よむ、つかう、まなぶ。
【参考7】各編間相関表 (3 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251924 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
6.リスクマネジメント
⑤ ②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
11.非常時(災害、インシデ
① 医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を
ント、サイバー攻撃被害)対
行い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた
応とBCP策定
計画を含めること。
2.システム設計・運用に必
⑤ 非常時や情報セキュリティインシデントが生じた場合の手順等を作成
要な規程類と文書体系
し、企画管理者の承認を得ること。
① 非常時の医療情報システムの運用について、次に掲げる対策を実施す
ること。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備するこ
2.1
医 療情 報シ ステ ムに おけ
と。
るリスク評価の実施
- 非常時機能が通常時に不適切に利用されることがないようにするとと
もに、もし使用された場合に使用されたことが検知できるよう、適切に管
理及び監査すること。
11.システム運用管理(通
常時・非常時等)
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用
ができないように変更すること。
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係
先への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構
成分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一
部は不正ソフトウェアの混入による影響が波及しない手段で管理するとと
2.リスク評価を踏まえ た管
もに、バックアップからの重要なファイルの復元手順を整備すること。
理
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③ 経営層の方針やリスク分析を踏まえ、具体的にシステム面からの
最適なリスク管理措置を検討し、実装、運用するよう、企画管理者に 6.2C4
指示すること。
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
② 医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整
合性を確認して対応方針を策定すること。
⑥ 経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
6.リスクマネジメント
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
を講じること。
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
② 事業者から技術的対策等の情報を収集すること。例えば、総務省・経
4.リスクアセスメントを踏
済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事
まえた安全対策の設計
業者における安全管理ガイドライン」 における「サービス仕様適合開示
書」を利用することが考えられる。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
① リスク評価を踏まえ、医療情報の重要性や医療の継続性、経営資
源の投入やリスク管理対策の実施の継続可能性等を鑑みて、リスク管 6.2C4
理方針を決定すること。
2.2.1
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
を講じること。
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
リスク評価を 踏ま
② 事業者から技術的対策等の情報を収集すること。例えば、総務省・経
えたリスク管理
4.リスクアセスメントを踏
済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事
まえた安全対策の設計
業者における安全管理ガイドライン」 における「サービス仕様適合開示
書」を利用することが考えられる。
②
2.2リスク評価を踏まえた判断
リスク評価結果、リスク管理方針に関する説明責任を果たすこ
と。
2.2.2
情報セキュリ ティ
マネジメントシステム(ISMS:
Information
Security
Management System)の実践
6.2C4
① リスク管理方針を踏まえ、医療情報及び医療情報システムといっ
た医療機関等における情報資産のセキュリティに関する管理を、通常 -
業務の一環として整え、ISMS を策定し、実施すること。
リスク分析を踏まえた対
応について新設
5.2 版6.2.1 の趣 旨を 踏ま
えて新設
6.リスクマネジメント
リスク分析を 踏ま
えた要求仕様適合性の管理
切にリスク管理を実施し、医療機関等の要求仕様への適合性を確認 6.2.3C4
-
6.リスクマネジメント
6.リスクマネジメント
6.リスクマネジメント
に関する統制の実効性を確保するために必要な規程類、管理体制等を
整備するとともに、適切に統制が機能されているかを確認すること。
6.3C5
統制についての記述は新
第10章
設
マネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されていることを
確認し、経営層にその状況を報告すること。
し、管理すること。
① 統制の体系を理解し、医療機関等における情報セキュリティ対策
説明責任を果たすために必要な対応を行うこと。
⑨ PDCA モデルに基づくISMS(Information Security Management System:情報セキュリティ
① 医療機関等のリスク管理方針に基づき、システム関連事業者が適
2.2.3
⑦ リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
を講じること。
⑩ PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策
を講じ、経営層に報告し、承認を得ること。
④ 医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理する
1.管理体系
こと。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反
映すること。
1.管理体系
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報シ
ステムの安全管理に関する方針を策定し、経営層の承認を得ること。
⑥ ⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行
うこと。またこれらが適切に運用されているか確認すること。
3.医療機関等における安全
管理のための体制と責任・権
3.1.1
情報セキュリ ティ
限
4.医療情報の安全管理にお
対策のための統制
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
① 医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検 6.3C1
討すること。
3.1.統制
② 医療機関等において安全管理を直接実行する企画管理者を設置す
ること。
付表
6.3C1
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要
な規程等の整備を行い、経営層の承認を取ること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な
規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整
備を担当者に指示し、確認すること。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者
に指示し、整備状況を確認の上、経営層に報告すること。
-
システム安全管理責任者
から企画管理者へ変更
3.医療機関等における安全
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
3.1.2
⑩ ①~⑨までの対応においては、整備した内容を可視化できるようにすること。
3.医療機関等における安全
医療情報シス テム
管理のための体制と責任・権
における統制上の留意点
限
3.医療機関等における安全
管理のための体制と責任・権
限
① 医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確
にし、その内容について経営層の承認を得ること。
② 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営
に関する規程等を策定し、経営層の承認を得ること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務
等を明確にし、経営層の承認を得ること。
④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において
発生した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者
(CISO)やCSIRTなどの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を
得ること。
⑤ 法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要
な措置を講じ、その結果を経営層に報告し、承認を得ること。
③ 情報セキュリティ対策に関する統制は、医療機関等内の組織や人
事等の統制とは区別し、医療機関等全体における統制の一つと位置付 -
統制の趣旨を踏まえ新設
けて、組織横断的に実施すること。
7.安全管理のための人的管
④ 情報セキュリティ対策に関する統制の対象には、医療機関等に直
接雇用されている職員だけでなく、システム関連事業者の担当者や派 -
遣社員など、医療機関等が直接雇用していない者も含むこと。
① リスク評価やリスク管理方針を踏まえて、情報セキュリティ方針
を整備すること。
3.2.1
統 制 と6.6 の趣 旨を 踏ま 理 ( 従 業 者 管 理 、 委託 先管
②
え新設
た、教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
10C1(1)a
ー
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報シ
ステムの安全管理に関する方針を策定し、経営層の承認を得ること。
情報セキュリ ティ
方針を踏ま えた 情報 セキ ュリ
ティ対策の整備
②
7.安全管理のための人的管
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえ
て、実施可能な内容で、実効性のある、適切な情報セキュリティ対策 -
6.3の趣旨を踏まえ新設
を整備するよう、企画管理者に指示し、管理すること。
3.2
理 、 教 育 ・ 訓 練 、 委託 先選
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。ま
理 ( 従 業 者 管 理 、 委託 先管
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の
理 、 教 育 ・ 訓 練 、 委託 先選
守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
定・契約)
設計
① 整備した規程類を適切に利用し、情報セキュリティ方針を遵守し
た対策が実施できるよう、通常時から情報セキュリティ対策に関する
3.2.2
情報セキュリ ティ
対策を踏まえた訓練・教育
統制対象者すべてに対して定期的な教育・訓練を実施すること。
6.6C1(2)
6.10C2
3.医療機関等における安全
ー
管理のための体制と責任・権
限
⑥ 医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育
や訓練を講じるための体制を整備すること。
6.リスクマネジメント
⑤ ②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
11.非常時(災害、インシデ
① 医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を
ント、サイバー攻撃被害)対
行い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた
応とBCP策定
計画を含めること。
2.システム設計・運用に必
⑤ 非常時や情報セキュリティインシデントが生じた場合の手順等を作成
要な規程類と文書体系
し、企画管理者の承認を得ること。
① 非常時の医療情報システムの運用について、次に掲げる対策を実施す
ること。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備するこ
2.1
医 療情 報シ ステ ムに おけ
と。
るリスク評価の実施
- 非常時機能が通常時に不適切に利用されることがないようにするとと
もに、もし使用された場合に使用されたことが検知できるよう、適切に管
理及び監査すること。
11.システム運用管理(通
常時・非常時等)
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用
ができないように変更すること。
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係
先への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構
成分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一
部は不正ソフトウェアの混入による影響が波及しない手段で管理するとと
2.リスク評価を踏まえ た管
もに、バックアップからの重要なファイルの復元手順を整備すること。
理
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③ 経営層の方針やリスク分析を踏まえ、具体的にシステム面からの
最適なリスク管理措置を検討し、実装、運用するよう、企画管理者に 6.2C4
指示すること。
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
② 医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整
合性を確認して対応方針を策定すること。
⑥ 経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
6.リスクマネジメント
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
を講じること。
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
② 事業者から技術的対策等の情報を収集すること。例えば、総務省・経
4.リスクアセスメントを踏
済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事
まえた安全対策の設計
業者における安全管理ガイドライン」 における「サービス仕様適合開示
書」を利用することが考えられる。
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理
① リスク評価を踏まえ、医療情報の重要性や医療の継続性、経営資
源の投入やリスク管理対策の実施の継続可能性等を鑑みて、リスク管 6.2C4
理方針を決定すること。
2.2.1
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
4.リスクアセスメントを踏
するための手順等を作成し、運用すること。その際、情報種別による重要
を講じること。
まえた安全対策の設計
度を踏まえるほか、患者情報については、患者ごとに識別できるような措
置を講じること。
リスク評価を 踏ま
② 事業者から技術的対策等の情報を収集すること。例えば、総務省・経
えたリスク管理
4.リスクアセスメントを踏
済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事
まえた安全対策の設計
業者における安全管理ガイドライン」 における「サービス仕様適合開示
書」を利用することが考えられる。
②
2.2リスク評価を踏まえた判断
リスク評価結果、リスク管理方針に関する説明責任を果たすこ
と。
2.2.2
情報セキュリ ティ
マネジメントシステム(ISMS:
Information
Security
Management System)の実践
6.2C4
① リスク管理方針を踏まえ、医療情報及び医療情報システムといっ
た医療機関等における情報資産のセキュリティに関する管理を、通常 -
業務の一環として整え、ISMS を策定し、実施すること。
リスク分析を踏まえた対
応について新設
5.2 版6.2.1 の趣 旨を 踏ま
えて新設
6.リスクマネジメント
リスク分析を 踏ま
えた要求仕様適合性の管理
切にリスク管理を実施し、医療機関等の要求仕様への適合性を確認 6.2.3C4
-
6.リスクマネジメント
6.リスクマネジメント
6.リスクマネジメント
に関する統制の実効性を確保するために必要な規程類、管理体制等を
整備するとともに、適切に統制が機能されているかを確認すること。
6.3C5
統制についての記述は新
第10章
設
マネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されていることを
確認し、経営層にその状況を報告すること。
し、管理すること。
① 統制の体系を理解し、医療機関等における情報セキュリティ対策
説明責任を果たすために必要な対応を行うこと。
⑨ PDCA モデルに基づくISMS(Information Security Management System:情報セキュリティ
① 医療機関等のリスク管理方針に基づき、システム関連事業者が適
2.2.3
⑦ リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策
を講じること。
⑩ PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策
を講じ、経営層に報告し、承認を得ること。
④ 医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理する
1.管理体系
こと。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反
映すること。
1.管理体系
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報シ
ステムの安全管理に関する方針を策定し、経営層の承認を得ること。
⑥ ⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行
うこと。またこれらが適切に運用されているか確認すること。
3.医療機関等における安全
管理のための体制と責任・権
3.1.1
情報セキュリ ティ
限
4.医療情報の安全管理にお
対策のための統制
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
① 医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検 6.3C1
討すること。
3.1.統制
② 医療機関等において安全管理を直接実行する企画管理者を設置す
ること。
付表
6.3C1
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要
な規程等の整備を行い、経営層の承認を取ること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な
規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整
備を担当者に指示し、確認すること。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者
に指示し、整備状況を確認の上、経営層に報告すること。
-
システム安全管理責任者
から企画管理者へ変更
3.医療機関等における安全
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
3.1.2
⑩ ①~⑨までの対応においては、整備した内容を可視化できるようにすること。
3.医療機関等における安全
医療情報シス テム
管理のための体制と責任・権
における統制上の留意点
限
3.医療機関等における安全
管理のための体制と責任・権
限
① 医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確
にし、その内容について経営層の承認を得ること。
② 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営
に関する規程等を策定し、経営層の承認を得ること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務
等を明確にし、経営層の承認を得ること。
④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において
発生した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者
(CISO)やCSIRTなどの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を
得ること。
⑤ 法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要
な措置を講じ、その結果を経営層に報告し、承認を得ること。
③ 情報セキュリティ対策に関する統制は、医療機関等内の組織や人
事等の統制とは区別し、医療機関等全体における統制の一つと位置付 -
統制の趣旨を踏まえ新設
けて、組織横断的に実施すること。
7.安全管理のための人的管
④ 情報セキュリティ対策に関する統制の対象には、医療機関等に直
接雇用されている職員だけでなく、システム関連事業者の担当者や派 -
遣社員など、医療機関等が直接雇用していない者も含むこと。
① リスク評価やリスク管理方針を踏まえて、情報セキュリティ方針
を整備すること。
3.2.1
統 制 と6.6 の趣 旨を 踏ま 理 ( 従 業 者 管 理 、 委託 先管
②
え新設
た、教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
10C1(1)a
ー
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報シ
ステムの安全管理に関する方針を策定し、経営層の承認を得ること。
情報セキュリ ティ
方針を踏ま えた 情報 セキ ュリ
ティ対策の整備
②
7.安全管理のための人的管
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえ
て、実施可能な内容で、実効性のある、適切な情報セキュリティ対策 -
6.3の趣旨を踏まえ新設
を整備するよう、企画管理者に指示し、管理すること。
3.2
理 、 教 育 ・ 訓 練 、 委託 先選
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。ま
理 ( 従 業 者 管 理 、 委託 先管
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の
理 、 教 育 ・ 訓 練 、 委託 先選
守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
定・契約)
設計
① 整備した規程類を適切に利用し、情報セキュリティ方針を遵守し
た対策が実施できるよう、通常時から情報セキュリティ対策に関する
3.2.2
情報セキュリ ティ
対策を踏まえた訓練・教育
統制対象者すべてに対して定期的な教育・訓練を実施すること。
6.6C1(2)
6.10C2
3.医療機関等における安全
ー
管理のための体制と責任・権
限
⑥ 医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育
や訓練を講じるための体制を整備すること。