よむ、つかう、まなぶ。
【資料1-3】医療情報システムの安全管理に関するガイドライン第6.0版 経営管理編(案) (22 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.安全管理に必要な対策全般
4.1 必要な対策項目の概要
【遵守事項】
①
医療情報システムの安全管理に必要な対策項目(下表参照。)の概要を認識した上で、企画管理
者やシステム運用担当者に対して、それぞれの対策項目に係る具体的な方法について整理する旨
を指示し、それぞれの対策事項が対応できている旨を確認すること。
②
対応ができてない対策項目がある場合、その理由を確認し、対応の要否を判断の上、必要に応
じて対応を指示すること。
➢ 医療情報システムが情報セキュリティ上安全な状態を維持するために、企画管理者やシステム運用
担当者が実施する具体的な技術的安全管理対策の項目を下表に示す。
➢ 安全管理対策には運用管理に関する対策と技術的な対策の両方があるが、安全管理対策は運用的対
策と技術的対策の両面でなされて初めて有効なものとなる。技術的対策には複数の選択肢があるこ
とが多いため、採用した技術的対策に相応した運用的な対策を実施していただきたい。
表4-1 技術的な対策(参照:システム運用編 6.安全管理を実現するための技術的対策の体系)
クライアント側
システム利用者に近いクライアント側において生じうるリスクに対する対策項目
・情報の持出し・管理・破棄等に関する安全管理措置
・利用機器・サービスに対する安全管理措置
サーバ側
システム利用者によるクライアント側での医療情報の利用を支える基幹または中枢
の情報システム・サービスに関するリスクへの対策項目
・ソフトウェア・サービスに対する要求事項
・システム関連事業者による保守対応等に対する安全管理措置
・事業者選定と管理
・システム運用管理(通常時・非常時等)
インフラ
医療機関等におけるクライアント側やサーバ側を支えるインフラサービス(ネット
ワーク、サーバルーム、媒体)に関するリスクへの対策項目
・物理的安全管理措置(サーバルーム等、バックアップ)
・ネットワークに関する安全管理措置
・インフラ運用管理(通常時・非常時等)
セキュリティ
クライアント側、サーバ側、インフラ等、医療機関等で医療情報システムを利用する
際に、共通して求められるセキュリティの観点で必要な対策項目
・認証・認可に関する安全管理措置
・電子署名、タイムスタンプ
・証跡のレビュー、システム監査
・外部からの攻撃に対する安全管理措置
- 19 -
4.1 必要な対策項目の概要
【遵守事項】
①
医療情報システムの安全管理に必要な対策項目(下表参照。)の概要を認識した上で、企画管理
者やシステム運用担当者に対して、それぞれの対策項目に係る具体的な方法について整理する旨
を指示し、それぞれの対策事項が対応できている旨を確認すること。
②
対応ができてない対策項目がある場合、その理由を確認し、対応の要否を判断の上、必要に応
じて対応を指示すること。
➢ 医療情報システムが情報セキュリティ上安全な状態を維持するために、企画管理者やシステム運用
担当者が実施する具体的な技術的安全管理対策の項目を下表に示す。
➢ 安全管理対策には運用管理に関する対策と技術的な対策の両方があるが、安全管理対策は運用的対
策と技術的対策の両面でなされて初めて有効なものとなる。技術的対策には複数の選択肢があるこ
とが多いため、採用した技術的対策に相応した運用的な対策を実施していただきたい。
表4-1 技術的な対策(参照:システム運用編 6.安全管理を実現するための技術的対策の体系)
クライアント側
システム利用者に近いクライアント側において生じうるリスクに対する対策項目
・情報の持出し・管理・破棄等に関する安全管理措置
・利用機器・サービスに対する安全管理措置
サーバ側
システム利用者によるクライアント側での医療情報の利用を支える基幹または中枢
の情報システム・サービスに関するリスクへの対策項目
・ソフトウェア・サービスに対する要求事項
・システム関連事業者による保守対応等に対する安全管理措置
・事業者選定と管理
・システム運用管理(通常時・非常時等)
インフラ
医療機関等におけるクライアント側やサーバ側を支えるインフラサービス(ネット
ワーク、サーバルーム、媒体)に関するリスクへの対策項目
・物理的安全管理措置(サーバルーム等、バックアップ)
・ネットワークに関する安全管理措置
・インフラ運用管理(通常時・非常時等)
セキュリティ
クライアント側、サーバ側、インフラ等、医療機関等で医療情報システムを利用する
際に、共通して求められるセキュリティの観点で必要な対策項目
・認証・認可に関する安全管理措置
・電子署名、タイムスタンプ
・証跡のレビュー、システム監査
・外部からの攻撃に対する安全管理措置
- 19 -