よむ、つかう、まなぶ。
【参考資料1-1】医療情報システムの安全管理に関するガイドライン第6.0版Q&A(案) (37 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
企7章第⑥条
企Q-26 外部保存を委託する事業者の選定において、どのような留意事項があるか。
A
法令上の保存義務を有する医療機関等は、システム堅牢性の高い安全な情報の保存場
所を選定する必要があります。
また、総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提
供事業者における安全管理ガイドライン」の要求事項も満たす必要があります。
なお、選定にあたっては、外部委託事業者のセキュリティ対策状況を確認することが
必要です。例えば、
「医療情報を取り扱う情報システム・サービスの提供事業者における
安全管理ガイドライン」における「サービス仕様適合開示書」や「『製造業者/サービス事
業者によるによる医療情報セキュリティ開示書』ガイド」によって、外部保存を受託する
事業者におけるセキュリティ対応状況の概要を確認することができるため、サービスの
性質等、必要に応じてその提供を求めることなどが有効です。
外部保存されている医療情報は、保存される情報やその目的に応じて厚生労働省等、
所管する行政機関の調査等に供するため、提出等を行う必要が生じうることから、これ
を円滑に実現できることが求められます。そのため外部保存の受託事業者の選定にあた
っては、国内法の適用があることや、逆にこれを阻害するような国外法の適用がないこ
となどを確認し、適切に判断した上で選定することが求められます。
企7章第⑥条
企Q-27 ISMS 認証を取得している事業者に対して、根拠資料を求めることはできる
のか。
A
例えば、ISMS 認証を取得している事業者の選定に際して、選定対象となる事業者が管
理しているリスクに応じて、適合性を示す資料の提供を求めてください。なお、これら
の認証は、医療機関に限らず、個人情報の取扱いに関し、適切な体制を整備しているこ
とを示すものであり、あくまで事業者として最低限の適格性を医療機関等へ示す手段と
して捉えています。
企7章第⑥条
企Q-28 7.安全管理のための人的管理⑥gの「適切な外部保存に求められる技術及
び運用管理能力の有無」とは、
「政府情報システムのためのセキュリティ評価
制度(ISMAP)」や「JASA クラウドセキュリティ推進協議 会 CS ゴール
ドマーク」等で公開されたサービスリストやマーク取得サービス一覧などに
掲載されていることを確認することでよいか。
A
サービスリストやマーク取得サービス一覧に掲載されたクラウドサービス であるこ
とだけをもって適切な外部保存に求められる技術及び運用管理能力 があるとはいえず、
36
企Q-26 外部保存を委託する事業者の選定において、どのような留意事項があるか。
A
法令上の保存義務を有する医療機関等は、システム堅牢性の高い安全な情報の保存場
所を選定する必要があります。
また、総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提
供事業者における安全管理ガイドライン」の要求事項も満たす必要があります。
なお、選定にあたっては、外部委託事業者のセキュリティ対策状況を確認することが
必要です。例えば、
「医療情報を取り扱う情報システム・サービスの提供事業者における
安全管理ガイドライン」における「サービス仕様適合開示書」や「『製造業者/サービス事
業者によるによる医療情報セキュリティ開示書』ガイド」によって、外部保存を受託する
事業者におけるセキュリティ対応状況の概要を確認することができるため、サービスの
性質等、必要に応じてその提供を求めることなどが有効です。
外部保存されている医療情報は、保存される情報やその目的に応じて厚生労働省等、
所管する行政機関の調査等に供するため、提出等を行う必要が生じうることから、これ
を円滑に実現できることが求められます。そのため外部保存の受託事業者の選定にあた
っては、国内法の適用があることや、逆にこれを阻害するような国外法の適用がないこ
となどを確認し、適切に判断した上で選定することが求められます。
企7章第⑥条
企Q-27 ISMS 認証を取得している事業者に対して、根拠資料を求めることはできる
のか。
A
例えば、ISMS 認証を取得している事業者の選定に際して、選定対象となる事業者が管
理しているリスクに応じて、適合性を示す資料の提供を求めてください。なお、これら
の認証は、医療機関に限らず、個人情報の取扱いに関し、適切な体制を整備しているこ
とを示すものであり、あくまで事業者として最低限の適格性を医療機関等へ示す手段と
して捉えています。
企7章第⑥条
企Q-28 7.安全管理のための人的管理⑥gの「適切な外部保存に求められる技術及
び運用管理能力の有無」とは、
「政府情報システムのためのセキュリティ評価
制度(ISMAP)」や「JASA クラウドセキュリティ推進協議 会 CS ゴール
ドマーク」等で公開されたサービスリストやマーク取得サービス一覧などに
掲載されていることを確認することでよいか。
A
サービスリストやマーク取得サービス一覧に掲載されたクラウドサービス であるこ
とだけをもって適切な外部保存に求められる技術及び運用管理能力 があるとはいえず、
36