よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第6.0版[特集] 小規模医療機関等向けガイダンス(案) (10 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
そのため、統制の効いた体制づくりとして、個々の職員やシステム関連事業者の役割分担を明確にす
ることが求められます。例えば、
・医療情報システムが利用できる機器の施錠管理を誰が行うのか
・医療情報システムに異常が生じた場合に誰がどのような連絡体制で対応するのか
・職員の情報セキュリティなどに関する教育や訓練の担当は誰がどのように行うのか 等
役割を明確にし、遂行した上で、病院長など経営層が管理できるようにすることが求められます。
なお、技術的な対応などは、医療情報システム・サービス提供事業者に委ねることも考えられるため、
体制づくりに際してこうした事業者も組み込むことは重要です。
様々な医療情報システム・サービス事業者と協働しながら、医療情報システムの運営や利用をする場
合、医療機関等においては、医療情報システムに求められる安全管理の水準に鑑み、安全管理ガイドラ
インに加えて、総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドライン」、その他の法令等に掲げる基準を満たした医療情報システム・
サービス事業者を、例えば、総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サ
ービスの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」や日本画像
医療システム工業会(JIRA)の工業会規格(JESRA:Japanese Engineering Standards of Radiological
Apparatus)及び保健医療福祉情報システム工業会(JAHIS)の JAHIS 標準となっている「
『製造業者/
サービス事業者による医療情報セキュリティ開示書(略称:MDS/SDS:Manufacturer / Service Provider
Disclosure Statement for Medical Information Security)
』ガイド」で示されているチェックリスト等を
参考に、当該事業者から情報提供していただく等をして選定し、当該事業者との契約等において、双方
の認識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、
当該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが必要で、当
該事業者に対して、必要に応じて、「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められます。
3.3.2 設計
リスク分析・評価、そして、リスク管理方針の決定を踏まえ、医療情報システムの安全管理に関する
情報セキュリティ方針を定め、具体的な情報セキュリティ対策を整備・実装する、医療情報システムの
安全管理における設計を行います。
情報セキュリティ対策の整備に当たっては、運用ルールを定め、規程類を整備しますが、適宜、自医
療機関等と同規模、同様の医療サービス提供形態、同じ医療情報システム・サービスを利用しているな
どの条件に適合する他の医療機関等の運用ルールや規程類を参考にして、自医療機関等の実態と照らし
合わせて策定することも効率的で効果的な進め方と考えられます。
-8-
ることが求められます。例えば、
・医療情報システムが利用できる機器の施錠管理を誰が行うのか
・医療情報システムに異常が生じた場合に誰がどのような連絡体制で対応するのか
・職員の情報セキュリティなどに関する教育や訓練の担当は誰がどのように行うのか 等
役割を明確にし、遂行した上で、病院長など経営層が管理できるようにすることが求められます。
なお、技術的な対応などは、医療情報システム・サービス提供事業者に委ねることも考えられるため、
体制づくりに際してこうした事業者も組み込むことは重要です。
様々な医療情報システム・サービス事業者と協働しながら、医療情報システムの運営や利用をする場
合、医療機関等においては、医療情報システムに求められる安全管理の水準に鑑み、安全管理ガイドラ
インに加えて、総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドライン」、その他の法令等に掲げる基準を満たした医療情報システム・
サービス事業者を、例えば、総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サ
ービスの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」や日本画像
医療システム工業会(JIRA)の工業会規格(JESRA:Japanese Engineering Standards of Radiological
Apparatus)及び保健医療福祉情報システム工業会(JAHIS)の JAHIS 標準となっている「
『製造業者/
サービス事業者による医療情報セキュリティ開示書(略称:MDS/SDS:Manufacturer / Service Provider
Disclosure Statement for Medical Information Security)
』ガイド」で示されているチェックリスト等を
参考に、当該事業者から情報提供していただく等をして選定し、当該事業者との契約等において、双方
の認識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、
当該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが必要で、当
該事業者に対して、必要に応じて、「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められます。
3.3.2 設計
リスク分析・評価、そして、リスク管理方針の決定を踏まえ、医療情報システムの安全管理に関する
情報セキュリティ方針を定め、具体的な情報セキュリティ対策を整備・実装する、医療情報システムの
安全管理における設計を行います。
情報セキュリティ対策の整備に当たっては、運用ルールを定め、規程類を整備しますが、適宜、自医
療機関等と同規模、同様の医療サービス提供形態、同じ医療情報システム・サービスを利用しているな
どの条件に適合する他の医療機関等の運用ルールや規程類を参考にして、自医療機関等の実態と照らし
合わせて策定することも効率的で効果的な進め方と考えられます。
-8-