よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン第6.0版各編間相関表(案) (4 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
おける統制上の留意点
④
7.安全管理のための人的管
情報セキュリティ対策に関する統制の対象には、医療機関等に直接
雇用されている職員だけでなく、システム関連事業者の担当者や派遣社 -
員など、医療機関等が直接雇用していない者も含むこと。
①
リスク評価やリスク管理方針を踏まえて、情報セキュリティ方針を
整備すること。
3.2.1
統制と6.6の趣旨を踏まえ 理 ( 従 業 者 管 理 、 委 託 先 管
②
新設
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
10C1(1)a
ー
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
情報セキュリティ方
針を踏まえた情報セキュリティ対
策の整備
②
7.安全管理のための人的管
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、
実施可能な内容で、実効性のある、適切な情報セキュリティ対策を整備 -
6.3の趣旨を踏まえ新設
するよう、企画管理者に指示し、管理すること。
3.2
理、教育・訓練、委託先選
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理(従業者管理、委託先管
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守
理、教育・訓練、委託先選
秘・非開示に関する条項を含める等の安全管理対策を実施すること。
定・契約)
設計
①
整備した規程類を適切に利用し、情報セキュリティ方針を遵守した
対策が実施できるよう、通常時から情報セキュリティ対策に関する統制
3.2.2
情報セキュリティ対
対象者すべてに対して定期的な教育・訓練を実施すること。
6.6C1(2)
6.10C2
3.医療機関等における安全
ー
管理のための体制と責任・権
限
策を踏まえた訓練・教育
⑥
医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育や訓
練を講じるための体制を整備すること。
7.安全管理のための人的管
理(従業者管理、委託先管
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理、教育・訓練、委託先選
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
①
①
定期的にログを確認すること。アクセスログは、少なくとも利用者の
医療機関等において医療情報システムに関する安全管理対策が適切
に実施されていることを確認するため、企画管理者やシステム運用担当
者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に
利用者のアクセスについて、アクセスログを記録するとともに、
10C1(2)c
ー
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
備について必要な対応を行うこと。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
応じて改善に向けた対応を指示すること。
録機能があることが前提であるが、ない場合は、業務日誌等により操
作者、操作内容等を記録すること。
17.証跡のレビュー・システ
②
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③
アクセスログへのアクセス制限を行い、アクセスログの不当な削
アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
①
3.3.1
利用者のアクセスについて、アクセスログを記録するとともに、
定期的にログを確認すること。アクセスログは、少なくとも利用者の
安全管理状況の自己
点検
5.安全管理におけるエビデ
② 証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものとする
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
ことに留意すること。また証跡の改ざん等を防止する措置を講じること。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
録機能があることが前提であるが、ない場合は、業務日誌等により操
作者、操作内容等を記録すること。
17.証跡のレビュー・システ
②
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③
3.3
安全管理対策の管理
アクセスログへのアクセス制限を行い、アクセスログの不当な削
アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
①
医療機関等内で、企画管理者やシステム運用担当者から独立した組
織による内部監査、または医療機関等とは異なる機関による外部監査を -
実施し、管理責任を果たすこと。
4.1(1) の 趣 旨 を 踏 ま え て
新設
5.安全管理におけるエビデ
③ 収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必要が
ンスの考え方
あれば証跡の整備に関する改善を行うこと。
5.安全管理におけるエビデ
④ 法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるように
ンスの考え方
管理すること。
8.情報管理(管理、持出
⑩
し、破棄等)
と。
医療情報の持ち出し状況について定期的なレビューを行い、持ち出し状況の適切な管理を行うこ
3.医療機関等における安全
管理のための体制と責任・権
⑧
医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
限
① 医療機関等における医療情報システムの安全管理が適切に行われていることを把握するため、運
10.運用に対する点検・監査
用の点検を行うこと。技術的な対応に関しては、担当者に点検を命じ、その報告を受け、確認するこ
と。点検に際しては、各規程、手順等による運用が適切に行われていることを、「5.安全管理にお
けるエビデンス」で整備した証跡に基づいて確認し、必要があれば改善を行うこと。
② 医療情報システムの取扱いを委託している場合は、委託先事業者において医療情報システムの安
10.運用に対する点検・監査
3.3.2
情報セキュリティ監
全管理が適切になされていることを、委託先事業者からの報告に基づいて確認すること。医療情報シ
ステム・サービスの性格上、報告に基づく確認が難しい場合は、SLA に対する評価等の中で確認す
ること。
査
10.運用に対する点検・監査
③
医療情報システムの取扱いに関する点検結果を、経営層に報告し、承認を得ること。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
17.証跡のレビュー・システ
④
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
17.証跡のレビュー・システ
④
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
と。
④
②
内部監査や外部監査の結果を踏まえ、必要に応じて、安全管理措置
の改善に向けた対応を企画管理者やシステム運用担当者に指示するとと -
もに、その対応結果をフォローすること。
4.1(1) の 趣 旨 を 踏 ま え て
新設
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
と。
①
情報セキュリティインシデントの発生に備え、非常時における業務
11.非常時(災害、インシデ
継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロ 6.10C1
ー
セスを検討し、BCP 等を整備すること。
ント、サイバー攻撃被害)対
⑧
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨
非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応を行
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
うこと。
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩
や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
12.サイバー攻撃対策
「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1号
発1029 第3号
医政研発1029 第1号
医政地
平成30 年10 月29 日)に基づき、所管官庁への連絡等の必
要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
3.安全管理全般(統制、設
こと。
計、管理等)
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
②
情報セキュリティインシデントにより、医療機関等内の医療情報シ
び監査すること。
ステムの全部又は一部に影響が生じる場合に備え、医療情報システムの
適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指
示するとともに、当該復旧手順について随時自己点検を行うよう指示し
11.非常時(災害、インシデ
6.10C2-4
ー
ント、サイバー攻撃被害)対
応とBCP策定
た上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
⑤
非常時における安全管理対策について、担当者に対策の実装と対策を踏まえた文書の整備を指示
し、確認すること。
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
3.4.1
事業継続計画
( BCP : Business Continuity
Plan)の整備と訓練
③
通常時に整備していたBCP が、非常時において迅速かつ的確に実施でき
るよう、通常時から定期的に訓練・演習を実施し、その結果を踏まえ、 -
必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指
示すること。
6.10の 趣旨 を踏 まえ て新
設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑦
非常時への対応状況を定期的に確認し、経営層に報告のうえ、承認を得ること。
11.システム運用管理(通
②
医療情報システムの稼働状況などを把握するため、パフォーマン
常時・非常時等)
ス管理、死活監視などを行うこと。
④
7.安全管理のための人的管
情報セキュリティ対策に関する統制の対象には、医療機関等に直接
雇用されている職員だけでなく、システム関連事業者の担当者や派遣社 -
員など、医療機関等が直接雇用していない者も含むこと。
①
リスク評価やリスク管理方針を踏まえて、情報セキュリティ方針を
整備すること。
3.2.1
統制と6.6の趣旨を踏まえ 理 ( 従 業 者 管 理 、 委 託 先 管
②
新設
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
10C1(1)a
ー
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
情報セキュリティ方
針を踏まえた情報セキュリティ対
策の整備
②
7.安全管理のための人的管
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、
実施可能な内容で、実効性のある、適切な情報セキュリティ対策を整備 -
6.3の趣旨を踏まえ新設
するよう、企画管理者に指示し、管理すること。
3.2
理、教育・訓練、委託先選
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理(従業者管理、委託先管
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守
理、教育・訓練、委託先選
秘・非開示に関する条項を含める等の安全管理対策を実施すること。
定・契約)
設計
①
整備した規程類を適切に利用し、情報セキュリティ方針を遵守した
対策が実施できるよう、通常時から情報セキュリティ対策に関する統制
3.2.2
情報セキュリティ対
対象者すべてに対して定期的な教育・訓練を実施すること。
6.6C1(2)
6.10C2
3.医療機関等における安全
ー
管理のための体制と責任・権
限
策を踏まえた訓練・教育
⑥
医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育や訓
練を講じるための体制を整備すること。
7.安全管理のための人的管
理(従業者管理、委託先管
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理、教育・訓練、委託先選
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
①
①
定期的にログを確認すること。アクセスログは、少なくとも利用者の
医療機関等において医療情報システムに関する安全管理対策が適切
に実施されていることを確認するため、企画管理者やシステム運用担当
者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に
利用者のアクセスについて、アクセスログを記録するとともに、
10C1(2)c
ー
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
備について必要な対応を行うこと。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
応じて改善に向けた対応を指示すること。
録機能があることが前提であるが、ない場合は、業務日誌等により操
作者、操作内容等を記録すること。
17.証跡のレビュー・システ
②
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③
アクセスログへのアクセス制限を行い、アクセスログの不当な削
アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
①
3.3.1
利用者のアクセスについて、アクセスログを記録するとともに、
定期的にログを確認すること。アクセスログは、少なくとも利用者の
安全管理状況の自己
点検
5.安全管理におけるエビデ
② 証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものとする
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
ことに留意すること。また証跡の改ざん等を防止する措置を講じること。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
録機能があることが前提であるが、ない場合は、業務日誌等により操
作者、操作内容等を記録すること。
17.証跡のレビュー・システ
②
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③
3.3
安全管理対策の管理
アクセスログへのアクセス制限を行い、アクセスログの不当な削
アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
①
医療機関等内で、企画管理者やシステム運用担当者から独立した組
織による内部監査、または医療機関等とは異なる機関による外部監査を -
実施し、管理責任を果たすこと。
4.1(1) の 趣 旨 を 踏 ま え て
新設
5.安全管理におけるエビデ
③ 収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必要が
ンスの考え方
あれば証跡の整備に関する改善を行うこと。
5.安全管理におけるエビデ
④ 法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるように
ンスの考え方
管理すること。
8.情報管理(管理、持出
⑩
し、破棄等)
と。
医療情報の持ち出し状況について定期的なレビューを行い、持ち出し状況の適切な管理を行うこ
3.医療機関等における安全
管理のための体制と責任・権
⑧
医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
限
① 医療機関等における医療情報システムの安全管理が適切に行われていることを把握するため、運
10.運用に対する点検・監査
用の点検を行うこと。技術的な対応に関しては、担当者に点検を命じ、その報告を受け、確認するこ
と。点検に際しては、各規程、手順等による運用が適切に行われていることを、「5.安全管理にお
けるエビデンス」で整備した証跡に基づいて確認し、必要があれば改善を行うこと。
② 医療情報システムの取扱いを委託している場合は、委託先事業者において医療情報システムの安
10.運用に対する点検・監査
3.3.2
情報セキュリティ監
全管理が適切になされていることを、委託先事業者からの報告に基づいて確認すること。医療情報シ
ステム・サービスの性格上、報告に基づく確認が難しい場合は、SLA に対する評価等の中で確認す
ること。
査
10.運用に対する点検・監査
③
医療情報システムの取扱いに関する点検結果を、経営層に報告し、承認を得ること。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
17.証跡のレビュー・システ
④
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
17.証跡のレビュー・システ
④
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
と。
④
②
内部監査や外部監査の結果を踏まえ、必要に応じて、安全管理措置
の改善に向けた対応を企画管理者やシステム運用担当者に指示するとと -
もに、その対応結果をフォローすること。
4.1(1) の 趣 旨 を 踏 ま え て
新設
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
と。
①
情報セキュリティインシデントの発生に備え、非常時における業務
11.非常時(災害、インシデ
継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロ 6.10C1
ー
セスを検討し、BCP 等を整備すること。
ント、サイバー攻撃被害)対
⑧
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨
非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応を行
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
うこと。
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩
や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
12.サイバー攻撃対策
「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1号
発1029 第3号
医政研発1029 第1号
医政地
平成30 年10 月29 日)に基づき、所管官庁への連絡等の必
要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
3.安全管理全般(統制、設
こと。
計、管理等)
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
②
情報セキュリティインシデントにより、医療機関等内の医療情報シ
び監査すること。
ステムの全部又は一部に影響が生じる場合に備え、医療情報システムの
適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指
示するとともに、当該復旧手順について随時自己点検を行うよう指示し
11.非常時(災害、インシデ
6.10C2-4
ー
ント、サイバー攻撃被害)対
応とBCP策定
た上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
⑤
非常時における安全管理対策について、担当者に対策の実装と対策を踏まえた文書の整備を指示
し、確認すること。
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
3.4.1
事業継続計画
( BCP : Business Continuity
Plan)の整備と訓練
③
通常時に整備していたBCP が、非常時において迅速かつ的確に実施でき
るよう、通常時から定期的に訓練・演習を実施し、その結果を踏まえ、 -
必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指
示すること。
6.10の 趣旨 を踏 まえ て新
設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑦
非常時への対応状況を定期的に確認し、経営層に報告のうえ、承認を得ること。
11.システム運用管理(通
②
医療情報システムの稼働状況などを把握するため、パフォーマン
常時・非常時等)
ス管理、死活監視などを行うこと。