よむ、つかう、まなぶ。
【参考7】各編間相関表 (11 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251924 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
② 対応ができてない対策項目がある場合、その理由を確認し、対応
の要否を判断の上、必要に応じて対応を指示すること。
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、シス
-
6.2.1の趣旨から新設
15.技術的な対策の管理
に報告し承認を得ること。
① 医療情報システムの安全管理対策項目の特徴を認識し、企画管理
4.2
必要な措置
テム運用の実施状況については、定期的に担当者から報告を受け、その状況を把握の上、経営層
者やシステム運用担当者に、必要に応じて、対策項目に掲げられる措 6.2.3C7
ー
1.管理体系
置をするよう指示すること。
⑥ ⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行
うこと。またこれらが適切に運用されているか確認すること。
① 委託する事業者を選定する場合には、本ガイドライン及び法令等
が求める要件を満たすシステム関連事業者を選定するよう指示するこ 8.3C2
5.1
と。
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001
事業者選定
又はこれと同等の規格の認証を受けているシステム関連事業者を選定 8.3C2(9)f
するよう指示すること。
①
ー
2省ガイドラインと の整
合性確保
委託契約において、委託業務の内容やシステム関連事業者の体
7.安全管理のための人的管
制、システム関連事業者との責任分界、システム関連事業者における
情報の取扱い等、医療機関等が負う医療情報システムの管理に関し -
4.2の趣旨から新設
て、協働する上で認識の齟齬等が生じないように、適切な契約の締結
理 ( 従 業 者 管 理 、 委託 先管
③ 医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非
理 、 教 育 ・ 訓 練 、 委託 先選
開示に関する内容を含めること。
定・契約)
や管理を行うよう企画管理者に指示すること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
④ ③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求める
理 、 教 育 ・ 訓 練 、 委託 先選
こと。
定・契約)
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重
要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及
びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場
合のペナルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業
者にも本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者に
おける安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
⑧ セキュリティ対策を十分に行うことが難しいウェアラブル端末や在宅
を受ける等して遵守状況を確認すること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策
状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求め
7.情報の持出し・管理・破
棄等
設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリティ上の
リスクと、患者等が留意すべきことについて患者等へ説明し、同意を得る
こと。また、機器に異常や不都合が発生した場合の問い合わせ先や医療機
関等への連絡方法について、患者等に情報提供すること。
て確認することなどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧さ
せないこと。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下
同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託
先事業者に遵守させること。
-
5.2.1 契約管理
保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供の
ルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する
場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又
は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
5.2
事業者管理
⑭
7.情報の持出し・管理・破
棄等
患者等に医療情報を閲覧させる場合、医療情報を公開しているコン
ピュータシステムを通じて、医療機関等の内部のシステムに不正な侵入等
が起こらないように、例えば、システムやアプリケーションを切り分け
、ファイアウォール、アクセス監視、通信のTLS 暗号化、PKI(Public
Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施すること。
⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わ
ないこと。
- 保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
5.医療情報システム・ サー
7.安全管理のための人的管
ビス事業者との協働
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
⑧ セキュリティ対策を十分に行うことが難しいウェアラブル端末や在宅
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱い
をしている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提
供する場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧
7.情報の持出し・管理・破
棄等
設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリティ上の
リスクと、患者等が留意すべきことについて患者等へ説明し、同意を得る
こと。また、機器に異常や不都合が発生した場合の問い合わせ先や医療機
関等への連絡方法について、患者等に情報提供すること。
(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こ
らないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施
すること。
⑭
7.情報の持出し・管理・破
棄等
患者等に医療情報を閲覧させる場合、医療情報を公開しているコン
ピュータシステムを通じて、医療機関等の内部のシステムに不正な侵入等
が起こらないように、例えば、システムやアプリケーションを切り分け
、ファイアウォール、アクセス監視、通信のTLS 暗号化、PKI(Public
Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施すること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
①
先事業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めるこ
と。また委託先事業者からの報告内容については、経営層に報告し、承認を得ること。
委託するシステム関連事業者に対して、業務実行体制を明確に
し、医療情報の取扱い及び医療情報システムの管理に関して再委託を
5.2.2 体制管理
⑧ 委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託
行う場合には、事前に医療機関等に情報を提供し、協議・合意形成を
経た上で承認を得ること等を契約の内容に含めるよう、企画管理者に
3.医療機関等における安全
6.6C2(1)d
管理のための体制と責任・権
10C1(5)b
限
⑦ 医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する
体制を整備すること。
指示すること。
① システム関連事業者に委託を行う際の責任分界の管理に関する重
要性を認識し、医療機関と委託先事業者との間での責任分界を明確に
し、認識の齟齬等が生じないよう、書面等により可視化し、適切に管
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責
-
4.2.1の趣旨から新設
2.責任分界
任分界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに
当たり、事前に経営層の承認を得ること。
理することを、企画管理者やシステム運用担当者に指示すること。
① 医療情報システムに関する情報システム・サービスの委託において、
2.責任分界
② 取決めを行う責任分界のうち技術的な部分に関しては、その具体的な内容を検討するようシ
ステム運用担当者に指示を行い、その結果を責任分界の取決めに反映させること。
3.責任分界
技術的な対応の役割分担を検討するため、情報システム・サービス事業者
(以下「事業者」という。)から必要な情報等の収集を行うとともに、提
供された情報の内容が正確であることを事業者に確認すること。
② 事業者と技術的な対応に関する責任分界を調整する際に、要求仕様と
2.責任分界
5.3
③ 責任分界を取り決める際には、あらかじめ必要な情報を収集した上で、医療機関等における
リスク管理を踏まえた仕様の適合性に関する調整を委託先事業者等と行うこと。
3.責任分界
責任分界管理
の適合性に関する確認を行い、医療機関等において実施する技術的な対応
におけるリスク評価との間で齟齬が生じないことを確認し、齟齬がある場
合には、必要な調整を行うこと。
2.責任分界
④ 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報システ
ム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
③ 通常時の運用や、非常時の運用において発生する技術的な対応に関す
3.責任分界
る役割分担を、委託先である事業者との間で調整し、企画管理者に対して
その結果を報告すること。
④ サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に関し
3.責任分界
て必要な役割について、事業者と調整し、その結果を企画管理者に報告す
ること。
⑤ 委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医療機関等
2.責任分界
が直接責任分界を取り決める相手方を特定すること。また、関与する関係者への管理なども責任
分界の取決めに含めること。さらに、責任分界の取決めに際しては、委託先事業者間での役割分
③ 通常時の運用や、非常時の運用において発生する技術的な対応に関す
3.責任分界
る役割分担を、委託先である事業者との間で調整し、企画管理者に対して
その結果を報告すること。
担なども含めて、取決め内容に漏れがないよう留意すること。
④ サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に関し
3.責任分界
て必要な役割について、事業者と調整し、その結果を企画管理者に報告す
ること。
の要否を判断の上、必要に応じて対応を指示すること。
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、シス
-
6.2.1の趣旨から新設
15.技術的な対策の管理
に報告し承認を得ること。
① 医療情報システムの安全管理対策項目の特徴を認識し、企画管理
4.2
必要な措置
テム運用の実施状況については、定期的に担当者から報告を受け、その状況を把握の上、経営層
者やシステム運用担当者に、必要に応じて、対策項目に掲げられる措 6.2.3C7
ー
1.管理体系
置をするよう指示すること。
⑥ ⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行
うこと。またこれらが適切に運用されているか確認すること。
① 委託する事業者を選定する場合には、本ガイドライン及び法令等
が求める要件を満たすシステム関連事業者を選定するよう指示するこ 8.3C2
5.1
と。
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001
事業者選定
又はこれと同等の規格の認証を受けているシステム関連事業者を選定 8.3C2(9)f
するよう指示すること。
①
ー
2省ガイドラインと の整
合性確保
委託契約において、委託業務の内容やシステム関連事業者の体
7.安全管理のための人的管
制、システム関連事業者との責任分界、システム関連事業者における
情報の取扱い等、医療機関等が負う医療情報システムの管理に関し -
4.2の趣旨から新設
て、協働する上で認識の齟齬等が生じないように、適切な契約の締結
理 ( 従 業 者 管 理 、 委託 先管
③ 医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非
理 、 教 育 ・ 訓 練 、 委託 先選
開示に関する内容を含めること。
定・契約)
や管理を行うよう企画管理者に指示すること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
④ ③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求める
理 、 教 育 ・ 訓 練 、 委託 先選
こと。
定・契約)
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重
要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及
びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場
合のペナルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業
者にも本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者に
おける安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
⑧ セキュリティ対策を十分に行うことが難しいウェアラブル端末や在宅
を受ける等して遵守状況を確認すること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策
状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求め
7.情報の持出し・管理・破
棄等
設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリティ上の
リスクと、患者等が留意すべきことについて患者等へ説明し、同意を得る
こと。また、機器に異常や不都合が発生した場合の問い合わせ先や医療機
関等への連絡方法について、患者等に情報提供すること。
て確認することなどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧さ
せないこと。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下
同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託
先事業者に遵守させること。
-
5.2.1 契約管理
保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供の
ルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する
場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又
は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
5.2
事業者管理
⑭
7.情報の持出し・管理・破
棄等
患者等に医療情報を閲覧させる場合、医療情報を公開しているコン
ピュータシステムを通じて、医療機関等の内部のシステムに不正な侵入等
が起こらないように、例えば、システムやアプリケーションを切り分け
、ファイアウォール、アクセス監視、通信のTLS 暗号化、PKI(Public
Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施すること。
⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わ
ないこと。
- 保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
5.医療情報システム・ サー
7.安全管理のための人的管
ビス事業者との協働
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
⑧ セキュリティ対策を十分に行うことが難しいウェアラブル端末や在宅
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱い
をしている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提
供する場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧
7.情報の持出し・管理・破
棄等
設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリティ上の
リスクと、患者等が留意すべきことについて患者等へ説明し、同意を得る
こと。また、機器に異常や不都合が発生した場合の問い合わせ先や医療機
関等への連絡方法について、患者等に情報提供すること。
(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こ
らないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施
すること。
⑭
7.情報の持出し・管理・破
棄等
患者等に医療情報を閲覧させる場合、医療情報を公開しているコン
ピュータシステムを通じて、医療機関等の内部のシステムに不正な侵入等
が起こらないように、例えば、システムやアプリケーションを切り分け
、ファイアウォール、アクセス監視、通信のTLS 暗号化、PKI(Public
Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施すること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
①
先事業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めるこ
と。また委託先事業者からの報告内容については、経営層に報告し、承認を得ること。
委託するシステム関連事業者に対して、業務実行体制を明確に
し、医療情報の取扱い及び医療情報システムの管理に関して再委託を
5.2.2 体制管理
⑧ 委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託
行う場合には、事前に医療機関等に情報を提供し、協議・合意形成を
経た上で承認を得ること等を契約の内容に含めるよう、企画管理者に
3.医療機関等における安全
6.6C2(1)d
管理のための体制と責任・権
10C1(5)b
限
⑦ 医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する
体制を整備すること。
指示すること。
① システム関連事業者に委託を行う際の責任分界の管理に関する重
要性を認識し、医療機関と委託先事業者との間での責任分界を明確に
し、認識の齟齬等が生じないよう、書面等により可視化し、適切に管
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責
-
4.2.1の趣旨から新設
2.責任分界
任分界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに
当たり、事前に経営層の承認を得ること。
理することを、企画管理者やシステム運用担当者に指示すること。
① 医療情報システムに関する情報システム・サービスの委託において、
2.責任分界
② 取決めを行う責任分界のうち技術的な部分に関しては、その具体的な内容を検討するようシ
ステム運用担当者に指示を行い、その結果を責任分界の取決めに反映させること。
3.責任分界
技術的な対応の役割分担を検討するため、情報システム・サービス事業者
(以下「事業者」という。)から必要な情報等の収集を行うとともに、提
供された情報の内容が正確であることを事業者に確認すること。
② 事業者と技術的な対応に関する責任分界を調整する際に、要求仕様と
2.責任分界
5.3
③ 責任分界を取り決める際には、あらかじめ必要な情報を収集した上で、医療機関等における
リスク管理を踏まえた仕様の適合性に関する調整を委託先事業者等と行うこと。
3.責任分界
責任分界管理
の適合性に関する確認を行い、医療機関等において実施する技術的な対応
におけるリスク評価との間で齟齬が生じないことを確認し、齟齬がある場
合には、必要な調整を行うこと。
2.責任分界
④ 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報システ
ム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
③ 通常時の運用や、非常時の運用において発生する技術的な対応に関す
3.責任分界
る役割分担を、委託先である事業者との間で調整し、企画管理者に対して
その結果を報告すること。
④ サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に関し
3.責任分界
て必要な役割について、事業者と調整し、その結果を企画管理者に報告す
ること。
⑤ 委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医療機関等
2.責任分界
が直接責任分界を取り決める相手方を特定すること。また、関与する関係者への管理なども責任
分界の取決めに含めること。さらに、責任分界の取決めに際しては、委託先事業者間での役割分
③ 通常時の運用や、非常時の運用において発生する技術的な対応に関す
3.責任分界
る役割分担を、委託先である事業者との間で調整し、企画管理者に対して
その結果を報告すること。
担なども含めて、取決め内容に漏れがないよう留意すること。
④ サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に関し
3.責任分界
て必要な役割について、事業者と調整し、その結果を企画管理者に報告す
ること。