よむ、つかう、まなぶ。
【参考7】各編間相関表 (7 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251924 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
⑤ 医療情報システムが利用するサービスに関して、安全管理の観点から、利用に適した状況に
9.医療情報システムに用い
る機器等の資産管理
あることを定期的に確認すること。確認にあたっては、システム運用担当者に対してサービスに
おける状況(サービスの機密性、クラウドサービス等における可用性、システム関連事業者が示
す規約内容の変更状況等)が適切なものとなっていることを確認するよう指示し、報告を受けた
上で、必要があれば契約変更等の対応を行うこと。
⑥ 医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えばBYOD(Bring
9.医療情報システムに用い
る機器等の資産管理
Your Own Device:個人保有の情報機器)の利用による端末)について、利用を許諾する条件
や、利用範囲、管理方法等に関する内容を規程等に含めること。また、これに基づいて利用され
る情報機器等について、利用の許諾状況も含めて、医療機関等が管理する情報機器同様に、台帳
8.利用機器・サービスに対
⑧
BYOD の実施に関する規程に基づいて、具体的な手順と設定を行
する安全管理措置
い、企画管理者に報告すること。
8.利用機器・サービスに対
⑨ BYOD であっても、医療機関等が管理する情報機器等と同等の対策
する安全管理措置
が講じられるよう、手順を作成すること。
⑦ 企画管理者と協働して、医療情報システムで用いる情報機器等やソフ
管理等を行うこと。
9.医療情報システムに用い
⑦ 医療情報システムで利用する情報機器等の資産管理状況を把握した上で、経営層に報告し、
8.利用機器・サービスに対
る機器等の資産管理
承認を得ること。
する安全管理措置
13.医療情報システムの利用
① リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権限に関す
者に関する認証等及び権限
る規程を整備し、管理すること。
13.医療情報システムの利用
② 医療情報システムで利用する認証方法が安全なものとなるよう、担当者に対して、リスク評
14.認証・認可に関する安
者に関する認証等及び権限
価に基づいて適切な方法を採用することを指示し、その報告を受けること。
全管理措置
14.認証・認可に関する安
全管理措置
トウェアの棚卸を行うための手順を策定し、定期的に実施すること。棚卸
の際には、情報機器等の滅失状況なども併せて確認すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
② 利用者の識別・認証にユーザID とパスワードの組み合わせを用いる
場合、それらの情報を、本人しか知り得ない状態に保つよう対策を実施す
ること。
③ 利用者の識別・認証にIC カード等のセキュリティ・デバイスを用い
14.認証・認可に関する安
る場合、IC カードの破損等、セキュリティ・デバイスが利用できないと
全管理措置
きを想定し、緊急時の代替手段による一時的なアクセスルールを用意する
こと。。
⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働し
14.認証・認可に関する安
ていることが想定される医療情報システムを、今後、新規導入又は更新に
全管理措置
際しては、二要素認証を採用するシステムの導入、又はこれに相当する対
応を行うこと。
⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施する
こと。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワー
ドに制限を設けること。
-
医療情報システム内のパスワードファイルは、パスワードを暗号化
(不可逆変換によること)した状態で、適切な手法で管理・運用するこ
と。
14.認証・認可に関する安
全管理措置
- 利用者のパスワードの失念や、パスワード漏洩のおそれなどにより、
医療情報システムのシステム運用担当者がパスワードを変更する場合に
は、利用者の本人確認を行うとともに、どのような手法で本人確認を行っ
たのかを台帳に記載(本人確認を行った書類等のコピーを
添付)すること。また、変更したパスワードは、利用者本人以外が知り得
ない方法で通知すること。なお、パスワード漏洩のおそれがある場合に
は、速やかにパスワードの変更を含む適切な処置を講じること。
- 医療情報システムのシステム運用担当者であっても、利用者のパス
ワードを推定できないようにすること(設定ファイルにパスワードが記載
される等があってはならない)。
③ 医療機関等の内部における利用者については、医療機関等に所属することが前提となるよう
13.医療情報システムの利用
管理すること。所属に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対し
14.認証・認可に関する安
者に関する認証等及び権限
て、人事等の情報と整合性をとって利用者のID 等を付与する等の必要な手順を作成するよう指示
全管理措置
すること。
④ 医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じたもの
13.医療情報システムの利用
者に関する認証等及び権限
とっていることが前提となるよう管理すること。資格や権限に関する実態を認証の仕組みにおい
て適切に反映できるよう、担当者に対して、利用者が所属する部署等からの申請を踏まえて権限
を付与し、その結果について申請部署の管理者から確認を得る等の必要な手順を作成するよう指
14.認証・認可に関する安
全管理措置
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
示すること。
④ アクセス管理に関する規程に基づいてアクセス権限を付与する場合、
14.認証・認可に関する安
全管理措置
権限の実態が反映できるよう、システム運用担当者に対して、利用者が所
属する部署等からの申請などを踏まえて権限を付与し、その結果について
申請部署の管理者からの確認を得る等の手順を作成するよう指示するこ
と。
⑤ 医療機関等の外部の利用者について、医療情報システムの利用におけるアクセス権限とアク
13.医療情報システムの利用
セス状況を管理すること。医療情報システムの利用用途とアクセス範囲、アクセス権限等をリス
14.認証・認可に関する安
者に関する認証等及び権限
ク評価に基づいて整理した上で、その内容に応じてID やアクセス権限を付与すること。その具体
全管理措置
的な手順については、担当者に作成を指示すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
④ アクセス管理に関する規程に基づいてアクセス権限を付与する場合、
14.認証・認可に関する安
全管理措置
権限の実態が反映できるよう、システム運用担当者に対して、利用者が所
属する部署等からの申請などを踏まえて権限を付与し、その結果について
申請部署の管理者からの確認を得る等の手順を作成するよう指示するこ
と。
⑥ 医療情報システムの管理権限や、医療情報システム、情報機器等で用いるID 等の安全管理を
13.医療情報システムの利用
者に関する認証等及び権限
行うこと。管理権限については、担当者に対して、医療情報システムにおいて利用される管理権
限の種類とそのID、利用が認められている者等を管理して一覧化するよう指示すること。システ
ム等で用いるID 等については、担当者に安全性の確認を指示し、必要に応じて認証に関する情報
14.認証・認可に関する安
全管理措置
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
の変更等を指示すること。
14.認証・認可に関する安
全管理措置
13.医療情報システムの利用
者に関する認証等及び権限
⑦ 医療情報システムで利用するID 等についての棚卸を定期的に行い、不要なものについては削
除すること。棚卸については、担当者に具体的な手順等の策定を指示すること。また、棚卸結果
を経営層に報告し、承認を得ること。
14.認証・認可に関する安
全管理措置
14.認証・認可に関する安
全管理措置
⑦ 医療情報システムにおいて用いるIDについて、台帳管理等を行うほ
か、定期的に棚卸を行い、不要なものは適宜削除すること等を含む手順を
作成すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
⑦ 医療情報システムにおいて用いるIDについて、台帳管理等を行うほ
か、定期的に棚卸を行い、不要なものは適宜削除すること等を含む手順を
作成すること。
⑧ 電子カルテにおける記録の確定に関して、以下の事項を規程等に含めること。
13.医療情報システムの利用
者に関する認証等及び権限
- 入力者及び確定者の識別・認証
- 記録の確定手順、識別情報の記録の保存
- 更新履歴の保存
14.認証・認可に関する安
全管理措置
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
- 代行入力を実施する場合、代行入力を認める業務、代行が許可される依頼者と実施者
⑧ 電子カルテシステムにおける記録の確定手順の確立と、識別情報の記
録について、以下の機能があることを確認すること。
- 電子カルテシステム等でPC 等の汎用入力端末により記録が作成され
る場合
a 診療録等の作成・保存を行おうとする場合、確定された情報を登録で
きる仕組みをシス
テムに備えること。その際、登録する情報に、入力者及び確定者の氏名等
の識別情報、
信頼できる時刻源を用いた作成日時を含めること。
b 「記録の確定」を行うに当たり、内容を十分に確認できるようにする
14.認証・認可に関する安
こと。
全管理措置
c
「記録の確定」は、確定を実施できる権限を持った確定者に実施させ
ること。
d 確定された記録に対する故意の虚偽入力、書換え、消去及び混同を防
止するための対策を実施するとともに、原状回復のための手順を検討して
おくこと。
e 一定時間経過後に記録が自動確定するような運用の場合は、入力者及
び確定者を特定す
る明確なルールを運用管理規程に定めること。
f 確定者が何らかの理由で確定操作ができない場合における記録の確定
の責任の所在を明確にすること。例えば、医療情報システム安全管理責任
者が記録の確定を実施する等のルールを運用管理規程に定めること。
9.医療情報システムに用い
る機器等の資産管理
あることを定期的に確認すること。確認にあたっては、システム運用担当者に対してサービスに
おける状況(サービスの機密性、クラウドサービス等における可用性、システム関連事業者が示
す規約内容の変更状況等)が適切なものとなっていることを確認するよう指示し、報告を受けた
上で、必要があれば契約変更等の対応を行うこと。
⑥ 医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えばBYOD(Bring
9.医療情報システムに用い
る機器等の資産管理
Your Own Device:個人保有の情報機器)の利用による端末)について、利用を許諾する条件
や、利用範囲、管理方法等に関する内容を規程等に含めること。また、これに基づいて利用され
る情報機器等について、利用の許諾状況も含めて、医療機関等が管理する情報機器同様に、台帳
8.利用機器・サービスに対
⑧
BYOD の実施に関する規程に基づいて、具体的な手順と設定を行
する安全管理措置
い、企画管理者に報告すること。
8.利用機器・サービスに対
⑨ BYOD であっても、医療機関等が管理する情報機器等と同等の対策
する安全管理措置
が講じられるよう、手順を作成すること。
⑦ 企画管理者と協働して、医療情報システムで用いる情報機器等やソフ
管理等を行うこと。
9.医療情報システムに用い
⑦ 医療情報システムで利用する情報機器等の資産管理状況を把握した上で、経営層に報告し、
8.利用機器・サービスに対
る機器等の資産管理
承認を得ること。
する安全管理措置
13.医療情報システムの利用
① リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権限に関す
者に関する認証等及び権限
る規程を整備し、管理すること。
13.医療情報システムの利用
② 医療情報システムで利用する認証方法が安全なものとなるよう、担当者に対して、リスク評
14.認証・認可に関する安
者に関する認証等及び権限
価に基づいて適切な方法を採用することを指示し、その報告を受けること。
全管理措置
14.認証・認可に関する安
全管理措置
トウェアの棚卸を行うための手順を策定し、定期的に実施すること。棚卸
の際には、情報機器等の滅失状況なども併せて確認すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
② 利用者の識別・認証にユーザID とパスワードの組み合わせを用いる
場合、それらの情報を、本人しか知り得ない状態に保つよう対策を実施す
ること。
③ 利用者の識別・認証にIC カード等のセキュリティ・デバイスを用い
14.認証・認可に関する安
る場合、IC カードの破損等、セキュリティ・デバイスが利用できないと
全管理措置
きを想定し、緊急時の代替手段による一時的なアクセスルールを用意する
こと。。
⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働し
14.認証・認可に関する安
ていることが想定される医療情報システムを、今後、新規導入又は更新に
全管理措置
際しては、二要素認証を採用するシステムの導入、又はこれに相当する対
応を行うこと。
⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施する
こと。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワー
ドに制限を設けること。
-
医療情報システム内のパスワードファイルは、パスワードを暗号化
(不可逆変換によること)した状態で、適切な手法で管理・運用するこ
と。
14.認証・認可に関する安
全管理措置
- 利用者のパスワードの失念や、パスワード漏洩のおそれなどにより、
医療情報システムのシステム運用担当者がパスワードを変更する場合に
は、利用者の本人確認を行うとともに、どのような手法で本人確認を行っ
たのかを台帳に記載(本人確認を行った書類等のコピーを
添付)すること。また、変更したパスワードは、利用者本人以外が知り得
ない方法で通知すること。なお、パスワード漏洩のおそれがある場合に
は、速やかにパスワードの変更を含む適切な処置を講じること。
- 医療情報システムのシステム運用担当者であっても、利用者のパス
ワードを推定できないようにすること(設定ファイルにパスワードが記載
される等があってはならない)。
③ 医療機関等の内部における利用者については、医療機関等に所属することが前提となるよう
13.医療情報システムの利用
管理すること。所属に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対し
14.認証・認可に関する安
者に関する認証等及び権限
て、人事等の情報と整合性をとって利用者のID 等を付与する等の必要な手順を作成するよう指示
全管理措置
すること。
④ 医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じたもの
13.医療情報システムの利用
者に関する認証等及び権限
とっていることが前提となるよう管理すること。資格や権限に関する実態を認証の仕組みにおい
て適切に反映できるよう、担当者に対して、利用者が所属する部署等からの申請を踏まえて権限
を付与し、その結果について申請部署の管理者から確認を得る等の必要な手順を作成するよう指
14.認証・認可に関する安
全管理措置
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
示すること。
④ アクセス管理に関する規程に基づいてアクセス権限を付与する場合、
14.認証・認可に関する安
全管理措置
権限の実態が反映できるよう、システム運用担当者に対して、利用者が所
属する部署等からの申請などを踏まえて権限を付与し、その結果について
申請部署の管理者からの確認を得る等の手順を作成するよう指示するこ
と。
⑤ 医療機関等の外部の利用者について、医療情報システムの利用におけるアクセス権限とアク
13.医療情報システムの利用
セス状況を管理すること。医療情報システムの利用用途とアクセス範囲、アクセス権限等をリス
14.認証・認可に関する安
者に関する認証等及び権限
ク評価に基づいて整理した上で、その内容に応じてID やアクセス権限を付与すること。その具体
全管理措置
的な手順については、担当者に作成を指示すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
④ アクセス管理に関する規程に基づいてアクセス権限を付与する場合、
14.認証・認可に関する安
全管理措置
権限の実態が反映できるよう、システム運用担当者に対して、利用者が所
属する部署等からの申請などを踏まえて権限を付与し、その結果について
申請部署の管理者からの確認を得る等の手順を作成するよう指示するこ
と。
⑥ 医療情報システムの管理権限や、医療情報システム、情報機器等で用いるID 等の安全管理を
13.医療情報システムの利用
者に関する認証等及び権限
行うこと。管理権限については、担当者に対して、医療情報システムにおいて利用される管理権
限の種類とそのID、利用が認められている者等を管理して一覧化するよう指示すること。システ
ム等で用いるID 等については、担当者に安全性の確認を指示し、必要に応じて認証に関する情報
14.認証・認可に関する安
全管理措置
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
の変更等を指示すること。
14.認証・認可に関する安
全管理措置
13.医療情報システムの利用
者に関する認証等及び権限
⑦ 医療情報システムで利用するID 等についての棚卸を定期的に行い、不要なものについては削
除すること。棚卸については、担当者に具体的な手順等の策定を指示すること。また、棚卸結果
を経営層に報告し、承認を得ること。
14.認証・認可に関する安
全管理措置
14.認証・認可に関する安
全管理措置
⑦ 医療情報システムにおいて用いるIDについて、台帳管理等を行うほ
か、定期的に棚卸を行い、不要なものは適宜削除すること等を含む手順を
作成すること。
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
⑦ 医療情報システムにおいて用いるIDについて、台帳管理等を行うほ
か、定期的に棚卸を行い、不要なものは適宜削除すること等を含む手順を
作成すること。
⑧ 電子カルテにおける記録の確定に関して、以下の事項を規程等に含めること。
13.医療情報システムの利用
者に関する認証等及び権限
- 入力者及び確定者の識別・認証
- 記録の確定手順、識別情報の記録の保存
- 更新履歴の保存
14.認証・認可に関する安
全管理措置
① 医療機関等で用いる医療情報システムへのアクセスにおいて、利用者
の識別・認証を行い、利用者認証方法に関する手順等に関して、規則、マ
ニュアル等で文書化すること。
- 代行入力を実施する場合、代行入力を認める業務、代行が許可される依頼者と実施者
⑧ 電子カルテシステムにおける記録の確定手順の確立と、識別情報の記
録について、以下の機能があることを確認すること。
- 電子カルテシステム等でPC 等の汎用入力端末により記録が作成され
る場合
a 診療録等の作成・保存を行おうとする場合、確定された情報を登録で
きる仕組みをシス
テムに備えること。その際、登録する情報に、入力者及び確定者の氏名等
の識別情報、
信頼できる時刻源を用いた作成日時を含めること。
b 「記録の確定」を行うに当たり、内容を十分に確認できるようにする
14.認証・認可に関する安
こと。
全管理措置
c
「記録の確定」は、確定を実施できる権限を持った確定者に実施させ
ること。
d 確定された記録に対する故意の虚偽入力、書換え、消去及び混同を防
止するための対策を実施するとともに、原状回復のための手順を検討して
おくこと。
e 一定時間経過後に記録が自動確定するような運用の場合は、入力者及
び確定者を特定す
る明確なルールを運用管理規程に定めること。
f 確定者が何らかの理由で確定操作ができない場合における記録の確定
の責任の所在を明確にすること。例えば、医療情報システム安全管理責任
者が記録の確定を実施する等のルールを運用管理規程に定めること。