よむ、つかう、まなぶ。
【参考資料1-1】医療情報システムの安全管理に関するガイドライン第6.0版Q&A(案) (43 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
企8章第⑨条、シス7章⑧条、⑭条
企 Q-37 患者等に診療情報等を提供する場合、どのような留意事項があるか。
A
まず原則として、医療機関等が患者等との同意の上で、自ら実施して患者等に診療情
報等を提供する場合であることが想定されます。診療録及び診療諸記録の外部保存を受
託する事業者が独自に診療情報等の提供を行うことはあってはなりません。
ネットワークを介して患者等に診療情報等を提供する場合、第一に意識しておかなけ
ればならないことは、診療情報等を閲覧する患者等のセキュリティ知識と環境に大きな
差があるということです。また、一旦診療情報等を提供すれば、その情報保護の責任は医
療機関等ではなく、患者等にも発生します。しかし、診療情報等を提供する医療機関等が
患者等に十分に患者がセキュリティ対策の必要性や管理の責任を負うこと等の理解すべ
き事項を説明し、その提供の目的を明確にする責任があります。また、説明が不足してい
る中で万一情報漏えい等の事故が起きた場合は、その責任を負う可能性があることを認
識しなくてはなりません。
提供に用いるネットワークとしては、一般的にはオープンなネットワークを介するこ
とが現実的です。この場合、盗聴等の危険性は極めて高くなります。そのため利活用と安
全確保の両面を考慮したセキュリティ対策が必須でとなります。特に、患者等に情報を
公開しているコンピュータシステムを通じて、医療機関等の内部のシステムに不正な侵
入等が起こらないように、例えば、システムやアプリケーションを切り分けしておく必
要があります。そのため、ファイアウォール、アクセス監視、通信の TLS 暗号化、PKI
個人認証等の技術を用いるなどが求められます。
また、患者の委託先に診療情報等を送付する(クラウドサービスへのアップロード含む)
際、外部の事業者に対して送付するよう、患者から依頼を受ける場合も想定されます。こ
の場合、患者の委託先への送付であることから、第三者提供には当たらないものの、診療
情報等の流出などに対する留意が求められる。送信先/アップロード先についての安全
性等について疑義が生じた場合に患者からの依頼を断るなどのほか、送信等を行うに当
たっては、患者との関係で責任分界についても取り決めておくことが求められます。
企8章⑫条
企 Q-38 「確実に情報の破棄されたことを確認すること」とは立ち会いを前提とし
ているのか。
A
立ち会いを前提とはしていません。破棄を行った証票を受け取る等、
「7.安全管理の
ための人的管理(職員管理、委託先事業者管理、教育・訓練、委託先事業者選定・契約)」
の内容を遵守し、確実に確認していただければ問題ありません。
42
企 Q-37 患者等に診療情報等を提供する場合、どのような留意事項があるか。
A
まず原則として、医療機関等が患者等との同意の上で、自ら実施して患者等に診療情
報等を提供する場合であることが想定されます。診療録及び診療諸記録の外部保存を受
託する事業者が独自に診療情報等の提供を行うことはあってはなりません。
ネットワークを介して患者等に診療情報等を提供する場合、第一に意識しておかなけ
ればならないことは、診療情報等を閲覧する患者等のセキュリティ知識と環境に大きな
差があるということです。また、一旦診療情報等を提供すれば、その情報保護の責任は医
療機関等ではなく、患者等にも発生します。しかし、診療情報等を提供する医療機関等が
患者等に十分に患者がセキュリティ対策の必要性や管理の責任を負うこと等の理解すべ
き事項を説明し、その提供の目的を明確にする責任があります。また、説明が不足してい
る中で万一情報漏えい等の事故が起きた場合は、その責任を負う可能性があることを認
識しなくてはなりません。
提供に用いるネットワークとしては、一般的にはオープンなネットワークを介するこ
とが現実的です。この場合、盗聴等の危険性は極めて高くなります。そのため利活用と安
全確保の両面を考慮したセキュリティ対策が必須でとなります。特に、患者等に情報を
公開しているコンピュータシステムを通じて、医療機関等の内部のシステムに不正な侵
入等が起こらないように、例えば、システムやアプリケーションを切り分けしておく必
要があります。そのため、ファイアウォール、アクセス監視、通信の TLS 暗号化、PKI
個人認証等の技術を用いるなどが求められます。
また、患者の委託先に診療情報等を送付する(クラウドサービスへのアップロード含む)
際、外部の事業者に対して送付するよう、患者から依頼を受ける場合も想定されます。こ
の場合、患者の委託先への送付であることから、第三者提供には当たらないものの、診療
情報等の流出などに対する留意が求められる。送信先/アップロード先についての安全
性等について疑義が生じた場合に患者からの依頼を断るなどのほか、送信等を行うに当
たっては、患者との関係で責任分界についても取り決めておくことが求められます。
企8章⑫条
企 Q-38 「確実に情報の破棄されたことを確認すること」とは立ち会いを前提とし
ているのか。
A
立ち会いを前提とはしていません。破棄を行った証票を受け取る等、
「7.安全管理の
ための人的管理(職員管理、委託先事業者管理、教育・訓練、委託先事業者選定・契約)」
の内容を遵守し、確実に確認していただければ問題ありません。
42