。
医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事
業者が複数のサービスを組み合わせて、医療機関等に提供する場合などが想定される(表3-2参照)。
-7-