よむ、つかう、まなぶ。
【参考資料1-1】医療情報システムの安全管理に関するガイドライン第6.0版Q&A(案) (42 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
一方、医療機関等の管理外のパソコン等の情報機器で、可搬媒体に格納して持ち出し
た情報を取り扱う時に、不正ソフトウェアの混入や不適切な設定のされたソフトウェア
やサービスの利用、外部からの不正アクセスによって情報が漏えいすることも考えられ
ます。この場合、情報機器が基本的には個人の所有物となりますが、そのような機器等の
利用や情報の取扱いについては医療機関等の企画管理者の責任において把握する必要が
あります。
スマートフォンを利用する際の安全対策については、
「スマートフォン・クラウドセキ
ュリティ研究会最終報告~スマートフォンを安心して利用するために実施されるべき方
策~」(総務省;平成 24 年 6 月)が参考になります。
企8章第⑤条
企 Q-36 「リスク評価に基づいて、医療情報の持ち出しに関する方針や、持ち出す
情報、持ち出し方法に関する手順や管理方法を情報管理に関する規程で定
める。」とあるが、具体的にどのような基準で判断をすればよいか。
A
当該情報機器が医療情報を記録しているか否かで取扱いが異なります。
医療情報を記録している機器や媒体であれば、持ち出しには細心の注意が必要です。
このような機器や媒体は、原則として持ち出すべきではないという基準にすべきです。
その上で、やむを得ず持ち出す際には、情報機器を持ち出す必要性や漏えいのリスクを
総合的に判断した上で、運用管理規程等に機器持ち出しの許諾ルールと判断基準を策定
することが求められます。また、持ち出す機器については、システム運用編「7.情報管
理(管理・持出し・破棄等)」に示す適切な防護措置を施すことが必要です。
リモートサービス等により医療機関等の情報にアクセスできる機器の場合、医療情報
を機器に記録していなくても、機器そのものの盗難や置き忘れが情報漏えいのリスクに
なります。このような場合、機器に対する防護措置に加え、リモートサービスそのもので
の防護措置が必要であり、システム運用編「7.情報管理(管理・持出し・破棄等)」に
示された安全管理対策を実施していることが条件になります。
上記以外の情報機器については、機密情報の有無やその他の要件を考慮し、医療機関
等における管理ルールを策定してください。
41
た情報を取り扱う時に、不正ソフトウェアの混入や不適切な設定のされたソフトウェア
やサービスの利用、外部からの不正アクセスによって情報が漏えいすることも考えられ
ます。この場合、情報機器が基本的には個人の所有物となりますが、そのような機器等の
利用や情報の取扱いについては医療機関等の企画管理者の責任において把握する必要が
あります。
スマートフォンを利用する際の安全対策については、
「スマートフォン・クラウドセキ
ュリティ研究会最終報告~スマートフォンを安心して利用するために実施されるべき方
策~」(総務省;平成 24 年 6 月)が参考になります。
企8章第⑤条
企 Q-36 「リスク評価に基づいて、医療情報の持ち出しに関する方針や、持ち出す
情報、持ち出し方法に関する手順や管理方法を情報管理に関する規程で定
める。」とあるが、具体的にどのような基準で判断をすればよいか。
A
当該情報機器が医療情報を記録しているか否かで取扱いが異なります。
医療情報を記録している機器や媒体であれば、持ち出しには細心の注意が必要です。
このような機器や媒体は、原則として持ち出すべきではないという基準にすべきです。
その上で、やむを得ず持ち出す際には、情報機器を持ち出す必要性や漏えいのリスクを
総合的に判断した上で、運用管理規程等に機器持ち出しの許諾ルールと判断基準を策定
することが求められます。また、持ち出す機器については、システム運用編「7.情報管
理(管理・持出し・破棄等)」に示す適切な防護措置を施すことが必要です。
リモートサービス等により医療機関等の情報にアクセスできる機器の場合、医療情報
を機器に記録していなくても、機器そのものの盗難や置き忘れが情報漏えいのリスクに
なります。このような場合、機器に対する防護措置に加え、リモートサービスそのもので
の防護措置が必要であり、システム運用編「7.情報管理(管理・持出し・破棄等)」に
示された安全管理対策を実施していることが条件になります。
上記以外の情報機器については、機密情報の有無やその他の要件を考慮し、医療機関
等における管理ルールを策定してください。
41