よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン第6.0版各編間相関表(案) (1 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
各編間相関表
参考資料1-6
経営管理編
企画管理編
記載箇所
遵守事項
①
医療情報システムの安全管理に関係する法令等を遵守すること。
②
医療機関等で業務に従事する職員や関係するシステム関連事業者等
に対して、医療情報システムに関係する法令等を遵守させること。
記載箇所
-
-
遵守事項
システム運用編
備考
記載箇所
遵守事項
備考
5.2版のA項に関する前提
を対策として新設
5.2版のA項に関する前提
を対策として新設
1.管理体系
① 医療情報システムの管理に関する法令等について理解し、医療機関等の組織全体として法令等を
1.情報セキュリティの基本的
遵守できるよう、必要な措置を講じること。
な考え方
①
法令上求められる医療情報システムに関する要件等について、企画管理
者の整理に基づいて、必要な技術的な対応を抽出し、各システムの整備にお 10C2-4
いて措置を行うほか、必要な手順、資料の作成を行うこと。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
1.管理体系
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
1.管理体系
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③
医療機関等内における法令の遵守状況について経営層に報告し、経営層の確認を取ること。ま
た、遵守状況に応じて必要な改善措置を講じること。
③ 非常時において、法令で求められる対応を事前に整理し、非常時に速やかに対応できる体制を講
じること。
①
法令で署名又は記名・押印が義務付けられた文書において、記名・押印を電子署名に代える
場合、以下の条件を満たす電子署名を行うこと。
1. 以下の電子証明書を用いて電子署名を施すこと
(1) 「電子署名及び認証業務に関する法律」(平成12 年法律第102 号)第2条第1項に規定する電子
署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型電子署名の場合も同様
1.1安全管理に関する法令の遵守
である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の(a)
~(c)のいずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用いるこ
と。
(a) 厚生労働省「保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議」に
おいて策定された準拠性監査基準を満たす保健医療福祉分野PKI 認証局の発行する電子証明書を用い
て電子署名を施すこと。
14.法令で定められた記名・
保健医療福祉分野 PKI 認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納してお
押印のための電子署名
り、その資格を証明する認証基盤として構築されている。したがって、この保健医療福祉分野 PKI
認証局の発行する電子署名を活用すると電子的な本人確認に加え、同時に、医師等の国家資格を電子
的に確認することが可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正しくで
きることが必要である。
(b) 認定認証事業者(電子署名法第2 条第3 項に定める特定認証業務を行う者として主務大臣の認定
を受けた者をいう。以下同じ。)又は認証事業者(電子署名法第2 条第2 項の認証業務を行う者(認
定認証事業者を除く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。その場合、
当該電子署名を施された文書を受け取る者が、医師等の国家資格の確認を電子的に検証でき、電子署
名の検証を正しくできることが必要である。事業者(認証局あるいは立会人型電子署名の場合は電子
署名サービス提供事業者をいう。以下「14.法令で定められた記名・押印のための電子署名」にお
いて同じ。)を選定する際には、事業者が次に掲げる事項を適切に実施していることについて確認す
ること(ローカル署名のほか、リモート署名、立会人型電子署名の場合も同様)。
通常時における責任
①
医療情報システムの安全管理に関して、原則として文書化し、管理
する体制を整えること。
-
5.2版第4の趣旨 を踏 まえ
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要な規
程等の整備を行い、経営層の承認を取ること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整備を
2.システム設計・運用に必要
③
担当者に指示し、確認すること。
な規程類と文書体系
新の状態を維持すること。
2.システム設計・運用に必要
④
な規程類と文書体系
きるよう、マニュアル等の整備を行うこと。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者に指
2.システム設計・運用に必要
示し、整備状況を確認の上、経営層に報告すること。
な規程類と文書体系
【説明責任】
2.システム設計・運用に必要
な規程類と文書体系
②
患者等への説明を適切に行うための窓口の設置等の対策を行うこ
と。
-
5.2版第4の趣旨 を踏 まえ
て新設
1.管理体系
⑦ 患者等からの照会に対応するために必要な医療情報システムの安全管理に関する窓口等を整備す
ること。
3.医療機関等における安全
管理のための体制と責任・権
⑨
患者等からの相談や苦情への対応を行うための体制を構築すること。
限
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
8.情報管理(管理、持出
し、破棄等)
①
医療情報システムの安全管理に関する管理責任を適切に果たすため 6.3C1-5
に必要な組織体制を整備すること。
第10章
定期的に管理状況に関する報告を受けて状況を確認するとともに、 6.3C1-5
組織内において監査を実施すること。
①
医療情報システムに関する安全管理を適切に維持するための計画を
策定すること。
第10章
-
に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を
得ること。
⑨ 患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合には、患者等に
対して、情報セキュリティに関するリスクや情報提供目的について説明を行い、それぞれの責任範囲
を明確にすること。
④
-
1.管理体系
医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理するこ
と。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反映する
こと。
【管理責任】
②
⑩ 外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設
3.医療機関等における安全
-
管理のための体制と責任・権
⑧
医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
限
5.2版第5章の趣 旨を 踏ま
えて新設
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
と。
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
1.2
応とBCP策定
医療機関等における責任
②
医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整合
性を確認して対応方針を策定すること。
⑧
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的に経
営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実
施し、必要に応じて改善を行うこと。
【定期的に見直し必要に応じて改
善を行う責任】
②
医療情報に関する安全管理を適切に維持するために、定期的な見直
しを実施し、必要に応じて、改善措置を講じるよう、企画管理者及びシ -
ステム運用担当者に指示すること。
5.2 版 6.2 の 趣 旨 を 踏 ま え
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
と。
⑧
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的に経
営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実
施し、必要に応じて改善を行うこと。
⑥ システム運用に関する安全管理対策として必要な項目を担当者と協働して検討すること。特に医
15.技術的な対策の管理
療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー攻撃含む)への対策に関す
る項目については、定期的に見直しを図ること。
1.2.2
非常時における責任
①
情報セキュリティインシデントが生じた場合、その原因や対策等に
ついて患者、関係機関等に説明する体制を速やかに構築すること。
6.10C5
5.2 版 4.1B(2) ① の 趣 旨 を
加味
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
ント、サイバー攻撃被害)対
応とBCP策定
務
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨
非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応を行
応とBCP策定
11.非常時(災害、インシデ
1 . 安 全 管 理 に 関 す る 責 任 ・責
⑧
うこと。
①
【説明責任】
12.サイバー攻撃対策
サイバーセキュリティに関する組織的対策、医療機関等の職員等や委託先事業者などの対策を検
討し、整理すること。技術的な対応・措置については、担当者にリスク評価を踏まえた対策の検討を
指示し、状況を確認すること。
①
医療情報システムの維持及び運用に必要な手順を整備し、常に最
医療情報システムの利用者が適切に医療情報システムの利用がで
医療情報システムにおいて採用するシステム、サービス、情報機
器等の機能仕様や利用方法に関する資料を整備し、常に最新の状態を
維持すること。
②
10C1-4
10C1
6.2C4
6.9C5
医療情報システムに関する全体構成図(ネットワーク構成図・シ
ステム構成図等)、及びシステム責任者・関係者一覧(設置事業者、 6.2C4
保守事業者等含む)を作成し、常に最新の状態を維持すること。
参考資料1-6
経営管理編
企画管理編
記載箇所
遵守事項
①
医療情報システムの安全管理に関係する法令等を遵守すること。
②
医療機関等で業務に従事する職員や関係するシステム関連事業者等
に対して、医療情報システムに関係する法令等を遵守させること。
記載箇所
-
-
遵守事項
システム運用編
備考
記載箇所
遵守事項
備考
5.2版のA項に関する前提
を対策として新設
5.2版のA項に関する前提
を対策として新設
1.管理体系
① 医療情報システムの管理に関する法令等について理解し、医療機関等の組織全体として法令等を
1.情報セキュリティの基本的
遵守できるよう、必要な措置を講じること。
な考え方
①
法令上求められる医療情報システムに関する要件等について、企画管理
者の整理に基づいて、必要な技術的な対応を抽出し、各システムの整備にお 10C2-4
いて措置を行うほか、必要な手順、資料の作成を行うこと。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
1.管理体系
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
1.管理体系
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③
医療機関等内における法令の遵守状況について経営層に報告し、経営層の確認を取ること。ま
た、遵守状況に応じて必要な改善措置を講じること。
③ 非常時において、法令で求められる対応を事前に整理し、非常時に速やかに対応できる体制を講
じること。
①
法令で署名又は記名・押印が義務付けられた文書において、記名・押印を電子署名に代える
場合、以下の条件を満たす電子署名を行うこと。
1. 以下の電子証明書を用いて電子署名を施すこと
(1) 「電子署名及び認証業務に関する法律」(平成12 年法律第102 号)第2条第1項に規定する電子
署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型電子署名の場合も同様
1.1安全管理に関する法令の遵守
である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の(a)
~(c)のいずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用いるこ
と。
(a) 厚生労働省「保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議」に
おいて策定された準拠性監査基準を満たす保健医療福祉分野PKI 認証局の発行する電子証明書を用い
て電子署名を施すこと。
14.法令で定められた記名・
保健医療福祉分野 PKI 認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納してお
押印のための電子署名
り、その資格を証明する認証基盤として構築されている。したがって、この保健医療福祉分野 PKI
認証局の発行する電子署名を活用すると電子的な本人確認に加え、同時に、医師等の国家資格を電子
的に確認することが可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正しくで
きることが必要である。
(b) 認定認証事業者(電子署名法第2 条第3 項に定める特定認証業務を行う者として主務大臣の認定
を受けた者をいう。以下同じ。)又は認証事業者(電子署名法第2 条第2 項の認証業務を行う者(認
定認証事業者を除く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。その場合、
当該電子署名を施された文書を受け取る者が、医師等の国家資格の確認を電子的に検証でき、電子署
名の検証を正しくできることが必要である。事業者(認証局あるいは立会人型電子署名の場合は電子
署名サービス提供事業者をいう。以下「14.法令で定められた記名・押印のための電子署名」にお
いて同じ。)を選定する際には、事業者が次に掲げる事項を適切に実施していることについて確認す
ること(ローカル署名のほか、リモート署名、立会人型電子署名の場合も同様)。
通常時における責任
①
医療情報システムの安全管理に関して、原則として文書化し、管理
する体制を整えること。
-
5.2版第4の趣旨 を踏 まえ
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要な規
程等の整備を行い、経営層の承認を取ること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整備を
2.システム設計・運用に必要
③
担当者に指示し、確認すること。
な規程類と文書体系
新の状態を維持すること。
2.システム設計・運用に必要
④
な規程類と文書体系
きるよう、マニュアル等の整備を行うこと。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者に指
2.システム設計・運用に必要
示し、整備状況を確認の上、経営層に報告すること。
な規程類と文書体系
【説明責任】
2.システム設計・運用に必要
な規程類と文書体系
②
患者等への説明を適切に行うための窓口の設置等の対策を行うこ
と。
-
5.2版第4の趣旨 を踏 まえ
て新設
1.管理体系
⑦ 患者等からの照会に対応するために必要な医療情報システムの安全管理に関する窓口等を整備す
ること。
3.医療機関等における安全
管理のための体制と責任・権
⑨
患者等からの相談や苦情への対応を行うための体制を構築すること。
限
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
8.情報管理(管理、持出
し、破棄等)
①
医療情報システムの安全管理に関する管理責任を適切に果たすため 6.3C1-5
に必要な組織体制を整備すること。
第10章
定期的に管理状況に関する報告を受けて状況を確認するとともに、 6.3C1-5
組織内において監査を実施すること。
①
医療情報システムに関する安全管理を適切に維持するための計画を
策定すること。
第10章
-
に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を
得ること。
⑨ 患者等に情報を閲覧させるために医療情報システムへのアクセスを許可する場合には、患者等に
対して、情報セキュリティに関するリスクや情報提供目的について説明を行い、それぞれの責任範囲
を明確にすること。
④
-
1.管理体系
医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理するこ
と。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反映する
こと。
【管理責任】
②
⑩ 外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設
3.医療機関等における安全
-
管理のための体制と責任・権
⑧
医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
限
5.2版第5章の趣 旨を 踏ま
えて新設
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
と。
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
1.2
応とBCP策定
医療機関等における責任
②
医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整合
性を確認して対応方針を策定すること。
⑧
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的に経
営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実
施し、必要に応じて改善を行うこと。
【定期的に見直し必要に応じて改
善を行う責任】
②
医療情報に関する安全管理を適切に維持するために、定期的な見直
しを実施し、必要に応じて、改善措置を講じるよう、企画管理者及びシ -
ステム運用担当者に指示すること。
5.2 版 6.2 の 趣 旨 を 踏 ま え
て新設
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
と。
⑧
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的に経
営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実
施し、必要に応じて改善を行うこと。
⑥ システム運用に関する安全管理対策として必要な項目を担当者と協働して検討すること。特に医
15.技術的な対策の管理
療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー攻撃含む)への対策に関す
る項目については、定期的に見直しを図ること。
1.2.2
非常時における責任
①
情報セキュリティインシデントが生じた場合、その原因や対策等に
ついて患者、関係機関等に説明する体制を速やかに構築すること。
6.10C5
5.2 版 4.1B(2) ① の 趣 旨 を
加味
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
ント、サイバー攻撃被害)対
応とBCP策定
務
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨
非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応を行
応とBCP策定
11.非常時(災害、インシデ
1 . 安 全 管 理 に 関 す る 責 任 ・責
⑧
うこと。
①
【説明責任】
12.サイバー攻撃対策
サイバーセキュリティに関する組織的対策、医療機関等の職員等や委託先事業者などの対策を検
討し、整理すること。技術的な対応・措置については、担当者にリスク評価を踏まえた対策の検討を
指示し、状況を確認すること。
①
医療情報システムの維持及び運用に必要な手順を整備し、常に最
医療情報システムの利用者が適切に医療情報システムの利用がで
医療情報システムにおいて採用するシステム、サービス、情報機
器等の機能仕様や利用方法に関する資料を整備し、常に最新の状態を
維持すること。
②
10C1-4
10C1
6.2C4
6.9C5
医療情報システムに関する全体構成図(ネットワーク構成図・シ
ステム構成図等)、及びシステム責任者・関係者一覧(設置事業者、 6.2C4
保守事業者等含む)を作成し、常に最新の状態を維持すること。