よむ、つかう、まなぶ。
【参考6】第5.2 版→第6.0 版 項目移行対応表(案) (8 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251923 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
第5.2版記載内容
項番
区分
第6.0版
内容
(9) 外部保存を受託する事業者を選定する際は、(1)から(8)のほか、少なくとも次に掲げる事項について確
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
レ
5
レ
Q&A
7⑥
認すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理
の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f プライバシーマーク認定又はISMS認証を取得していること
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認
証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASAクラウドセキュリティ推進協議会CSゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記
と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA認定
h 医療情報を保存する機器が設置されている場所(地域、国)
i 受託事業者に対する国外法の適用可能性
D.推奨される 1. ISMS認証を取得している事業者の選定に際しては、選定対象となる事業者に管理しているリスクに応じ
ガイドライン
レ
レ
て、適合性を示す資料の提供を求めること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合では、技術的な方法
レ
として、例えばトラブル発生時のデータ修復作業等緊急時の対応を除き、原則として委託する医療機関等
のみがデータ内容を閲覧できることを担保するよう求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管理することや、外
レ
部保存を受託する事業者の管理者といえども通常はアクセスできない制御機構をもつこと。具体的には、
「暗号化を行う」、「情報を分散保管する」という方法が考えられる。その場合、非常時等の通常とは異
なる状況下でアクセスすることも想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備
8.4. 個人情報の保護
B.考え方
えるよう求めること。
(略)
C.最低限のガイ 1. 診療録等の外部保存を受託する事業者内における個人情報保護
ドライン
レ
4
レ
5
レ
7⑧
レ
1.1、1.2
レ
7⑨
レ
16①
レ
16①②③
レ
16④
(1) 委託先を適切に監督すること
診療録等の外部保存を受託する事業者内の個人情報保護については、本ガイドライン6章を参照し、適切な
管理を行わせる必要がある。
2. 外部保存実施に関する患者への説明
外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設に送付・
保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を得る必要があ
る。
(1) 診療開始前の説明
患者から、病態、病歴等を含めた個人情報を収集する前に行われるべきであり、外部保存を行っている旨
を、院内掲示等を通じて説明し理解を得た上で診療を開始すること。
(2) 患者本人に説明をすることが困難であるが、診療上の緊急性がある場合
意識障害や認知症等で本人への説明をすることが困難な場合で、診療上の緊急性がある場合は必ずしも事
前の説明を必要としない。意識が回復した場合には事後に説明を行い、理解を得る必要がある。
(3) 患者本人に説明することが困難であるが、診療上の緊急性が特にない場合
乳幼児の場合も含めて本人に説明し理解を得ることが困難で、緊急性のない場合は、原則として親権者や
保護者に説明し、理解を得ること。ただし、親権者による虐待が疑われる場合や保護者がいない等、説明
をすることが困難な場合は、診療録等に、説明が困難な理由を明記しておくことが望まれる。
9.1. 共通の要件
C.最低限のガイ 1. 医療に関する業務等に支障が生じることのないよう、スキャンによる情報量の低下を防ぎ、保存義務を
ドライン
満たす情報として必要な情報量を確保するため、光学解像度、センサ等の一定の規格・基準を満たすス
キャナを用いること。また、スキャンによる電子化で情報が欠落することがないよう、スキャン等を行う
前に対象書類に他の書類が重なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情報が存
在しないか確認すること。
(1) 診療情報提供書等の紙媒体の場合、診療等の用途に差し支えない精度でスキャンを行うこと。
(2) 放射線フィルム等の高精細な情報をスキャンする場合、日本医学放射線学会電子情報委員会が公表した
「デジタル画像の取り扱いに関するガイドライン3.0版 (平成27年4月)」を参考にすること。
(3) このほか心電図等の波形情報やポラロイド撮影した情報等、様々な対象が考えられるが、医療に関する
業務等に差し支えない精度でスキャンする必要があるため、その点に十分配慮すること。
(4) 一般の書類をスキャンした画像情報は、汎用性が高く可視化するソフトウェアに困らない形式で保存す
ること。また非可逆的な圧縮は画像の精度を低下させるため、非可逆圧縮を行う場合は医療に関する業務
等に支障がなく、スキャンの対象となった紙等の破損や汚れ等の状況も判定可能な精度を保つよう留意す
る必要がある。放射線フィルム等の医用画像をスキャンした情報はDICOM等の適切な形式で保存するこ
と。
2.
改ざんを防止するため、次に掲げる対策を実施すること。
レ
4.1
(1) スキャナによる読み取りについて運用管理規程に定めること。
(2) スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する情報作
成管理者を配置すること。
(3) スキャナによる読み取りの際の責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電
子署名法に適合した電子署名を遅滞なく行うこと。なお、電子署名については6.12章を参照すること。
3. 情報作成管理者は、運用管理規程に基づき、スキャナによる読み取り作業が、適正な手続で確実に実施
される措置を講じること。
9.2. 診療等の都度スキャナ等 C.最低限のガイ 1. 9.1章の対策に加えて、情報が作成されてから又は情報を入手してから一定期間以内にスキャンを行うこ
で電子化して保存する場合
ドライン
レ
4.1
レ
16⑤
レ
4.1
レ
16⑥
と。
(1) 運用管理規程において、改ざんの動機が生じないと考えられる期間(長くとも1〜2日程度以内)を定
めるとともに、その期間内に遅滞なくスキャンを行わなければならない。時間外診療等で機器の使用がで
きない等のやむを得ない事情がある場合は、スキャンが可能になった時点で遅滞なく行う必要がある。
9.3. 過去に蓄積された紙媒体 C.最低限のガイ 1. 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知すること。異議
等をスキャナ等で電子化保存 ドライン
の申立てがあった場合、その患者等の情報は電子化を行わないこと。
する場合
8 / 9 ページ
レ
16①
レ
項番
区分
第6.0版
内容
(9) 外部保存を受託する事業者を選定する際は、(1)から(8)のほか、少なくとも次に掲げる事項について確
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
レ
5
レ
Q&A
7⑥
認すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理
の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f プライバシーマーク認定又はISMS認証を取得していること
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認
証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASAクラウドセキュリティ推進協議会CSゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記
と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA認定
h 医療情報を保存する機器が設置されている場所(地域、国)
i 受託事業者に対する国外法の適用可能性
D.推奨される 1. ISMS認証を取得している事業者の選定に際しては、選定対象となる事業者に管理しているリスクに応じ
ガイドライン
レ
レ
て、適合性を示す資料の提供を求めること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合では、技術的な方法
レ
として、例えばトラブル発生時のデータ修復作業等緊急時の対応を除き、原則として委託する医療機関等
のみがデータ内容を閲覧できることを担保するよう求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管理することや、外
レ
部保存を受託する事業者の管理者といえども通常はアクセスできない制御機構をもつこと。具体的には、
「暗号化を行う」、「情報を分散保管する」という方法が考えられる。その場合、非常時等の通常とは異
なる状況下でアクセスすることも想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備
8.4. 個人情報の保護
B.考え方
えるよう求めること。
(略)
C.最低限のガイ 1. 診療録等の外部保存を受託する事業者内における個人情報保護
ドライン
レ
4
レ
5
レ
7⑧
レ
1.1、1.2
レ
7⑨
レ
16①
レ
16①②③
レ
16④
(1) 委託先を適切に監督すること
診療録等の外部保存を受託する事業者内の個人情報保護については、本ガイドライン6章を参照し、適切な
管理を行わせる必要がある。
2. 外部保存実施に関する患者への説明
外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設に送付・
保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を得る必要があ
る。
(1) 診療開始前の説明
患者から、病態、病歴等を含めた個人情報を収集する前に行われるべきであり、外部保存を行っている旨
を、院内掲示等を通じて説明し理解を得た上で診療を開始すること。
(2) 患者本人に説明をすることが困難であるが、診療上の緊急性がある場合
意識障害や認知症等で本人への説明をすることが困難な場合で、診療上の緊急性がある場合は必ずしも事
前の説明を必要としない。意識が回復した場合には事後に説明を行い、理解を得る必要がある。
(3) 患者本人に説明することが困難であるが、診療上の緊急性が特にない場合
乳幼児の場合も含めて本人に説明し理解を得ることが困難で、緊急性のない場合は、原則として親権者や
保護者に説明し、理解を得ること。ただし、親権者による虐待が疑われる場合や保護者がいない等、説明
をすることが困難な場合は、診療録等に、説明が困難な理由を明記しておくことが望まれる。
9.1. 共通の要件
C.最低限のガイ 1. 医療に関する業務等に支障が生じることのないよう、スキャンによる情報量の低下を防ぎ、保存義務を
ドライン
満たす情報として必要な情報量を確保するため、光学解像度、センサ等の一定の規格・基準を満たすス
キャナを用いること。また、スキャンによる電子化で情報が欠落することがないよう、スキャン等を行う
前に対象書類に他の書類が重なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情報が存
在しないか確認すること。
(1) 診療情報提供書等の紙媒体の場合、診療等の用途に差し支えない精度でスキャンを行うこと。
(2) 放射線フィルム等の高精細な情報をスキャンする場合、日本医学放射線学会電子情報委員会が公表した
「デジタル画像の取り扱いに関するガイドライン3.0版 (平成27年4月)」を参考にすること。
(3) このほか心電図等の波形情報やポラロイド撮影した情報等、様々な対象が考えられるが、医療に関する
業務等に差し支えない精度でスキャンする必要があるため、その点に十分配慮すること。
(4) 一般の書類をスキャンした画像情報は、汎用性が高く可視化するソフトウェアに困らない形式で保存す
ること。また非可逆的な圧縮は画像の精度を低下させるため、非可逆圧縮を行う場合は医療に関する業務
等に支障がなく、スキャンの対象となった紙等の破損や汚れ等の状況も判定可能な精度を保つよう留意す
る必要がある。放射線フィルム等の医用画像をスキャンした情報はDICOM等の適切な形式で保存するこ
と。
2.
改ざんを防止するため、次に掲げる対策を実施すること。
レ
4.1
(1) スキャナによる読み取りについて運用管理規程に定めること。
(2) スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する情報作
成管理者を配置すること。
(3) スキャナによる読み取りの際の責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電
子署名法に適合した電子署名を遅滞なく行うこと。なお、電子署名については6.12章を参照すること。
3. 情報作成管理者は、運用管理規程に基づき、スキャナによる読み取り作業が、適正な手続で確実に実施
される措置を講じること。
9.2. 診療等の都度スキャナ等 C.最低限のガイ 1. 9.1章の対策に加えて、情報が作成されてから又は情報を入手してから一定期間以内にスキャンを行うこ
で電子化して保存する場合
ドライン
レ
4.1
レ
16⑤
レ
4.1
レ
16⑥
と。
(1) 運用管理規程において、改ざんの動機が生じないと考えられる期間(長くとも1〜2日程度以内)を定
めるとともに、その期間内に遅滞なくスキャンを行わなければならない。時間外診療等で機器の使用がで
きない等のやむを得ない事情がある場合は、スキャンが可能になった時点で遅滞なく行う必要がある。
9.3. 過去に蓄積された紙媒体 C.最低限のガイ 1. 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知すること。異議
等をスキャナ等で電子化保存 ドライン
の申立てがあった場合、その患者等の情報は電子化を行わないこと。
する場合
8 / 9 ページ
レ
16①
レ