よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン第6.0版各編間相関表(案) (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
1 . 安 全 管 理 に 関 す る 責 任 ・責
務
【説明責任】
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩
や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
12.サイバー攻撃対策
「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1号
発1029 第3号
医政研発1029 第1号
医政地
平成30 年10 月29 日)に基づき、所管官庁への連絡等の必
要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
①
情報セキュリティインシデントが生じた場合、医療機関等内、シス
テム関連事業者及び外部関係機関と協働して、インシデントの原因を究 -
明し、インシデントの発生や経緯等を整理すること。
5.2版6.10B(4)の趣旨を踏
まえて新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
⑧
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑩
非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告し、
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
【善後策を講ずる責任】
承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
②
情報セキュリティインシデントが生じた場合、その原因を踏まえた
再発防止策を講じること。
①
-
医療情報システムの安全管理について、システム関連事業者に委託
する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に行う -
こと。
5.2 版 4.1B(2) ② の 趣 旨 を
踏まえて新設
5.2 版 8.3 の 趣 旨 を 踏 ま え
て新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑩
非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告し、
承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
1.管理体系
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
⑥
a
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又はISMS 認証を取得していること
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウ
7.安全管理のための人的管
ド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能
理(従業者管理、委託先管
力の有無
理、教育・訓練、委託先選
・政府情報システムのためのセキュリティ評価制度(ISMAP)
定・契約)
・JASA クラウドセキュリティ推進協議会CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
h 医療情報を保存する情報機器が設置されている場所(地域、国)
i 委託先事業者に対する国外法の適用可能性
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
1.3.1
委託(第三者委託)におけ
等して遵守状況を確認すること。
る責任
1.3
委託における責任
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
定・契約)
となどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
-
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わない
こと。
-
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧(異なる
患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように
配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
⑧
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
7.安全管理のための人的管
理(従業者管理、委託先管
⑨
委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容について
理、教育・訓練、委託先選
あらかじめ契約により取り決めておくこと。
定・契約)
1.3.2
委託(第三者委託)におけ
る責任分界
①
業務等を委託する場合には、委託する業務等の内容や責任範囲、役
割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、書面等
により可視化し、適切に契約等の取決めを実施し、保管すること。
①
医療情報を第三者提供する場合、法令等を遵守し、手続き等の記録
等を適切に管理する体制を整備すること。
1.4
6.11C6
10C1(7)
-
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
5.2版4.2の趣旨を加味
医療情報を第三者提供する場合、医療機関等と第三者それぞれが負
う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよう、書 -
面等により可視化し、適切に管理すること。
①
取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を
策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決定す 6.2C4
ること。
②
リスク分析を踏まえたリスク管理が必要な場面の整理や、対策とし
て求められる体制やルール等の企画や整備、管理について、企画管理者 6.2C4
に指示すること。
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
5.2版4.2.2の趣旨を踏まえ
て新設
第三者提供おける責任
②
1.管理体系
5.2版4.2.2の趣旨を踏まえ
て新設
リスク分析を踏まえた対
応について新設
リスク分析を踏まえた対
応について新設
①
2.責任分界
医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
ンスの考え方
備について必要な対応を行うこと。
2.責任分界
⑥
り決めること。
①
6.リスクマネジメント
第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分担を含めて取
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を経営
層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して必要な措置
を講じること。
6.リスクマネジメント
②
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上の重
要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
⑤
3.責任分界
第三者提供を行う際の責任分界について、企画管理者と協議の上で、医
療機関等のリスク評価に従った範囲で、技術的な対応に関する責任分界の範
囲を検討し、企画管理者に報告すること。
6.安全管理を実現する
ための技術的対策の体系
①
システム運用担当者は、医療情
務
【説明責任】
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩
や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
12.サイバー攻撃対策
「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1号
発1029 第3号
医政研発1029 第1号
医政地
平成30 年10 月29 日)に基づき、所管官庁への連絡等の必
要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
①
情報セキュリティインシデントが生じた場合、医療機関等内、シス
テム関連事業者及び外部関係機関と協働して、インシデントの原因を究 -
明し、インシデントの発生や経緯等を整理すること。
5.2版6.10B(4)の趣旨を踏
まえて新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
⑧
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑩
非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告し、
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
【善後策を講ずる責任】
承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
②
情報セキュリティインシデントが生じた場合、その原因を踏まえた
再発防止策を講じること。
①
-
医療情報システムの安全管理について、システム関連事業者に委託
する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に行う -
こと。
5.2 版 4.1B(2) ② の 趣 旨 を
踏まえて新設
5.2 版 8.3 の 趣 旨 を 踏 ま え
て新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑩
非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告し、
承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
1.管理体系
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
⑥
a
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又はISMS 認証を取得していること
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウ
7.安全管理のための人的管
ド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能
理(従業者管理、委託先管
力の有無
理、教育・訓練、委託先選
・政府情報システムのためのセキュリティ評価制度(ISMAP)
定・契約)
・JASA クラウドセキュリティ推進協議会CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
h 医療情報を保存する情報機器が設置されている場所(地域、国)
i 委託先事業者に対する国外法の適用可能性
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
1.3.1
委託(第三者委託)におけ
等して遵守状況を確認すること。
る責任
1.3
委託における責任
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
定・契約)
となどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
-
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わない
こと。
-
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧(異なる
患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように
配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
⑧
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
7.安全管理のための人的管
理(従業者管理、委託先管
⑨
委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容について
理、教育・訓練、委託先選
あらかじめ契約により取り決めておくこと。
定・契約)
1.3.2
委託(第三者委託)におけ
る責任分界
①
業務等を委託する場合には、委託する業務等の内容や責任範囲、役
割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、書面等
により可視化し、適切に契約等の取決めを実施し、保管すること。
①
医療情報を第三者提供する場合、法令等を遵守し、手続き等の記録
等を適切に管理する体制を整備すること。
1.4
6.11C6
10C1(7)
-
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
5.2版4.2の趣旨を加味
医療情報を第三者提供する場合、医療機関等と第三者それぞれが負
う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよう、書 -
面等により可視化し、適切に管理すること。
①
取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を
策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決定す 6.2C4
ること。
②
リスク分析を踏まえたリスク管理が必要な場面の整理や、対策とし
て求められる体制やルール等の企画や整備、管理について、企画管理者 6.2C4
に指示すること。
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
5.2版4.2.2の趣旨を踏まえ
て新設
第三者提供おける責任
②
1.管理体系
5.2版4.2.2の趣旨を踏まえ
て新設
リスク分析を踏まえた対
応について新設
リスク分析を踏まえた対
応について新設
①
2.責任分界
医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
ンスの考え方
備について必要な対応を行うこと。
2.責任分界
⑥
り決めること。
①
6.リスクマネジメント
第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分担を含めて取
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を経営
層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して必要な措置
を講じること。
6.リスクマネジメント
②
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上の重
要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
⑤
3.責任分界
第三者提供を行う際の責任分界について、企画管理者と協議の上で、医
療機関等のリスク評価に従った範囲で、技術的な対応に関する責任分界の範
囲を検討し、企画管理者に報告すること。
6.安全管理を実現する
ための技術的対策の体系
①
システム運用担当者は、医療情