よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


【参考7】各編間相関表 (4 ページ)

公開元URL https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251924
出典情報 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

3.2

設計

3.2.2

情報セキュリ ティ

対策を踏まえた訓練・教育

7.安全管理のための人的管
理 ( 従 業 者 管 理 、 委託 先管



個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。ま

理 、 教 育 ・ 訓 練 、 委託 先選

た、教育・訓練の実施状況について定期的に経営層に報告すること。

定・契約)
① 利用者のアクセスについて、アクセスログを記録するとともに、定期
① 医療機関等において医療情報システムに関する安全管理対策が適
切に実施されていることを確認するため、企画管理者やシステム運用
担当者に定期的に自己点検を行うよう指示し、その結果報告を受け、

的にログを確認すること。アクセスログは、少なくとも利用者のログイン
10C1(2)c



5.安全管理におけるエビデ

① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡

17.証跡のレビュー・シス

時刻、アクセス時間及びログイン中に操作した医療情報が特定できるよう

ンスの考え方

の整備について必要な対応を行うこと。

テム監査

に記録すること。医療情報システムにアクセスログの記録機能があること

必要に応じて改善に向けた対応を指示すること。

が前提であるが、ない場合は、業務日誌等により操作者、操作内容等を記
録すること。

17.証跡のレビュー・シス

② アクセスログへのアクセス制限を行い、アクセスログの不当な削除/

テム監査

改ざん/追加等を防止する対策を実施すること。

③ アクセスログの記録に用いる時刻情報は、信頼できるものを利用する
17.証跡のレビュー・シス

こと。利用する時刻情報は、医療機関等の内部で同期させるとともに、標

テム監査

準時刻と定期的に一致させる等の手段で診療事実の記録として問題のない
範囲の精度を保つ必要がある。

① 利用者のアクセスについて、アクセスログを記録するとともに、定期
3.3.1

的にログを確認すること。アクセスログは、少なくとも利用者のログイン

安全管理状況 の自

己点検

5.安全管理におけるエビデ

② 証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものと

17.証跡のレビュー・シス

時刻、アクセス時間及びログイン中に操作した医療情報が特定できるよう

ンスの考え方

することに留意すること。また証跡の改ざん等を防止する措置を講じること。

テム監査

に記録すること。医療情報システムにアクセスログの記録機能があること
が前提であるが、ない場合は、業務日誌等により操作者、操作内容等を記
録すること。

17.証跡のレビュー・シス

② アクセスログへのアクセス制限を行い、アクセスログの不当な削除/

テム監査

改ざん/追加等を防止する対策を実施すること。

③ アクセスログの記録に用いる時刻情報は、信頼できるものを利用する
3.3

安全管理対策の管理

17.証跡のレビュー・シス

こと。利用する時刻情報は、医療機関等の内部で同期させるとともに、標

テム監査

準時刻と定期的に一致させる等の手段で診療事実の記録として問題のない
範囲の精度を保つ必要がある。

① 医療機関等内で、企画管理者やシステム運用担当者から独立した
組織による内部監査、または医療機関等とは異なる機関による外部監 -
査を実施し、管理責任を果たすこと。

4.1(1)の趣旨を踏ま えて
新設

5.安全管理におけるエビデ

③ 収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必

ンスの考え方
5.安全管理におけるエビデ

要があれば証跡の整備に関する改善を行うこと。
④ 法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるよ

ンスの考え方
8 . 情 報 管 理 ( 管 理、 持出

うに管理すること。
⑩ 医療情報の持ち出し状況について定期的なレビューを行い、持ち出し状況の適切な管理を行

し、破棄等)

うこと。

3.医療機関等における安全
管理のための体制と責任・権

⑧ 医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。



10.運用に対する点検・監査

医療機関等における医療情報システムの安全管理が適切に行われていることを把握するた

め、運用の点検を行うこと。技術的な対応に関しては、担当者に点検を命じ、その報告を受け、
確認すること。点検に際しては、各規程、手順等による運用が適切に行われていることを、
「5.安全管理におけるエビデンス」で整備した証跡に基づいて確認し、必要があれば改善を行
② 医療情報システムの取扱いを委託している場合は、委託先事業者において医療情報システム

3.3.2

10.運用に対する点検・監査

情報セキュリ ティ

監査
10.運用に対する点検・監査

の安全管理が適切になされていることを、委託先事業者からの報告に基づいて確認すること。医
療情報システム・サービスの性格上、報告に基づく確認が難しい場合は、SLA に対する評価等の
中で確認すること。
③ 医療情報システムの取扱いに関する点検結果を、経営層に報告し、承認を得ること。
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機
関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実

10.運用に対する点検・監査

施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果につ
いて、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見

17.証跡のレビュー・シス

④ 監査等を行うに際し、技術的な対応に関する監査実施計画の作成や証

テム監査

跡の整理等を行い、企画管理者に報告すること。

17.証跡のレビュー・シス

④ 監査等を行うに際し、技術的な対応に関する監査実施計画の作成や証

テム監査

跡の整理等を行い、企画管理者に報告すること。

直し等を図ること。
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機
② 内部監査や外部監査の結果を踏まえ、必要に応じて、安全管理措
置の改善に向けた対応を企画管理者やシステム運用担当者に指示する -
とともに、その対応結果をフォローすること。

4.1(1)の趣旨を踏ま えて
新設

関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実
10.運用に対する点検・監査

施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果につ
いて、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見
直し等を図ること。

① 情報セキュリティインシデントの発生に備え、非常時における業

11.非常時(災害、インシデ

務継続の可否の判断基準や継続する業務内容の選定等に係る意思決定 6.10C1



プロセスを検討し、BCP 等を整備すること。

ント、サイバー攻撃被害)対

⑧ 非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。

応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定

⑨ 非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応
を行うこと。
⑥ サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報

12.サイバー攻撃対策

をあらかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用す
る医療情報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、そ
の他必要に応じて助言等の支援を求める外部有識者等が含まれる。)
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の
漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場

12.サイバー攻撃対策

合には、「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1
号 医政地発1029 第3号 医政研発1029 第1号 平成30 年10 月29 日)に基づき、所管官庁へ
の連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わら
① 非常時の医療情報システムの運用について、次に掲げる対策を実施す

ず、医療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。

ること。
3.安全管理全般(統制 、設

- 「非常時のユーザアカウントや非常時用機能」の手順を整備するこ

計、管理等)

と。
- 非常時機能が通常時に不適切に利用されることがないようにするとと
もに、もし使用された場合に使用されたことが検知できるよう、適切に管

② 情報セキュリティインシデントにより、医療機関等内の医療情報

理及び監査すること。

システムの全部又は一部に影響が生じる場合に備え、医療情報システ
ムの適切な復旧手順を検討するよう、企画管理者やシステム運用担当
者に指示するとともに、当該復旧手順について随時自己点検を行うよ

11.非常時(災害、インシデ
6.10C2-4



ント、サイバー攻撃被害)対
応とBCP策定

う指示した上で、その結果報告を受け、必要に応じて、改善に向けた

⑤ 非常時における安全管理対策について、担当者に対策の実装と対策を踏まえた文書の整備を

11.システム運用管理(通

指示し、確認すること。

常時・非常時等)

- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用
ができないように変更すること。
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係
先への連絡手段や紙での運用等の代替手段を準備すること。

対応を指示すること。

- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構
成分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一
部は不正ソフトウェアの混入による影響が波及しない手段で管理するとと
もに、バックアップからの重要なファイルの復元手順を整備すること。

3.4.1

事業継続計画

( BCP : Business Continuity
Plan)の整備と訓練

11.システム運用管理(通

② 医療情報システムの稼働状況などを把握するため、パフォーマンス管

常時・非常時等)

理、死活監視などを行うこと。


通常時に整備していたBCP が、非常時において迅速かつ的確に実施で
きるよう、通常時から定期的に訓練・演習を実施し、その結果を踏ま -
え、必要に応じて改善に向けた対応を企画管理者やシステム運用担当

6.10の趣旨を踏まえて新


11.非常時(災害、インシデ
ント、サイバー攻撃被害)対

⑦ 非常時への対応状況を定期的に確認し、経営層に報告のうえ、承認を得ること。

応とBCP策定

者に指示すること。
① 非常時の医療情報システムの運用について、次に掲げる対策を実施す
ること。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備するこ
と。
- 非常時機能が通常時に不適切に利用されることがないようにするとと
もに、もし使用された場合に使用されたことが検知できるよう、適切に管
12.サイバー攻撃対策

④ サイバーセキュリティ対応計画を踏まえ、対応状況を確認する。技術的な対応・措置につい

11.システム運用管理(通

ては担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。

常時・非常時等)

理及び監査すること。
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用
ができないように変更すること。
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係
先への連絡手段や紙での運用等の代替手段を準備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一
部は不正ソフトウェアの混入による影響が波及しない手段で管理するとと
もに、バックアップからの重要なファイルの復元手順を整備すること。