よむ、つかう、まなぶ。
【資料1-2】医療情報システムの安全管理に関するガイドライン第6.0版 概説編(案) (11 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
行うことができる文書等に記録された情報を電子媒体に保存する場合には、当該情報の見読性・真正性・
保存性が確保されている必要がある。
また、医療情報を含む文書であって署名を求めるものに対して、電子署名を施す場合には、電子署名
及び認証業務に関する法律(平成 12 年法律第 102 号)第 2 条に基づく電子署名を行うほか、本ガイド
ラインに基づき適切な措置を講じることが求められる。
4.4 医療情報システムに関する統制
医療情報システムの安全管理を行うためには、医療機関等内において、医療情報システムの運営や利
用に対する統制が行われていることが求められる。
内部統制としては、
・ 組織としての安全管理等に関する基本的な方針や計画の策定
・ 安全管理等に必要な組織・体制の整備
・ 組織における安全管理のルールとなる規程類の整備
・ 上記に基づく運用
等を実施することが求められる。
適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握
して必要な情報を経営層に報告し、経営層において医療機関等の組織全体の医療情報システムの安全性
を継続的に管理することが求められる。
また、医療情報システムの運営や利用に際しては、様々な医療情報システム・サービス事業者と協働
しながら安全管理措置を実施する場合が想定される。医療機関等においては、医療情報システムに求め
られる安全管理の水準に鑑み、本ガイドライン、総務省・経済産業省が定めている「医療情報を取り扱
う情報システム・サービスの提供事業者における安全管理ガイドライン」、その他の法令等に掲げる基
準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、双方の認
識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、当
該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが求められる。
加えて、当該事業者に対して、必要に応じて、
「医療情報を取り扱う情報システム・サービスの提供事
業者における安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められる。
4.5 リスク評価とリスク管理
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因
となる「脅威」を認識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、シス
テム障害などの環境要因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
また、これらの脅威によって生じる被害等が発生する可能性がリスクとして表される。
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提
供が停止するといった影響が生じることも考えられる。各医療機関等においては、自組織にとっての脅
威を特定し、そのリスクを評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻
撃、システム障害などについては、被害の影響がより大規模となる可能性が高いため、高度なリスク評
価を踏まえた対策が求められる。
-8-
保存性が確保されている必要がある。
また、医療情報を含む文書であって署名を求めるものに対して、電子署名を施す場合には、電子署名
及び認証業務に関する法律(平成 12 年法律第 102 号)第 2 条に基づく電子署名を行うほか、本ガイド
ラインに基づき適切な措置を講じることが求められる。
4.4 医療情報システムに関する統制
医療情報システムの安全管理を行うためには、医療機関等内において、医療情報システムの運営や利
用に対する統制が行われていることが求められる。
内部統制としては、
・ 組織としての安全管理等に関する基本的な方針や計画の策定
・ 安全管理等に必要な組織・体制の整備
・ 組織における安全管理のルールとなる規程類の整備
・ 上記に基づく運用
等を実施することが求められる。
適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握
して必要な情報を経営層に報告し、経営層において医療機関等の組織全体の医療情報システムの安全性
を継続的に管理することが求められる。
また、医療情報システムの運営や利用に際しては、様々な医療情報システム・サービス事業者と協働
しながら安全管理措置を実施する場合が想定される。医療機関等においては、医療情報システムに求め
られる安全管理の水準に鑑み、本ガイドライン、総務省・経済産業省が定めている「医療情報を取り扱
う情報システム・サービスの提供事業者における安全管理ガイドライン」、その他の法令等に掲げる基
準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、双方の認
識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、当
該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが求められる。
加えて、当該事業者に対して、必要に応じて、
「医療情報を取り扱う情報システム・サービスの提供事
業者における安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められる。
4.5 リスク評価とリスク管理
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因
となる「脅威」を認識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、シス
テム障害などの環境要因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
また、これらの脅威によって生じる被害等が発生する可能性がリスクとして表される。
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提
供が停止するといった影響が生じることも考えられる。各医療機関等においては、自組織にとっての脅
威を特定し、そのリスクを評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻
撃、システム障害などについては、被害の影響がより大規模となる可能性が高いため、高度なリスク評
価を踏まえた対策が求められる。
-8-