よむ、つかう、まなぶ。
【参考7】各編間相関表 (1 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251924 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
各編間相関表
経営管理編
企画管理編
記載箇所
遵守事項
記載箇所
① 医療情報システムの安全管理に関係する法令等を遵守すること。 -
② 医療機関等で業務に従事する職員や関係するシステム関連事業者
等
-
に対して、医療情報システムに関係する法令等を遵守させること。
遵守事項
システム運用編
備考
記載箇所
遵守事項
備考
5.2版のA項に関する前提
を対策として新設
5.2版のA項に関する前提
を対策として新設
1.管理体系
① 医療情報システムの管理に関する法令等について理解し、医療機関等の組織全体として法令
1.情報セキュリティの基本
等を遵守できるよう、必要な措置を講じること。
的な考え方
① 法令上求められる医療情報システムに関する要件等について、企画管
理者の整理に基づいて、必要な技術的な対応を抽出し、各システムの整備 10C2-4
において措置を行うほか、必要な手順、資料の作成を行うこと。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対して
1.管理体系
1.管理体系
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
も①に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握するこ
と。委託先事業者が再委託を用いる場合も同様の対応をすること。
③ 医療機関等内における法令の遵守状況について経営層に報告し、経営層の確認を取ること。
また、遵守状況に応じて必要な改善措置を講じること。
③ 非常時において、法令で求められる対応を事前に整理し、非常時に速やかに対応できる体制
を講じること。
① 法令で署名又は記名・押印が義務付けられた文書において、記名・押印を電子署名に代える
場合、以下の条件を満たす電子署名を行うこと。
1. 以下の電子証明書を用いて電子署名を施すこと
(1) 「電子署名及び認証業務に関する法律」(平成12 年法律第102 号)第2条第1項に規定する
1.1安全管理に関する法令の遵守
電子署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型電子署名の場
合も同様である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の
(a)~(c)のいずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用
いること。
(a) 厚生労働省「保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議」
において策定された準拠性監査基準を満たす保健医療福祉分野PKI 認証局の発行する電子証明書
14.法令で定められた記名・
を用いて電子署名を施すこと。
押印のための電子署名
保健医療福祉分野 PKI 認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納してお
り、その資格を証明する認証基盤として構築されている。したがって、この保健医療福祉分野
PKI 認証局の発行する電子署名を活用すると電子的な本人確認に加え、同時に、医師等の国家資
格を電子的に確認することが可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正し
くできることが必要である。
(b) 認定認証事業者(電子署名法第2 条第3 項に定める特定認証業務を行う者として主務大臣の認
定を受けた者をいう。以下同じ。)又は認証事業者(電子署名法第2 条第2 項の認証業務を行う
者(認定認証事業者を除く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。
その場合、当該電子署名を施された文書を受け取る者が、医師等の国家資格の確認を電子的に検
証でき、電子署名の検証を正しくできることが必要である。事業者(認証局あるいは立会人型電
子署名の場合は電子署名サービス提供事業者をいう。以下「14.法令で定められた記名・押印の
通常時における責任
① 医療情報システムの安全管理に関して、原則として文書化し、管
理する体制を整えること。
-
5.2版第4の趣旨を踏まえ
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要
な規程等の整備を行い、経営層の承認を取ること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な
規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整
2.システム設計・運用に必
③ 医療情報システムの維持及び運用に必要な手順を整備し、常に最新の
備を担当者に指示し、確認すること。
要な規程類と文書体系
状態を維持すること。
2.システム設計・運用に必
④ 医療情報システムの利用者が適切に医療情報システムの利用ができる
要な規程類と文書体系
よう、マニュアル等の整備を行うこと。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者
2.システム設計・運用に必
に指示し、整備状況を確認の上、経営層に報告すること。
要な規程類と文書体系
【説明責任】
2.システム設計・運用に必
要な規程類と文書体系
② 患者等への説明を適切に行うための窓口の設置等の対策を行うこ
と。
-
5.2版第4の趣旨を踏まえ
て新設
1.管理体系
⑦ 患者等からの照会に対応するために必要な医療情報システムの安全管理に関する窓口等を整
備すること。
3.医療機関等における安全
管理のための体制と責任・権
限
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
8 . 情 報 管 理 ( 管 理、 持出
し、破棄等)
① 医療情報システムの安全管理に関する管理責任を適切に果たすた 6.3C1-5
めに必要な組織体制を整備すること。
第10章
-
定期的に管理状況に関する報告を受けて状況を確認するととも 6.3C1-5
に、組織内において監査を実施すること。
第10章
⑩ 外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の
施設に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明
し、理解を得ること。
⑨ 患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合には、患者
等に対して、情報セキュリティに関するリスクや情報提供目的について説明を行い、それぞれの
責任範囲を明確にすること。
④ 医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理する
こと。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反
映すること。
【管理責任】
②
1.管理体系
⑨ 患者等からの相談や苦情への対応を行うための体制を構築すること。
3.医療機関等における安全
-
管理のための体制と責任・権
⑧ 医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
限
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機
① 医療情報システムに関する安全管理を適切に維持するための計画
を策定すること。
-
5.2版第5章の趣旨を踏ま
えて新設
関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実
10.運用に対する点検・監査
施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果につ
いて、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見
直し等を図ること。
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
1.2
応とBCP策定
医療機関等における責任
② 医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整
合性を確認して対応方針を策定すること。
⑧ サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的
12.サイバー攻撃対策
に経営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見
直しを実施し、必要に応じて改善を行うこと。
【定期的に見直し必要に応じて
改善を行う責任】
② 医療情報に関する安全管理を適切に維持するために、定期的な見
直しを実施し、必要に応じて、改善措置を講じるよう、企画管理者及 -
びシステム運用担当者に指示すること。
5.2版6.2の趣旨を踏まえ
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な
規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機
関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実
10.運用に対する点検・監査
施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果につ
いて、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見
直し等を図ること。
⑧ サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的
12.サイバー攻撃対策
に経営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見
直しを実施し、必要に応じて改善を行うこと。
⑥ システム運用に関する安全管理対策として必要な項目を担当者と協働して検討すること。特
15.技術的な対策の管理
に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー攻撃含む)への対
策に関する項目については、定期的に見直しを図ること。
1.2.2 非常時における責
① 情報セキュリティインシデントが生じた場合、その原因や対策等
について患者、関係機関等に説明する体制を速やかに構築すること。
6.10C5
5.2版4.1B(2)① の趣 旨を
加味
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
1.安全管理に関する責 任・
応とBCP策定
責務
⑧ 非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨ 非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応
を行うこと。
① サイバーセキュリティに関する組織的対策、医療機関等の職員等や委託先事業者などの対策
【説明責任】
12.サイバー攻撃対策
を検討し、整理すること。技術的な対応・措置については、担当者にリスク評価を踏まえた対策
の検討を指示し、状況を確認すること。
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の
漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場
12.サイバー攻撃対策
合には、「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1
号 医政地発1029 第3号 医政研発1029 第1号 平成30 年10 月29 日)に基づき、所管官庁へ
の連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わら
ず、医療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
① 医療情報システムにおいて採用するシステム、サービス、情報機器等
の機能仕様や利用方法に関する資料を整備し、常に最新の状態を維持する
こと。
10C1-4
10C1
6.2C4
6.9C5
② 医療情報システムに関する全体構成図(ネットワーク構成図・システ
ム構成図等)、及びシステム責任者・関係者一覧(設置事業者、保守事業 6.2C4
者等含む)を作成し、常に最新の状態を維持すること。
経営管理編
企画管理編
記載箇所
遵守事項
記載箇所
① 医療情報システムの安全管理に関係する法令等を遵守すること。 -
② 医療機関等で業務に従事する職員や関係するシステム関連事業者
等
-
に対して、医療情報システムに関係する法令等を遵守させること。
遵守事項
システム運用編
備考
記載箇所
遵守事項
備考
5.2版のA項に関する前提
を対策として新設
5.2版のA項に関する前提
を対策として新設
1.管理体系
① 医療情報システムの管理に関する法令等について理解し、医療機関等の組織全体として法令
1.情報セキュリティの基本
等を遵守できるよう、必要な措置を講じること。
的な考え方
① 法令上求められる医療情報システムに関する要件等について、企画管
理者の整理に基づいて、必要な技術的な対応を抽出し、各システムの整備 10C2-4
において措置を行うほか、必要な手順、資料の作成を行うこと。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対して
1.管理体系
1.管理体系
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
も①に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握するこ
と。委託先事業者が再委託を用いる場合も同様の対応をすること。
③ 医療機関等内における法令の遵守状況について経営層に報告し、経営層の確認を取ること。
また、遵守状況に応じて必要な改善措置を講じること。
③ 非常時において、法令で求められる対応を事前に整理し、非常時に速やかに対応できる体制
を講じること。
① 法令で署名又は記名・押印が義務付けられた文書において、記名・押印を電子署名に代える
場合、以下の条件を満たす電子署名を行うこと。
1. 以下の電子証明書を用いて電子署名を施すこと
(1) 「電子署名及び認証業務に関する法律」(平成12 年法律第102 号)第2条第1項に規定する
1.1安全管理に関する法令の遵守
電子署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型電子署名の場
合も同様である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の
(a)~(c)のいずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用
いること。
(a) 厚生労働省「保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議」
において策定された準拠性監査基準を満たす保健医療福祉分野PKI 認証局の発行する電子証明書
14.法令で定められた記名・
を用いて電子署名を施すこと。
押印のための電子署名
保健医療福祉分野 PKI 認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納してお
り、その資格を証明する認証基盤として構築されている。したがって、この保健医療福祉分野
PKI 認証局の発行する電子署名を活用すると電子的な本人確認に加え、同時に、医師等の国家資
格を電子的に確認することが可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正し
くできることが必要である。
(b) 認定認証事業者(電子署名法第2 条第3 項に定める特定認証業務を行う者として主務大臣の認
定を受けた者をいう。以下同じ。)又は認証事業者(電子署名法第2 条第2 項の認証業務を行う
者(認定認証事業者を除く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。
その場合、当該電子署名を施された文書を受け取る者が、医師等の国家資格の確認を電子的に検
証でき、電子署名の検証を正しくできることが必要である。事業者(認証局あるいは立会人型電
子署名の場合は電子署名サービス提供事業者をいう。以下「14.法令で定められた記名・押印の
通常時における責任
① 医療情報システムの安全管理に関して、原則として文書化し、管
理する体制を整えること。
-
5.2版第4の趣旨を踏まえ
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要
な規程等の整備を行い、経営層の承認を取ること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な
規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整
2.システム設計・運用に必
③ 医療情報システムの維持及び運用に必要な手順を整備し、常に最新の
備を担当者に指示し、確認すること。
要な規程類と文書体系
状態を維持すること。
2.システム設計・運用に必
④ 医療情報システムの利用者が適切に医療情報システムの利用ができる
要な規程類と文書体系
よう、マニュアル等の整備を行うこと。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者
2.システム設計・運用に必
に指示し、整備状況を確認の上、経営層に報告すること。
要な規程類と文書体系
【説明責任】
2.システム設計・運用に必
要な規程類と文書体系
② 患者等への説明を適切に行うための窓口の設置等の対策を行うこ
と。
-
5.2版第4の趣旨を踏まえ
て新設
1.管理体系
⑦ 患者等からの照会に対応するために必要な医療情報システムの安全管理に関する窓口等を整
備すること。
3.医療機関等における安全
管理のための体制と責任・権
限
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
8 . 情 報 管 理 ( 管 理、 持出
し、破棄等)
① 医療情報システムの安全管理に関する管理責任を適切に果たすた 6.3C1-5
めに必要な組織体制を整備すること。
第10章
-
定期的に管理状況に関する報告を受けて状況を確認するととも 6.3C1-5
に、組織内において監査を実施すること。
第10章
⑩ 外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の
施設に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明
し、理解を得ること。
⑨ 患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合には、患者
等に対して、情報セキュリティに関するリスクや情報提供目的について説明を行い、それぞれの
責任範囲を明確にすること。
④ 医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理する
こと。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反
映すること。
【管理責任】
②
1.管理体系
⑨ 患者等からの相談や苦情への対応を行うための体制を構築すること。
3.医療機関等における安全
-
管理のための体制と責任・権
⑧ 医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
限
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機
① 医療情報システムに関する安全管理を適切に維持するための計画
を策定すること。
-
5.2版第5章の趣旨を踏ま
えて新設
関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実
10.運用に対する点検・監査
施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果につ
いて、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見
直し等を図ること。
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
1.2
応とBCP策定
医療機関等における責任
② 医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整
合性を確認して対応方針を策定すること。
⑧ サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的
12.サイバー攻撃対策
に経営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見
直しを実施し、必要に応じて改善を行うこと。
【定期的に見直し必要に応じて
改善を行う責任】
② 医療情報に関する安全管理を適切に維持するために、定期的な見
直しを実施し、必要に応じて、改善措置を講じるよう、企画管理者及 -
びシステム運用担当者に指示すること。
5.2版6.2の趣旨を踏まえ
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な
規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機
関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実
10.運用に対する点検・監査
施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果につ
いて、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見
直し等を図ること。
⑧ サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的
12.サイバー攻撃対策
に経営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見
直しを実施し、必要に応じて改善を行うこと。
⑥ システム運用に関する安全管理対策として必要な項目を担当者と協働して検討すること。特
15.技術的な対策の管理
に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー攻撃含む)への対
策に関する項目については、定期的に見直しを図ること。
1.2.2 非常時における責
① 情報セキュリティインシデントが生じた場合、その原因や対策等
について患者、関係機関等に説明する体制を速やかに構築すること。
6.10C5
5.2版4.1B(2)① の趣 旨を
加味
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
1.安全管理に関する責 任・
応とBCP策定
責務
⑧ 非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨ 非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応
を行うこと。
① サイバーセキュリティに関する組織的対策、医療機関等の職員等や委託先事業者などの対策
【説明責任】
12.サイバー攻撃対策
を検討し、整理すること。技術的な対応・措置については、担当者にリスク評価を踏まえた対策
の検討を指示し、状況を確認すること。
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の
漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場
12.サイバー攻撃対策
合には、「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1
号 医政地発1029 第3号 医政研発1029 第1号 平成30 年10 月29 日)に基づき、所管官庁へ
の連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わら
ず、医療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
① 医療情報システムにおいて採用するシステム、サービス、情報機器等
の機能仕様や利用方法に関する資料を整備し、常に最新の状態を維持する
こと。
10C1-4
10C1
6.2C4
6.9C5
② 医療情報システムに関する全体構成図(ネットワーク構成図・システ
ム構成図等)、及びシステム責任者・関係者一覧(設置事業者、保守事業 6.2C4
者等含む)を作成し、常に最新の状態を維持すること。