よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン第6.0版各編間相関表(案) (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
①
6.リスクマネジメント
③
医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて速や
かに確認できる状態で管理すること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
6.リスクマネジメント
④
安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連する
情報の安全管理上の重要度を分類すること。
①
6.リスクマネジメント
⑤
②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
11.非常時(災害、インシデ
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行
ント、サイバー攻撃被害)対
い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた計画を
応とBCP策定
含めること。
2.システム設計・運用に必
⑤
要な規程類と文書体系
し、企画管理者の承認を得ること。
①
非常時や情報セキュリティインシデントが生じた場合の手順等を作成
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
2.1
医療情報システムにおける
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
リスク評価の実施
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
び監査すること。
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
2.リスク評価を踏まえた管理
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③
経営層の方針やリスク分析を踏まえ、具体的にシステム面からの最
適なリスク管理措置を検討し、実装、運用するよう、企画管理者に指示 6.2C4
すること。
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
②
医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整合
性を確認して対応方針を策定すること。
⑥
経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
①
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
②
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
①
①
リスク評価を踏まえ、医療情報の重要性や医療の継続性、経営資源
の投入やリスク管理対策の実施の継続可能性等を鑑みて、リスク管理方 6.2C4
針を決定すること。
2.2.1
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
リスク評価を踏まえ
②
たリスク管理
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
2.2リスク評価を踏まえた判断
2.2.2
情報セキュリティマ
ネ ジ メ ン ト シ ス テ ム ( ISMS :
Information Security Management
System)の実践
②
リスク評価結果、リスク管理方針に関する説明責任を果たすこと。 6.2C4
①
リスク管理方針を踏まえ、医療情報及び医療情報システムといった
医療機関等における情報資産のセキュリティに関する管理を、通常業務 -
の一環として整え、ISMS を策定し、実施すること。
①
2.2.3
リスク分析を踏まえ
た要求仕様適合性の管理
リスク分析を踏まえた対
応について新設
5.2版6.2.1の趣旨を踏まえ
て新設
6.リスクマネジメント
6.リスクマネジメント
-
6.リスクマネジメント
6.リスクマネジメント
統制の体系を理解し、医療機関等における情報セキュリティ対策に
関する統制の実効性を確保するために必要な規程類、管理体制等を整備
するとともに、適切に統制が機能されているかを確認すること。
6.3C5
統制についての記述は新
第10章
設
PDCA モデルに基づくISMS(Information Security Management System:情報セキュリティマ
ネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されていることを確認
し、経営層にその状況を報告すること。
理すること。
①
リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が説明
責任を果たすために必要な対応を行うこと。
⑨
医療機関等のリスク管理方針に基づき、システム関連事業者が適切
にリスク管理を実施し、医療機関等の要求仕様への適合性を確認し、管 6.2.3C4
⑦
⑧
じること。
⑩
PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策を
講じ、経営層に報告し、承認を得ること。
④
1.管理体系
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理するこ
と。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反映する
こと。
1.管理体系
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
⑥
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
3.医療機関等における安全
管理のための体制と責任・権
3.1.1
情報セキュリティ対
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
①
医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討 6.3C1
すること。
②
医療機関等において安全管理を直接実行する企画管理者を設置する
こと。
付表
6.3C1
システム安全管理責任者
から企画管理者へ変更
3.医療機関等における安全
管理のための体制と責任・権
限
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
医療情報システムに
おける統制上の留意点
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整備を
担当者に指示し、確認すること。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者に指
示し、整備状況を確認の上、経営層に報告すること。
情報セキュリティ対策に関する統制は、医療機関等内の組織や人事
統制の趣旨を踏まえ新設
①
医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確に
し、その内容について経営層の承認を得ること。
② 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営に関
する規程等を策定し、経営層の承認を得ること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を
明確にし、経営層の承認を得ること。
管理のための体制と責任・権
した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者(CISO)
限
やCSIRTなどの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を得ること。
限
て、組織横断的に実施すること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において発生
管理のための体制と責任・権
等の統制とは区別し、医療機関等全体における統制の一つと位置付け -
程等の整備を行い、経営層の承認を取ること。
3.医療機関等における安全
3.医療機関等における安全
③
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要な規
-
3.医療機関等における安全
3.1.2
①~⑨までの対応においては、整備した内容を可視化できるようにすること。
限
策のための統制
3.1.統制
⑩
⑤
法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要な措
置を講じ、その結果を経営層に報告し、承認を得ること。
6.リスクマネジメント
③
医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて速や
かに確認できる状態で管理すること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
6.リスクマネジメント
④
安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連する
情報の安全管理上の重要度を分類すること。
①
6.リスクマネジメント
⑤
②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
11.非常時(災害、インシデ
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行
ント、サイバー攻撃被害)対
い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた計画を
応とBCP策定
含めること。
2.システム設計・運用に必
⑤
要な規程類と文書体系
し、企画管理者の承認を得ること。
①
非常時や情報セキュリティインシデントが生じた場合の手順等を作成
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
2.1
医療情報システムにおける
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
リスク評価の実施
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
び監査すること。
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
2.リスク評価を踏まえた管理
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③
経営層の方針やリスク分析を踏まえ、具体的にシステム面からの最
適なリスク管理措置を検討し、実装、運用するよう、企画管理者に指示 6.2C4
すること。
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
②
医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整合
性を確認して対応方針を策定すること。
⑥
経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
①
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
②
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
①
①
リスク評価を踏まえ、医療情報の重要性や医療の継続性、経営資源
の投入やリスク管理対策の実施の継続可能性等を鑑みて、リスク管理方 6.2C4
針を決定すること。
2.2.1
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
リスク評価を踏まえ
②
たリスク管理
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
2.2リスク評価を踏まえた判断
2.2.2
情報セキュリティマ
ネ ジ メ ン ト シ ス テ ム ( ISMS :
Information Security Management
System)の実践
②
リスク評価結果、リスク管理方針に関する説明責任を果たすこと。 6.2C4
①
リスク管理方針を踏まえ、医療情報及び医療情報システムといった
医療機関等における情報資産のセキュリティに関する管理を、通常業務 -
の一環として整え、ISMS を策定し、実施すること。
①
2.2.3
リスク分析を踏まえ
た要求仕様適合性の管理
リスク分析を踏まえた対
応について新設
5.2版6.2.1の趣旨を踏まえ
て新設
6.リスクマネジメント
6.リスクマネジメント
-
6.リスクマネジメント
6.リスクマネジメント
統制の体系を理解し、医療機関等における情報セキュリティ対策に
関する統制の実効性を確保するために必要な規程類、管理体制等を整備
するとともに、適切に統制が機能されているかを確認すること。
6.3C5
統制についての記述は新
第10章
設
PDCA モデルに基づくISMS(Information Security Management System:情報セキュリティマ
ネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されていることを確認
し、経営層にその状況を報告すること。
理すること。
①
リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が説明
責任を果たすために必要な対応を行うこと。
⑨
医療機関等のリスク管理方針に基づき、システム関連事業者が適切
にリスク管理を実施し、医療機関等の要求仕様への適合性を確認し、管 6.2.3C4
⑦
⑧
じること。
⑩
PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策を
講じ、経営層に報告し、承認を得ること。
④
1.管理体系
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理するこ
と。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反映する
こと。
1.管理体系
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
⑥
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
3.医療機関等における安全
管理のための体制と責任・権
3.1.1
情報セキュリティ対
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
①
医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討 6.3C1
すること。
②
医療機関等において安全管理を直接実行する企画管理者を設置する
こと。
付表
6.3C1
システム安全管理責任者
から企画管理者へ変更
3.医療機関等における安全
管理のための体制と責任・権
限
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
医療情報システムに
おける統制上の留意点
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整備を
担当者に指示し、確認すること。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者に指
示し、整備状況を確認の上、経営層に報告すること。
情報セキュリティ対策に関する統制は、医療機関等内の組織や人事
統制の趣旨を踏まえ新設
①
医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確に
し、その内容について経営層の承認を得ること。
② 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営に関
する規程等を策定し、経営層の承認を得ること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を
明確にし、経営層の承認を得ること。
管理のための体制と責任・権
した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者(CISO)
限
やCSIRTなどの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を得ること。
限
て、組織横断的に実施すること。
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において発生
管理のための体制と責任・権
等の統制とは区別し、医療機関等全体における統制の一つと位置付け -
程等の整備を行い、経営層の承認を取ること。
3.医療機関等における安全
3.医療機関等における安全
③
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要な規
-
3.医療機関等における安全
3.1.2
①~⑨までの対応においては、整備した内容を可視化できるようにすること。
限
策のための統制
3.1.統制
⑩
⑤
法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要な措
置を講じ、その結果を経営層に報告し、承認を得ること。