よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン第6.0版各編間相関表(案) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
16.
紙媒体等で作成した医療
情報の電子化
⑤ 診療等の都度スキャナ等で電子化して保存する場合、情報が作成されてから又は情報を入手して
から一定期間以内にスキャンを行うことを運用管理規程等に定めること。
⑥
過去に蓄積された紙媒体等をスキャナ等で電子化して保存する場合、以下の措置を講じること。
・ 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知し、異議
の申立てがあった場合、その患者等の情報は電子化を行わないこと。
・ 必ず実施前に実施計画書を作成すること。実施計画書には次に掲げる事項を含めること。
- 運用管理規程の作成と妥当性の評価方法(評価は、大規模医療機関等にあっては、外部の有識者
を含む公正性を確保した委員会等で行うこと(倫理委員会を用いることも可))
16.
紙媒体等で作成した医療
情報の電子化
-
作業責任者
-
患者等への周知の手段と異議の申立てに対する対応方法
-
相互監視を含む実施体制
-
実施記録の作成と記録項目(次項の監査に耐え得る記録を作成すること)
-
事後の監査人と監査項目
-
スキャン等で電子化を行ってから紙やフィルムの破棄までの期間及び破棄方法
・ 事後の監査は、システム監査技術者やCertified Information Systems Auditor(ISACA 認定)等の
適切な能力を持つ外部監査人によって実施すること。
⑦
②
企画管理者は、紙の調剤済み処方箋をスキャナ等で電子化して保存する場合、以下の措置を
もそのまま保管を行う場合、以下の措置を講じること。
講じること。
16.
紙媒体等で作成した医療
情報の電子化
・
紙の調剤済み処方箋の電子化のタイミングに応じて、⑤又は⑥の措置を講じること。
・ 「電子化した紙の調剤済み処方箋」を修正する場合、「『元の』電子化した紙の調剤済み処方
箋」を電子的に修正し、「『修正後の』電子化した紙の調剤済み処方箋」に対して薬剤師の電子署名
運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体
16.紙媒体等で作成した医
療情報の電子化
・ 医療に関する業務等に支障が生じることのないよう、スキャンによ
る情報量の低下を防ぐため、光学解像度、センサ等の一定の規格・基
準を満たすスキャナを用いること。
が必須となる。電子的に修正する際には、「『元の』電子化した紙の調剤済み処方箋」の電子署名の
・ 緊急に閲覧が必要になったときに迅速に対応できるよう、保管して
検証が正しく行われる形で修正すること。
いる紙媒体等の検索性も必要に応じて維持すること。
⑧ 企画管理者は、運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存
16.
紙媒体等で作成した医療
情報の電子化
を行う場合、以下の措置を講じること。
・
情報作成管理者が、スキャナによる読み取り作業が適正な手続で確実に実施される措置を講
じる旨を運用管理規程等に定めること。
・
②
対応ができてない対策項目がある場合、その理由を確認し、対応の
要否を判断の上、必要に応じて対応を指示すること。
①
4.2
必要な措置
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、システム
-
6.2.1の趣旨から新設
15.技術的な対策の管理
やシステム運用担当者に、必要に応じて、対策項目に掲げられる措置を 6.2.3C7
ー
1.管理体系
するよう指示すること。
委託する事業者を選定する場合には、本ガイドライン及び法令等が
求める要件を満たすシステム関連事業者を選定するよう指示すること。
5.1
事業者選定
②
8.3C2
委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又
はこれと同等の規格の認証を受けているシステム関連事業者を選定する 8.3C2(9)f
よう指示すること。
①
運用の実施状況については、定期的に担当者から報告を受け、その状況を把握の上、経営層に報告し
承認を得ること。
医療情報システムの安全管理対策項目の特徴を認識し、企画管理者
①
電子化した後、元の紙媒体やフィルムの安全管理を行うこと。
⑥
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
ー
2省ガイドラインとの整合
性確保
委託契約において、委託業務の内容やシステム関連事業者の体制、
7.安全管理のための人的管
システム関連事業者との責任分界、システム関連事業者における情報の
取扱い等、医療機関等が負う医療情報システムの管理に関して、協働す -
4.2の趣旨から新設
る上で認識の齟齬等が生じないように、適切な契約の締結や管理を行う
理(従業者管理、委託先管
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示
理、教育・訓練、委託先選
に関する内容を含めること。
定・契約)
よう企画管理者に指示すること。
7.安全管理のための人的管
理(従業者管理、委託先管
④
理、教育・訓練、委託先選
と。
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めるこ
定・契約)
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
等して遵守状況を確認すること。
⑧
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
定・契約)
となどが挙げられる。)
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
ること。
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
5.2.1
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
契約管理
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
5.2
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
⑭
事業者管理
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わない
こと。
-
5 . 医 療 情 報 シ ス テ ム ・ サ ービ
7.安全管理のための人的管
ス事業者との協働
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
⑧
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧(異なる
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように
ること。
配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
⑭
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
①
体制管理
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
委託するシステム関連事業者に対して、業務実行体制を明確にし、
医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場
5.2.2
⑧
合には、事前に医療機関等に情報を提供し、協議・合意形成を経た上で
承認を得ること等を契約の内容に含めるよう、企画管理者に指示するこ
3.医療機関等における安全
6.6C2(1)d
管理のための体制と責任・権
10C1(5)b
限
⑦
医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する体制
を整備すること。
と。
①
システム関連事業者に委託を行う際の責任分界の管理に関する重要
性を認識し、医療機関と委託先事業者との間での責任分界を明確にし、
認識の齟齬等が生じないよう、書面等により可視化し、適切に管理する
ことを、企画管理者やシステム運用担当者に指示すること。
5.3
責任分界管理
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
-
4.2.1の趣旨から新設
2.責任分界
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
紙媒体等で作成した医療
情報の電子化
⑤ 診療等の都度スキャナ等で電子化して保存する場合、情報が作成されてから又は情報を入手して
から一定期間以内にスキャンを行うことを運用管理規程等に定めること。
⑥
過去に蓄積された紙媒体等をスキャナ等で電子化して保存する場合、以下の措置を講じること。
・ 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知し、異議
の申立てがあった場合、その患者等の情報は電子化を行わないこと。
・ 必ず実施前に実施計画書を作成すること。実施計画書には次に掲げる事項を含めること。
- 運用管理規程の作成と妥当性の評価方法(評価は、大規模医療機関等にあっては、外部の有識者
を含む公正性を確保した委員会等で行うこと(倫理委員会を用いることも可))
16.
紙媒体等で作成した医療
情報の電子化
-
作業責任者
-
患者等への周知の手段と異議の申立てに対する対応方法
-
相互監視を含む実施体制
-
実施記録の作成と記録項目(次項の監査に耐え得る記録を作成すること)
-
事後の監査人と監査項目
-
スキャン等で電子化を行ってから紙やフィルムの破棄までの期間及び破棄方法
・ 事後の監査は、システム監査技術者やCertified Information Systems Auditor(ISACA 認定)等の
適切な能力を持つ外部監査人によって実施すること。
⑦
②
企画管理者は、紙の調剤済み処方箋をスキャナ等で電子化して保存する場合、以下の措置を
もそのまま保管を行う場合、以下の措置を講じること。
講じること。
16.
紙媒体等で作成した医療
情報の電子化
・
紙の調剤済み処方箋の電子化のタイミングに応じて、⑤又は⑥の措置を講じること。
・ 「電子化した紙の調剤済み処方箋」を修正する場合、「『元の』電子化した紙の調剤済み処方
箋」を電子的に修正し、「『修正後の』電子化した紙の調剤済み処方箋」に対して薬剤師の電子署名
運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体
16.紙媒体等で作成した医
療情報の電子化
・ 医療に関する業務等に支障が生じることのないよう、スキャンによ
る情報量の低下を防ぐため、光学解像度、センサ等の一定の規格・基
準を満たすスキャナを用いること。
が必須となる。電子的に修正する際には、「『元の』電子化した紙の調剤済み処方箋」の電子署名の
・ 緊急に閲覧が必要になったときに迅速に対応できるよう、保管して
検証が正しく行われる形で修正すること。
いる紙媒体等の検索性も必要に応じて維持すること。
⑧ 企画管理者は、運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存
16.
紙媒体等で作成した医療
情報の電子化
を行う場合、以下の措置を講じること。
・
情報作成管理者が、スキャナによる読み取り作業が適正な手続で確実に実施される措置を講
じる旨を運用管理規程等に定めること。
・
②
対応ができてない対策項目がある場合、その理由を確認し、対応の
要否を判断の上、必要に応じて対応を指示すること。
①
4.2
必要な措置
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、システム
-
6.2.1の趣旨から新設
15.技術的な対策の管理
やシステム運用担当者に、必要に応じて、対策項目に掲げられる措置を 6.2.3C7
ー
1.管理体系
するよう指示すること。
委託する事業者を選定する場合には、本ガイドライン及び法令等が
求める要件を満たすシステム関連事業者を選定するよう指示すること。
5.1
事業者選定
②
8.3C2
委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又
はこれと同等の規格の認証を受けているシステム関連事業者を選定する 8.3C2(9)f
よう指示すること。
①
運用の実施状況については、定期的に担当者から報告を受け、その状況を把握の上、経営層に報告し
承認を得ること。
医療情報システムの安全管理対策項目の特徴を認識し、企画管理者
①
電子化した後、元の紙媒体やフィルムの安全管理を行うこと。
⑥
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
ー
2省ガイドラインとの整合
性確保
委託契約において、委託業務の内容やシステム関連事業者の体制、
7.安全管理のための人的管
システム関連事業者との責任分界、システム関連事業者における情報の
取扱い等、医療機関等が負う医療情報システムの管理に関して、協働す -
4.2の趣旨から新設
る上で認識の齟齬等が生じないように、適切な契約の締結や管理を行う
理(従業者管理、委託先管
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示
理、教育・訓練、委託先選
に関する内容を含めること。
定・契約)
よう企画管理者に指示すること。
7.安全管理のための人的管
理(従業者管理、委託先管
④
理、教育・訓練、委託先選
と。
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めるこ
定・契約)
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
等して遵守状況を確認すること。
⑧
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
定・契約)
となどが挙げられる。)
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
ること。
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
5.2.1
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
契約管理
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
5.2
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
⑭
事業者管理
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わない
こと。
-
5 . 医 療 情 報 シ ス テ ム ・ サ ービ
7.安全管理のための人的管
ス事業者との協働
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
⑧
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧(異なる
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように
ること。
配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
⑭
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
①
体制管理
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
委託するシステム関連事業者に対して、業務実行体制を明確にし、
医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場
5.2.2
⑧
合には、事前に医療機関等に情報を提供し、協議・合意形成を経た上で
承認を得ること等を契約の内容に含めるよう、企画管理者に指示するこ
3.医療機関等における安全
6.6C2(1)d
管理のための体制と責任・権
10C1(5)b
限
⑦
医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する体制
を整備すること。
と。
①
システム関連事業者に委託を行う際の責任分界の管理に関する重要
性を認識し、医療機関と委託先事業者との間での責任分界を明確にし、
認識の齟齬等が生じないよう、書面等により可視化し、適切に管理する
ことを、企画管理者やシステム運用担当者に指示すること。
5.3
責任分界管理
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
-
4.2.1の趣旨から新設
2.責任分界
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。