よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン第6.0版第5.2版→第6.0版項目移行対応表(案) (8 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
第5.2版記載内容
項番
区分
第6.0版
内容
(9) 外部保存を受託する事業者を選定する際は、(1)から(8)のほか、少なくとも次に掲げる事項について確認
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
レ
5
レ
Q&A
7⑥
すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状
況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f プライバシーマーク認定又はISMS認証を取得していること
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証
等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASAクラウドセキュリティ推進協議会CSゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と同
等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA認定
h 医療情報を保存する機器が設置されている場所(地域、国)
i 受託事業者に対する国外法の適用可能性
D.推奨される
1. ISMS認証を取得している事業者の選定に際しては、選定対象となる事業者に管理しているリスクに応じ
ガイドライン
て、適合性を示す資料の提供を求めること。
レ
レ
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合では、技術的な方法とし
レ
て、例えばトラブル発生時のデータ修復作業等緊急時の対応を除き、原則として委託する医療機関等のみが
データ内容を閲覧できることを担保するよう求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管理することや、外部保
レ
存を受託する事業者の管理者といえども通常はアクセスできない制御機構をもつこと。具体的には、「暗号化
を行う」、「情報を分散保管する」という方法が考えられる。その場合、非常時等の通常とは異なる状況下で
アクセスすることも想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備えるよう求めるこ
と。
8.4. 個人情報の保護
B.考え方
(略)
レ
4
C.最低限のガイ
1. 診療録等の外部保存を受託する事業者内における個人情報保護
レ
5
レ
7⑧
ドライン
(1) 委託先を適切に監督すること
レ
1.1、1.2
レ
7⑨
レ
16①
レ
16①②③
レ
16④
診療録等の外部保存を受託する事業者内の個人情報保護については、本ガイドライン6章を参照し、適切な管
理を行わせる必要がある。
2. 外部保存実施に関する患者への説明
外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設に送付・保存
されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を得る必要がある。
(1) 診療開始前の説明
患者から、病態、病歴等を含めた個人情報を収集する前に行われるべきであり、外部保存を行っている旨を、
院内掲示等を通じて説明し理解を得た上で診療を開始すること。
(2) 患者本人に説明をすることが困難であるが、診療上の緊急性がある場合
意識障害や認知症等で本人への説明をすることが困難な場合で、診療上の緊急性がある場合は必ずしも事前の
説明を必要としない。意識が回復した場合には事後に説明を行い、理解を得る必要がある。
(3) 患者本人に説明することが困難であるが、診療上の緊急性が特にない場合
乳幼児の場合も含めて本人に説明し理解を得ることが困難で、緊急性のない場合は、原則として親権者や保護
者に説明し、理解を得ること。ただし、親権者による虐待が疑われる場合や保護者がいない等、説明をするこ
とが困難な場合は、診療録等に、説明が困難な理由を明記しておくことが望まれる。
9.1. 共通の要件
C.最低限のガイ
1. 医療に関する業務等に支障が生じることのないよう、スキャンによる情報量の低下を防ぎ、保存義務を満た
ドライン
す情報として必要な情報量を確保するため、光学解像度、センサ等の一定の規格・基準を満たすスキャナを用
いること。また、スキャンによる電子化で情報が欠落することがないよう、スキャン等を行う前に対象書類に
他の書類が重なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情報が存在しないか確認する
こと。
(1) 診療情報提供書等の紙媒体の場合、診療等の用途に差し支えない精度でスキャンを行うこと。
(2) 放射線フィルム等の高精細な情報をスキャンする場合、日本医学放射線学会電子情報委員会が公表した
「デジタル画像の取り扱いに関するガイドライン3.0版 (平成27年4月)」を参考にすること。
(3) このほか心電図等の波形情報やポラロイド撮影した情報等、様々な対象が考えられるが、医療に関する業
務等に差し支えない精度でスキャンする必要があるため、その点に十分配慮すること。
(4) 一般の書類をスキャンした画像情報は、汎用性が高く可視化するソフトウェアに困らない形式で保存する
こと。また非可逆的な圧縮は画像の精度を低下させるため、非可逆圧縮を行う場合は医療に関する業務等に支
障がなく、スキャンの対象となった紙等の破損や汚れ等の状況も判定可能な精度を保つよう留意する必要があ
る。放射線フィルム等の医用画像をスキャンした情報はDICOM等の適切な形式で保存すること。
2. 改ざんを防止するため、次に掲げる対策を実施すること。
レ
4.1
(1) スキャナによる読み取りについて運用管理規程に定めること。
(2) スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する情報作成
管理者を配置すること。
(3) スキャナによる読み取りの際の責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電子
署名法に適合した電子署名を遅滞なく行うこと。なお、電子署名については6.12章を参照すること。
3. 情報作成管理者は、運用管理規程に基づき、スキャナによる読み取り作業が、適正な手続で確実に実施され
る措置を講じること。
9.2. 診療等の都度スキャナ等 C.最低限のガイ
1. 9.1章の対策に加えて、情報が作成されてから又は情報を入手してから一定期間以内にスキャンを行うこ
で電子化して保存する場合
と。
ドライン
レ
4.1
レ
16⑤
レ
4.1
レ
16⑥
(1) 運用管理規程において、改ざんの動機が生じないと考えられる期間(長くとも1〜2日程度以内)を定める
とともに、その期間内に遅滞なくスキャンを行わなければならない。時間外診療等で機器の使用ができない等
のやむを得ない事情がある場合は、スキャンが可能になった時点で遅滞なく行う必要がある。
9.3. 過去に蓄積された紙媒体 C.最低限のガイ
1. 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知すること。異議の申
等をスキャナ等で電子化保存 ドライン
立てがあった場合、その患者等の情報は電子化を行わないこと。
する場合
8 / 9 ページ
レ
16①
レ
項番
区分
第6.0版
内容
(9) 外部保存を受託する事業者を選定する際は、(1)から(8)のほか、少なくとも次に掲げる事項について確認
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
レ
5
レ
Q&A
7⑥
すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状
況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f プライバシーマーク認定又はISMS認証を取得していること
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証
等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASAクラウドセキュリティ推進協議会CSゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と同
等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA認定
h 医療情報を保存する機器が設置されている場所(地域、国)
i 受託事業者に対する国外法の適用可能性
D.推奨される
1. ISMS認証を取得している事業者の選定に際しては、選定対象となる事業者に管理しているリスクに応じ
ガイドライン
て、適合性を示す資料の提供を求めること。
レ
レ
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合では、技術的な方法とし
レ
て、例えばトラブル発生時のデータ修復作業等緊急時の対応を除き、原則として委託する医療機関等のみが
データ内容を閲覧できることを担保するよう求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管理することや、外部保
レ
存を受託する事業者の管理者といえども通常はアクセスできない制御機構をもつこと。具体的には、「暗号化
を行う」、「情報を分散保管する」という方法が考えられる。その場合、非常時等の通常とは異なる状況下で
アクセスすることも想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備えるよう求めるこ
と。
8.4. 個人情報の保護
B.考え方
(略)
レ
4
C.最低限のガイ
1. 診療録等の外部保存を受託する事業者内における個人情報保護
レ
5
レ
7⑧
ドライン
(1) 委託先を適切に監督すること
レ
1.1、1.2
レ
7⑨
レ
16①
レ
16①②③
レ
16④
診療録等の外部保存を受託する事業者内の個人情報保護については、本ガイドライン6章を参照し、適切な管
理を行わせる必要がある。
2. 外部保存実施に関する患者への説明
外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設に送付・保存
されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を得る必要がある。
(1) 診療開始前の説明
患者から、病態、病歴等を含めた個人情報を収集する前に行われるべきであり、外部保存を行っている旨を、
院内掲示等を通じて説明し理解を得た上で診療を開始すること。
(2) 患者本人に説明をすることが困難であるが、診療上の緊急性がある場合
意識障害や認知症等で本人への説明をすることが困難な場合で、診療上の緊急性がある場合は必ずしも事前の
説明を必要としない。意識が回復した場合には事後に説明を行い、理解を得る必要がある。
(3) 患者本人に説明することが困難であるが、診療上の緊急性が特にない場合
乳幼児の場合も含めて本人に説明し理解を得ることが困難で、緊急性のない場合は、原則として親権者や保護
者に説明し、理解を得ること。ただし、親権者による虐待が疑われる場合や保護者がいない等、説明をするこ
とが困難な場合は、診療録等に、説明が困難な理由を明記しておくことが望まれる。
9.1. 共通の要件
C.最低限のガイ
1. 医療に関する業務等に支障が生じることのないよう、スキャンによる情報量の低下を防ぎ、保存義務を満た
ドライン
す情報として必要な情報量を確保するため、光学解像度、センサ等の一定の規格・基準を満たすスキャナを用
いること。また、スキャンによる電子化で情報が欠落することがないよう、スキャン等を行う前に対象書類に
他の書類が重なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情報が存在しないか確認する
こと。
(1) 診療情報提供書等の紙媒体の場合、診療等の用途に差し支えない精度でスキャンを行うこと。
(2) 放射線フィルム等の高精細な情報をスキャンする場合、日本医学放射線学会電子情報委員会が公表した
「デジタル画像の取り扱いに関するガイドライン3.0版 (平成27年4月)」を参考にすること。
(3) このほか心電図等の波形情報やポラロイド撮影した情報等、様々な対象が考えられるが、医療に関する業
務等に差し支えない精度でスキャンする必要があるため、その点に十分配慮すること。
(4) 一般の書類をスキャンした画像情報は、汎用性が高く可視化するソフトウェアに困らない形式で保存する
こと。また非可逆的な圧縮は画像の精度を低下させるため、非可逆圧縮を行う場合は医療に関する業務等に支
障がなく、スキャンの対象となった紙等の破損や汚れ等の状況も判定可能な精度を保つよう留意する必要があ
る。放射線フィルム等の医用画像をスキャンした情報はDICOM等の適切な形式で保存すること。
2. 改ざんを防止するため、次に掲げる対策を実施すること。
レ
4.1
(1) スキャナによる読み取りについて運用管理規程に定めること。
(2) スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する情報作成
管理者を配置すること。
(3) スキャナによる読み取りの際の責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電子
署名法に適合した電子署名を遅滞なく行うこと。なお、電子署名については6.12章を参照すること。
3. 情報作成管理者は、運用管理規程に基づき、スキャナによる読み取り作業が、適正な手続で確実に実施され
る措置を講じること。
9.2. 診療等の都度スキャナ等 C.最低限のガイ
1. 9.1章の対策に加えて、情報が作成されてから又は情報を入手してから一定期間以内にスキャンを行うこ
で電子化して保存する場合
と。
ドライン
レ
4.1
レ
16⑤
レ
4.1
レ
16⑥
(1) 運用管理規程において、改ざんの動機が生じないと考えられる期間(長くとも1〜2日程度以内)を定める
とともに、その期間内に遅滞なくスキャンを行わなければならない。時間外診療等で機器の使用ができない等
のやむを得ない事情がある場合は、スキャンが可能になった時点で遅滞なく行う必要がある。
9.3. 過去に蓄積された紙媒体 C.最低限のガイ
1. 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知すること。異議の申
等をスキャナ等で電子化保存 ドライン
立てがあった場合、その患者等の情報は電子化を行わないこと。
する場合
8 / 9 ページ
レ
16①
レ