よむ、つかう、まなぶ。
【参考7】各編間相関表 (2 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251924 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
1.安全管理に関する責 任・
責務
① 情報セキュリティインシデントが生じた場合、医療機関等内、シ
ステム関連事業者及び外部関係機関と協働して、インシデントの原因 -
を究明し、インシデントの発生や経緯等を整理すること。
5.2版6.10B(4)の趣旨を踏
まえて新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
⑧ 非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
【善後策を講ずる責任】
⑩ 非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告
し、承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
⑥ サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報
12.サイバー攻撃対策
をあらかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用す
る医療情報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、そ
の他必要に応じて助言等の支援を求める外部有識者等が含まれる。)
② 情報セキュリティインシデントが生じた場合、その原因を踏まえ
た再発防止策を講じること。
-
① 医療情報システムの安全管理について、システム関連事業者に委
託する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に -
行うこと。
5.2版4.1B(2)② の趣 旨を
踏まえて新設
5.2版8.3の趣旨を踏まえ
て新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑩ 非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告
し、承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対して
1.管理体系
も①に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握するこ
と。委託先事業者が再委託を用いる場合も同様の対応をすること。
⑥
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認するこ
と。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c
不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
f
プライバシーマーク認定又はISMS 認証を取得していること
g
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラ
ウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用
管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASA クラウドセキュリティ推進協議会CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重
要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及
びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場
合のペナルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業
者にも本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者に
1.3.1
おける安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告
委託(第三者委託)にお
7.安全管理のための人的管
ける責任
理 ( 従 業 者 管 理 、 委託 先管
1.3
理 、 教 育 ・ 訓 練 、 委託 先選
委託における責任
定・契約)
を受ける等して遵守状況を確認すること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策
状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求め
て確認することなどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧さ
せないこと。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下
同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託
先事業者に遵守させること。
-
保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供の
ルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する
場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又
は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わ
ないこと。
- 保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱い
をしている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提
供する場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧
(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こ
らないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施
すること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
⑧ 委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託
先事業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めるこ
と。また委託先事業者からの報告内容については、経営層に報告し、承認を得ること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
⑨
委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容につい
理 、 教 育 ・ 訓 練 、 委託 先選
てあらかじめ契約により取り決めておくこと。
定・契約)
① 業務等を委託する場合には、委託する業務等の内容や責任範囲、
1.3.2
委託(第三者委託)にお 役割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、書 6.11C6
ける責任分界
面等により可視化し、適切に契約等の取決めを実施し、保管するこ 10C1(7)
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対して
5.2版4.2の趣旨を加味
1.管理体系
と。委託先事業者が再委託を用いる場合も同様の対応をすること。
と。
① 医療情報を第三者提供する場合、法令等を遵守し、手続き等の記
録等を適切に管理する体制を整備すること。
1.4
-
5.2 版4.2.2 の趣 旨を 踏ま
えて新設
第三者提供おける責任
② 医療情報を第三者提供する場合、医療機関等と第三者それぞれが
負う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよ -
う、書面等により可視化し、適切に管理すること。
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針
を策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決 6.2C4
定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理や、対策と
して求められる体制やルール等の企画や整備、管理について、企画管 6.2C4
理者に指示すること。
も①に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握するこ
5.2 版4.2.2 の趣 旨を 踏ま
えて新設
リスク分析を踏まえた対
応について新設
リスク分析を踏まえた対
応について新設
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責
2.責任分界
任分界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに
当たり、事前に経営層の承認を得ること。
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡
ンスの考え方
の整備について必要な対応を行うこと。
2.責任分界
⑥ 第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分担を含め
て取り決めること。
⑤ 第三者提供を行う際の責任分界について、企画管理者と協議の上で、
3.責任分界
医療機関等のリスク評価に従った範囲で、技術的な対応に関する責任分界
の範囲を検討し、企画管理者に報告すること。
① 医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を
6.リスクマネジメント
経営層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して必
要な措置を講じること。
6.リスクマネジメント
② 医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上
の重要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
6.リスクマネジメント
③ 医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
速やかに確認できる状態で管理すること。
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
6.リスクマネジメント
2.1
医 療情 報シ ステ ムに おけ
るリスク評価の実施
④ 安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連
する情報の安全管理上の重要度を分類すること。
6.安全管理を実現する
ための技術的対策の体系
① システム運用担当者は、医療
責務
① 情報セキュリティインシデントが生じた場合、医療機関等内、シ
ステム関連事業者及び外部関係機関と協働して、インシデントの原因 -
を究明し、インシデントの発生や経緯等を整理すること。
5.2版6.10B(4)の趣旨を踏
まえて新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
⑧ 非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
【善後策を講ずる責任】
⑩ 非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告
し、承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
⑥ サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報
12.サイバー攻撃対策
をあらかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用す
る医療情報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、そ
の他必要に応じて助言等の支援を求める外部有識者等が含まれる。)
② 情報セキュリティインシデントが生じた場合、その原因を踏まえ
た再発防止策を講じること。
-
① 医療情報システムの安全管理について、システム関連事業者に委
託する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に -
行うこと。
5.2版4.1B(2)② の趣 旨を
踏まえて新設
5.2版8.3の趣旨を踏まえ
て新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑩ 非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告
し、承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対して
1.管理体系
も①に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握するこ
と。委託先事業者が再委託を用いる場合も同様の対応をすること。
⑥
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認するこ
と。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c
不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
f
プライバシーマーク認定又はISMS 認証を取得していること
g
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラ
ウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用
管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASA クラウドセキュリティ推進協議会CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重
要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及
びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場
合のペナルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業
者にも本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者に
1.3.1
おける安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告
委託(第三者委託)にお
7.安全管理のための人的管
ける責任
理 ( 従 業 者 管 理 、 委託 先管
1.3
理 、 教 育 ・ 訓 練 、 委託 先選
委託における責任
定・契約)
を受ける等して遵守状況を確認すること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策
状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求め
て確認することなどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧さ
せないこと。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下
同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託
先事業者に遵守させること。
-
保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供の
ルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する
場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又
は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わ
ないこと。
- 保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱い
をしている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提
供する場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧
(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こ
らないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施
すること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
理 、 教 育 ・ 訓 練 、 委託 先選
定・契約)
⑧ 委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託
先事業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めるこ
と。また委託先事業者からの報告内容については、経営層に報告し、承認を得ること。
7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管
⑨
委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容につい
理 、 教 育 ・ 訓 練 、 委託 先選
てあらかじめ契約により取り決めておくこと。
定・契約)
① 業務等を委託する場合には、委託する業務等の内容や責任範囲、
1.3.2
委託(第三者委託)にお 役割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、書 6.11C6
ける責任分界
面等により可視化し、適切に契約等の取決めを実施し、保管するこ 10C1(7)
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対して
5.2版4.2の趣旨を加味
1.管理体系
と。委託先事業者が再委託を用いる場合も同様の対応をすること。
と。
① 医療情報を第三者提供する場合、法令等を遵守し、手続き等の記
録等を適切に管理する体制を整備すること。
1.4
-
5.2 版4.2.2 の趣 旨を 踏ま
えて新設
第三者提供おける責任
② 医療情報を第三者提供する場合、医療機関等と第三者それぞれが
負う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよ -
う、書面等により可視化し、適切に管理すること。
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針
を策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決 6.2C4
定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理や、対策と
して求められる体制やルール等の企画や整備、管理について、企画管 6.2C4
理者に指示すること。
も①に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握するこ
5.2 版4.2.2 の趣 旨を 踏ま
えて新設
リスク分析を踏まえた対
応について新設
リスク分析を踏まえた対
応について新設
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責
2.責任分界
任分界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに
当たり、事前に経営層の承認を得ること。
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡
ンスの考え方
の整備について必要な対応を行うこと。
2.責任分界
⑥ 第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分担を含め
て取り決めること。
⑤ 第三者提供を行う際の責任分界について、企画管理者と協議の上で、
3.責任分界
医療機関等のリスク評価に従った範囲で、技術的な対応に関する責任分界
の範囲を検討し、企画管理者に報告すること。
① 医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を
6.リスクマネジメント
経営層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して必
要な措置を講じること。
6.リスクマネジメント
② 医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上
の重要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
6.リスクマネジメント
③ 医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
速やかに確認できる状態で管理すること。
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
6.リスクマネジメント
2.1
医 療情 報シ ステ ムに おけ
るリスク評価の実施
④ 安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連
する情報の安全管理上の重要度を分類すること。
6.安全管理を実現する
ための技術的対策の体系
① システム運用担当者は、医療