よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン第6.0版各編間相関表(案) (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
9.ソフトウェア・サービス
②
に対する要求事項
10.システム・サービス事
れた作業の妥当性を検証するためのプロセスを規定すること。
① 動作確認等の保守作業で事業者が個人情報を含むデータを使用す
業者による保守対応等に対す
るときは、保守終了後に確実にデータを消去することを求め、その結
る安全管理措置
果の報告を求めること。
② 診療録等の外部保存を受託する事業者においては、診療録等の個
10.システム・サービス事
業者による保守対応等に対す
る安全管理措置
へのアクセスの有無並びに個人情報にアクセスした場合の対象個人情
る安全管理措置
報及び作業内容を記録すること。なお、これは利用者を模して操作確
が行われる場合には、必ずアクセスログを収集し、保守に関する作業
計画書と照合するなどにより確認し、当該作業の終了後速やかに企画
管理者に報告し、確認を求めること。
⑤ リモートメンテナンス(保守)において、やむを得ず事業者が、
業者による保守対応等に対す
ファイルを医療機関等へ送信等を行う場合、送信側で無害化処理が行
る安全管理措置
われていることを確認すること。
⑥ 診療録等を保管している設備に障害が発生した場合等で、やむを
業者による保守対応等に対す
る安全管理措置
得ず診療録等にアクセスをする必要がある場合も、医療機関等におけ
る診療録等の個人情報と同様の秘密保持を行うと同時に、外部保存を
⑨ 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いない
10.システム・サービス事
委託した医療機関等に許可を求めなければならない。
① 動作確認等の保守作業で事業者が個人情報を含むデータを使用す
ことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる場合には、漏洩等が生じな
業者による保守対応等に対す
るときは、保守終了後に確実にデータを消去することを求め、その結
いために必要な対策を講じる旨を示し、その具体的な手順の策定を担当者に指示すること。
る安全管理措置
果の報告を求めること。
② 診療録等の外部保存を受託する事業者においては、診療録等の個
10.システム・サービス事
業者による保守対応等に対す
る安全管理措置
へのアクセスの有無並びに個人情報にアクセスした場合の対象個人情
る安全管理措置
報及び作業内容を記録すること。なお、これは利用者を模して操作確
て、改善措置を講じること。品質の管理方法については、担当者と協働して検討すること。
に対する要求事項
に対する要求事項
⑪ 情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるとともに、具体的な手
9.ソフトウェア・サービス
順の作成と実施を担当者に指示すること。
に対する要求事項
9.ソフトウェア・サービス
に対する要求事項
通知」、「外部保存通知」などで求める要件を満たしていることを確認し、調達においては当該要件
を満たす内容とすること。具体的な確認項目や、医療情報システムにおける実装内容等については、
担当者に確認の上、必要な検討を行うよう指示すること。
ない仕組みが必要である。
③ 保守を実施するためにサーバに事業者の作業員(保守要員)がア
業者による保守対応等に対す
9.ソフトウェア・サービス
⑬ 医療情報システムが法令等で求められている要件を満たすよう適切に管理すること。特に「施行
あっても、保存を受託した個人情報に、正当な理由なくアクセスでき
クセスする際には、保守要員の専用アカウントを使用させ、個人情報
⑩ 医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理し、必要に応じ
⑫ システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施すること。
人情報の保護を厳格に行う必要がある。受託する事業者の管理者で
10.システム・サービス事
9.ソフトウェア・サービス
15.技術的な対策の管理
認を行う際の識別・認証についても同様である。
④ リモートメンテナンス(保守)によるシステムの改造・保守作業
10.システム・サービス事
10.システム・サービス事
15.技術的な対策の管理
ない仕組みが必要である。
③ 保守を実施するためにサーバに事業者の作業員(保守要員)がア
業者による保守対応等に対す
る安全管理措置
15.技術的な対策の管理
あっても、保存を受託した個人情報に、正当な理由なくアクセスでき
クセスする際には、保守要員の専用アカウントを使用させ、個人情報
業者による保守対応等に対す
15.技術的な対策の管理
人情報の保護を厳格に行う必要がある。受託する事業者の管理者で
10.システム・サービス事
10.システム・サービス事
15.技術的な対策の管理
情報機器、ソフトウェアの改訂履歴、その導入の際に実際に行わ
9.ソフトウェア・サービス
に対する要求事項
認を行う際の識別・認証についても同様である。
① システムがどのような情報機器、ソフトウェアで構成され、どの
ような場面、用途で利用されるのかを明らかにするとともに、システ
ムの機能仕様を明確に定義すること。
③ 医療情報システムで利用するシステム、サービス、情報機器等の
品質を定期的に管理するための手順を作成し、これに従い必要な措置
を講じ、企画管理者に報告すること。
① システムがどのような情報機器、ソフトウェアで構成され、どの
ような場面、用途で利用されるのかを明らかにするとともに、システ
ムの機能仕様を明確に定義すること。
④ 医療情報システムの目的に応じて速やかに検索表示又は書面に表
示できるよう措置を講じること。
① システムがどのような情報機器、ソフトウェアで構成され、どの
ような場面、用途で利用されるのかを明らかにするとともに、システ
9.ソフトウェア・サービス
ムの機能仕様を明確に定義すること。
② 情報機器、ソフトウェアの改訂履歴、その導入の際に実際に行わ
に対する要求事項
れた作業の妥当性を検証するためのプロセスを規定すること。
5.システム設計の見直し
(標準化対応、新規技術導入
のための評価等)
5.システム設計の見直し
(標準化対応、新規技術導入
のための評価等)
①
システム更新の際の移行を迅速に行えるように、診療録等のデー
タについて、標準形式が存在する項目は標準形式で、標準形式が存在
しない項目は変換が容易なデータ形式で、それぞれ出力及び入力でき
る機能を備えるようにすること。
②
マスタデータベースの変更の際に、過去の診療録等の情報に対す
る内容の変更が起こらない機能を備えること。
③
データ形式及び転送プロトコルのバージョン管理と継続性の確保
5.システム設計の見直し
を行うこと。保存義務のある期間中に、データ形式や転送プロトコル
(標準化対応、新規技術導入
がバージョンアップ又は変更されることが考えられる。その場合、外
のための評価等)
部保存を受託する事業者は、以前のデータ形式や転送プロトコルを使
5.システム設計の見直し
用している医療機関等が存在する間は対応を維持すること。
④ 電子媒体に保存された全ての情報とそれらの見読化手段を対応付
(標準化対応、新規技術導入
けて管理すること。また、見読化手段である情報機器、ソフトウェ
のための評価等)
9.ソフトウェア・サービス
ア、関連情報等は常に整備された状態にすること。
④ 医療情報システムの目的に応じて速やかに検索表示又は書面に表
に対する要求事項
示できるよう措置を講じること。
⑧
電子カルテシステムにおける記録の確定手順の確立と、識別情報
の記録について、以下の機能があることを確認すること。
-
電子カルテシステム等でPC 等の汎用入力端末により記録が作成さ
れる場合
a
診療録等の作成・保存を行おうとする場合、確定された情報を登録
できる仕組みをシス
テムに備えること。その際、登録する情報に、入力者及び確定者の氏
名等の識別情報、
信頼できる時刻源を用いた作成日時を含めること。
b 「記録の確定」を行うに当たり、内容を十分に確認できるようにす
14.認証・認可に関する安
ること。
全管理措置
c 「記録の確定」は、確定を実施できる権限を持った確定者に実施さ
せること。
d 確定された記録に対する故意の虚偽入力、書換え、消去及び混同を
防止するための対策を実施するとともに、原状回復のための手順を検
討しておくこと。
e 一定時間経過後に記録が自動確定するような運用の場合は、入力者
及び確定者を特定す
る明確なルールを運用管理規程に定めること。
f
確定者が何らかの理由で確定操作ができない場合における記録の確
定の責任の所在を明確にすること。例えば、医療情報システム安全管
理責任者が記録の確定を実施する等のルールを運用管理規程に定める
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
① 紙媒体で作成した医療情報を含む文書等をスキャナ等で読み取り、電子化する場合には、これに
16.紙媒体等で作成した医
必要な情報機器等の条件や手順等を運用管理規程等に定めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
② スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する
16.紙媒体等で作成した医
情報作成管理者を配置すること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
③ 紙媒体で作成した医療情報を含む文書等をスキャナにより電子化する場合、スキャナによる読み
16.
紙媒体等で作成した医療
情報の電子化
取りに係る責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電子署名法に適合し
た電子署名を遅滞なく行う旨を、運用管理規程等に定めること。なお、電子署名については「14.
法令で定められた記名・押印のための電子署名」を参照すること。
①
医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
④ 情報作成管理者に対して、スキャナによる読み取り作業が運用管理規程に基づき適正な手続で確
16.紙媒体等で作成した医
実に実施されるために必要な措置を講じるよう指示し、その結果の報告を求めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
②
に対する要求事項
10.システム・サービス事
れた作業の妥当性を検証するためのプロセスを規定すること。
① 動作確認等の保守作業で事業者が個人情報を含むデータを使用す
業者による保守対応等に対す
るときは、保守終了後に確実にデータを消去することを求め、その結
る安全管理措置
果の報告を求めること。
② 診療録等の外部保存を受託する事業者においては、診療録等の個
10.システム・サービス事
業者による保守対応等に対す
る安全管理措置
へのアクセスの有無並びに個人情報にアクセスした場合の対象個人情
る安全管理措置
報及び作業内容を記録すること。なお、これは利用者を模して操作確
が行われる場合には、必ずアクセスログを収集し、保守に関する作業
計画書と照合するなどにより確認し、当該作業の終了後速やかに企画
管理者に報告し、確認を求めること。
⑤ リモートメンテナンス(保守)において、やむを得ず事業者が、
業者による保守対応等に対す
ファイルを医療機関等へ送信等を行う場合、送信側で無害化処理が行
る安全管理措置
われていることを確認すること。
⑥ 診療録等を保管している設備に障害が発生した場合等で、やむを
業者による保守対応等に対す
る安全管理措置
得ず診療録等にアクセスをする必要がある場合も、医療機関等におけ
る診療録等の個人情報と同様の秘密保持を行うと同時に、外部保存を
⑨ 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いない
10.システム・サービス事
委託した医療機関等に許可を求めなければならない。
① 動作確認等の保守作業で事業者が個人情報を含むデータを使用す
ことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる場合には、漏洩等が生じな
業者による保守対応等に対す
るときは、保守終了後に確実にデータを消去することを求め、その結
いために必要な対策を講じる旨を示し、その具体的な手順の策定を担当者に指示すること。
る安全管理措置
果の報告を求めること。
② 診療録等の外部保存を受託する事業者においては、診療録等の個
10.システム・サービス事
業者による保守対応等に対す
る安全管理措置
へのアクセスの有無並びに個人情報にアクセスした場合の対象個人情
る安全管理措置
報及び作業内容を記録すること。なお、これは利用者を模して操作確
て、改善措置を講じること。品質の管理方法については、担当者と協働して検討すること。
に対する要求事項
に対する要求事項
⑪ 情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるとともに、具体的な手
9.ソフトウェア・サービス
順の作成と実施を担当者に指示すること。
に対する要求事項
9.ソフトウェア・サービス
に対する要求事項
通知」、「外部保存通知」などで求める要件を満たしていることを確認し、調達においては当該要件
を満たす内容とすること。具体的な確認項目や、医療情報システムにおける実装内容等については、
担当者に確認の上、必要な検討を行うよう指示すること。
ない仕組みが必要である。
③ 保守を実施するためにサーバに事業者の作業員(保守要員)がア
業者による保守対応等に対す
9.ソフトウェア・サービス
⑬ 医療情報システムが法令等で求められている要件を満たすよう適切に管理すること。特に「施行
あっても、保存を受託した個人情報に、正当な理由なくアクセスでき
クセスする際には、保守要員の専用アカウントを使用させ、個人情報
⑩ 医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理し、必要に応じ
⑫ システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施すること。
人情報の保護を厳格に行う必要がある。受託する事業者の管理者で
10.システム・サービス事
9.ソフトウェア・サービス
15.技術的な対策の管理
認を行う際の識別・認証についても同様である。
④ リモートメンテナンス(保守)によるシステムの改造・保守作業
10.システム・サービス事
10.システム・サービス事
15.技術的な対策の管理
ない仕組みが必要である。
③ 保守を実施するためにサーバに事業者の作業員(保守要員)がア
業者による保守対応等に対す
る安全管理措置
15.技術的な対策の管理
あっても、保存を受託した個人情報に、正当な理由なくアクセスでき
クセスする際には、保守要員の専用アカウントを使用させ、個人情報
業者による保守対応等に対す
15.技術的な対策の管理
人情報の保護を厳格に行う必要がある。受託する事業者の管理者で
10.システム・サービス事
10.システム・サービス事
15.技術的な対策の管理
情報機器、ソフトウェアの改訂履歴、その導入の際に実際に行わ
9.ソフトウェア・サービス
に対する要求事項
認を行う際の識別・認証についても同様である。
① システムがどのような情報機器、ソフトウェアで構成され、どの
ような場面、用途で利用されるのかを明らかにするとともに、システ
ムの機能仕様を明確に定義すること。
③ 医療情報システムで利用するシステム、サービス、情報機器等の
品質を定期的に管理するための手順を作成し、これに従い必要な措置
を講じ、企画管理者に報告すること。
① システムがどのような情報機器、ソフトウェアで構成され、どの
ような場面、用途で利用されるのかを明らかにするとともに、システ
ムの機能仕様を明確に定義すること。
④ 医療情報システムの目的に応じて速やかに検索表示又は書面に表
示できるよう措置を講じること。
① システムがどのような情報機器、ソフトウェアで構成され、どの
ような場面、用途で利用されるのかを明らかにするとともに、システ
9.ソフトウェア・サービス
ムの機能仕様を明確に定義すること。
② 情報機器、ソフトウェアの改訂履歴、その導入の際に実際に行わ
に対する要求事項
れた作業の妥当性を検証するためのプロセスを規定すること。
5.システム設計の見直し
(標準化対応、新規技術導入
のための評価等)
5.システム設計の見直し
(標準化対応、新規技術導入
のための評価等)
①
システム更新の際の移行を迅速に行えるように、診療録等のデー
タについて、標準形式が存在する項目は標準形式で、標準形式が存在
しない項目は変換が容易なデータ形式で、それぞれ出力及び入力でき
る機能を備えるようにすること。
②
マスタデータベースの変更の際に、過去の診療録等の情報に対す
る内容の変更が起こらない機能を備えること。
③
データ形式及び転送プロトコルのバージョン管理と継続性の確保
5.システム設計の見直し
を行うこと。保存義務のある期間中に、データ形式や転送プロトコル
(標準化対応、新規技術導入
がバージョンアップ又は変更されることが考えられる。その場合、外
のための評価等)
部保存を受託する事業者は、以前のデータ形式や転送プロトコルを使
5.システム設計の見直し
用している医療機関等が存在する間は対応を維持すること。
④ 電子媒体に保存された全ての情報とそれらの見読化手段を対応付
(標準化対応、新規技術導入
けて管理すること。また、見読化手段である情報機器、ソフトウェ
のための評価等)
9.ソフトウェア・サービス
ア、関連情報等は常に整備された状態にすること。
④ 医療情報システムの目的に応じて速やかに検索表示又は書面に表
に対する要求事項
示できるよう措置を講じること。
⑧
電子カルテシステムにおける記録の確定手順の確立と、識別情報
の記録について、以下の機能があることを確認すること。
-
電子カルテシステム等でPC 等の汎用入力端末により記録が作成さ
れる場合
a
診療録等の作成・保存を行おうとする場合、確定された情報を登録
できる仕組みをシス
テムに備えること。その際、登録する情報に、入力者及び確定者の氏
名等の識別情報、
信頼できる時刻源を用いた作成日時を含めること。
b 「記録の確定」を行うに当たり、内容を十分に確認できるようにす
14.認証・認可に関する安
ること。
全管理措置
c 「記録の確定」は、確定を実施できる権限を持った確定者に実施さ
せること。
d 確定された記録に対する故意の虚偽入力、書換え、消去及び混同を
防止するための対策を実施するとともに、原状回復のための手順を検
討しておくこと。
e 一定時間経過後に記録が自動確定するような運用の場合は、入力者
及び確定者を特定す
る明確なルールを運用管理規程に定めること。
f
確定者が何らかの理由で確定操作ができない場合における記録の確
定の責任の所在を明確にすること。例えば、医療情報システム安全管
理責任者が記録の確定を実施する等のルールを運用管理規程に定める
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
① 紙媒体で作成した医療情報を含む文書等をスキャナ等で読み取り、電子化する場合には、これに
16.紙媒体等で作成した医
必要な情報機器等の条件や手順等を運用管理規程等に定めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
② スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する
16.紙媒体等で作成した医
情報作成管理者を配置すること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
③ 紙媒体で作成した医療情報を含む文書等をスキャナにより電子化する場合、スキャナによる読み
16.
紙媒体等で作成した医療
情報の電子化
取りに係る責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電子署名法に適合し
た電子署名を遅滞なく行う旨を、運用管理規程等に定めること。なお、電子署名については「14.
法令で定められた記名・押印のための電子署名」を参照すること。
①
医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
④ 情報作成管理者に対して、スキャナによる読み取り作業が運用管理規程に基づき適正な手続で確
16.紙媒体等で作成した医
実に実施されるために必要な措置を講じるよう指示し、その結果の報告を求めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。