よむ、つかう、まなぶ。
【資料1-5】医療情報システムの安全管理に関するガイドライン第6.0版 システム運用編(案) (12 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
またクラウドサービスなどを利用する場合には、利用者側でも技術的な対応に関する設定等の役割
などを果たすことが求められる。このような役割分担については、「クラウドサービス提供・利用にお
ける適切な設定に関するガイドライン」
(総務省 令和 4 年 10 月 31 日)などでも示されている。シス
テム運用担当者は、このような資料を参考にして、事業者との技術的な役割分担についても調整する
ことが求められる。
3.3 医療機関等が負う責任に関する責任分界
3.3.1 通常時の運用における責任分界
通常時の運用における責任分界は、技術的な対応という点で見ると主に、運用責任や管理責任など
について取り決めることになる。情報システム・サービスが提供される際の医療情報システムの運用
が、本ガイドライン等に従っていることは、事業者でしか把握できない内容もあるため、システム運
用担当者は運用に関する実施報告などに関する情報の提出を事業者に求めて管理することが求められ
る。その際、事業者が再委託している場合には、再委託先における実施状況なども併せて報告を求め
る。
このようにシステム運用担当者は、委託する情報システム・サービス全般の管理を担う中で、具体
的なシステムの運用や管理などについては、事業者に役割を委ねることが求められる。
3.3.2 非常時の運用における責任分界
非常時の運用における責任分界は、技術的な対応という点で見ると主に、被害の拡大防止や原因究
明などシステム対応に関する内容のほか、外部への説明責任に関する支援などについて、取り決める
ことが求められる。
被害拡大防止や原因究明などに関しては、医療機関等側で把握できる運用に関する情報と、委託先
である事業者が管理するシステム運用上のデータ等の資料などを併せて検討することが求められるた
め、それぞれの役割の分担などを取り決めておくことが求められる。
特にサイバー攻撃による被害を受けた場合には、原因究明に際して専門的な知見が必要となり、こ
の場合の責任分担などは非常に重要である。
外部への説明責任についても、事業者でしか、技術的にもわからない部分が存在することがあるた
め、専門的な観点から適切な資料の準備と提供に関する内容も含めた、責任分担を行うことが求めら
れる。
3.4 提供される情報システム・サービスに応じた責任分界
3.4.1 事業者が提供するサービスの類型による責任分界
事業者が提供するサービス類型により、医療機関等が直接責任を管理できる範囲が異なる場合があ
る。
クラウドサービスの場合には、医療情報システムで利用する資源について SaaS(Software as a
Service)
、PaaS(Platform as a Service)
、IaaS(Infrastructure as a Service)などの類型で提供すること
がある。
-6-
などを果たすことが求められる。このような役割分担については、「クラウドサービス提供・利用にお
ける適切な設定に関するガイドライン」
(総務省 令和 4 年 10 月 31 日)などでも示されている。シス
テム運用担当者は、このような資料を参考にして、事業者との技術的な役割分担についても調整する
ことが求められる。
3.3 医療機関等が負う責任に関する責任分界
3.3.1 通常時の運用における責任分界
通常時の運用における責任分界は、技術的な対応という点で見ると主に、運用責任や管理責任など
について取り決めることになる。情報システム・サービスが提供される際の医療情報システムの運用
が、本ガイドライン等に従っていることは、事業者でしか把握できない内容もあるため、システム運
用担当者は運用に関する実施報告などに関する情報の提出を事業者に求めて管理することが求められ
る。その際、事業者が再委託している場合には、再委託先における実施状況なども併せて報告を求め
る。
このようにシステム運用担当者は、委託する情報システム・サービス全般の管理を担う中で、具体
的なシステムの運用や管理などについては、事業者に役割を委ねることが求められる。
3.3.2 非常時の運用における責任分界
非常時の運用における責任分界は、技術的な対応という点で見ると主に、被害の拡大防止や原因究
明などシステム対応に関する内容のほか、外部への説明責任に関する支援などについて、取り決める
ことが求められる。
被害拡大防止や原因究明などに関しては、医療機関等側で把握できる運用に関する情報と、委託先
である事業者が管理するシステム運用上のデータ等の資料などを併せて検討することが求められるた
め、それぞれの役割の分担などを取り決めておくことが求められる。
特にサイバー攻撃による被害を受けた場合には、原因究明に際して専門的な知見が必要となり、こ
の場合の責任分担などは非常に重要である。
外部への説明責任についても、事業者でしか、技術的にもわからない部分が存在することがあるた
め、専門的な観点から適切な資料の準備と提供に関する内容も含めた、責任分担を行うことが求めら
れる。
3.4 提供される情報システム・サービスに応じた責任分界
3.4.1 事業者が提供するサービスの類型による責任分界
事業者が提供するサービス類型により、医療機関等が直接責任を管理できる範囲が異なる場合があ
る。
クラウドサービスの場合には、医療情報システムで利用する資源について SaaS(Software as a
Service)
、PaaS(Platform as a Service)
、IaaS(Infrastructure as a Service)などの類型で提供すること
がある。
-6-