よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (15 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
149
外部委託、外部
サービスの利用
企画管理編
(Management)
7.安全管理のた
めの人的管理
遵守事項-⑥-[g. 政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証等」に示 御意見として参考にさせていただきます。
す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無]にISMAPやJASAのCSゴールドマー
クの記載がある。一方で、これらの認証は、外部保存の改正通知やe-文書法(電子保存の3原則)への対応を意味するものでは
P28 なく、単に<一般的なサイバーセキュリティ/プライバシー対応が出来ている>ことを保証するのみであり、国内医療セキュリ
ティとの整合性は限定的。
よって、列記する認証を取っていても必ずしも医療セキュリティ適合性には該当しないという留意点を病院関係者にも示す補足
を追記すべきではないか。
遵守事項-⑥-[g. 政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証等」に示
す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無]に、認証が確認できない場合シ
P28
ステム監査技術者あるいはCISA資格取得者による外部監査をすることとの記載があるが、一般社団法人医療情報安全管理監査人
協会(iMISCA)が認定する<医療情報システム監査人>等の資格はシステム監査技術者 or CISA同等とみなすべきではないか?
150
外部委託、外部
サービスの利用
企画管理編
(Management)
7.安全管理のた
めの人的管理
151
外部委託、外部
サービスの利用
企画管理編
(Management)
7.安全管理のた
めの人的管理
152
外部委託、外部
サービスの利用
企画管理編
(Management)
153
外部委託、外部
サービスの利用
外部委託、外部
154
サービスの利用
155
156
157
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
システム運用編
(Control)
すべて
他(参考資料)
遵守事項-⑦-[「匿名化した情報であっても、匿名化の妥当性の検証を行う・・・]との記載は、「匿名化した情報」とは現行の 御意見として参考にさせていただきます。
P28 個人情報保護法では存在しない概念であるため(匿名加工情報 or 仮名加工情報しか法的定義はない)、「匿名化した情報」と
は何なのかについて具体的に定義すべき。
『患者の医療情報に関する検索サービスを実施している場合は、検索のための台帳やそれに代わるもの、及び検索履歴等も厳正 御意見として参考にさせていただきます。
7.5 外部保存・
P30 な取扱いの後に破棄されなければならない』について、想定している具体的なユースケースを明記して欲しい。
外部委託の終了
10.医療情報ス
テム・サービス事
業者による保守対
応等に対する安全
管理措置
保守要員が外部機器を持ち込む場合の確認事項については、
Q&Aに示しています。
P26
遵守事項-④-は、少なくとも、リモートメンテの機器の脆弱性対応が十分図られている点についてを補足すべき。理由があって
記載していないならその旨を記載すべき。
不特定多数の小規模組織を対象とするサービス事業者が展開するSaaSとしては、単独では本ガイドラインラインの要件を満たせ 各編の冒頭に図示しているとおり、クラウド型であって、事
ない可能性(体制の整備等)が考えられるが、その場合は当該の医療機関等ではサービスの利用は不可となるか。それとも、サー 業者と締結する契約書に含まれている場合には、当該箇所の
ビス事業者側で肩代わりすることで要件を充足したとすることが可能か。
参照を簡略化することができるとしています。
-
-
Q&A (案)
企Q-10、企Q-11
システムベンダがSaaSとして不特定多数の医療機関等へサービス提供を行う際、システムの監査等、同一の確認を複数の医療機 御意見として参考にさせていただきます。
関等にて実施される場合においては、医療機関等の実施事項として記載されている内容についてシステムベンダ側で実施した結
P22 果を、サービス利用している医療機関等へ提示することで充足できないか。
(複数医療機関等で実施される同一の作業内容を、システムベンダにて実施することで、医療機関等の作業量増加を必要最低限
とできないか。)
経営管理編
(Governance)
1.2 医療機関等
P4
における責任
企画管理編
(Management)
2.2.2 委託に
おける責任分界
(複数事業者が関 P15
与する場合を含
む)
158
外部委託、外部
サービスの利用
システム運用編
(Control)
3.責任分界
159
外部委託、外部
サービスの利用
システム運用編
(Control)
3.2 要求仕様適
合性の確認を踏ま P5
えた調整
P5
外部委託、外部
160
サービスの利用
システム運用編
(Control)
3.4.2 複数の
事業者に対する委
P8
託を含む場合の責
任分界
外部委託、外部
サービスの利用
企画管理編
(Management)
2.1.2 通常時
P11
における責任
161
御意見として参考にさせていただきます。
(1) 通常時において、非常時の計画及びその訓練が追加必要では。
(2) 非常時において、応急処置、拡大防止及び復旧が追加必要では。
(3)第三者に委託する場合 受託事業者を管理する責任が追加必要。
(4)第三者に医療情報を提供する場合 第三者が適切かを判断する責任、
第三者が適切に管理しているかを管理する責任なども追加が必要では。
表の項目追加に合わせて各遵守事項に関しても追加が必要。
クラウドサービスの利用のときに漏れる可能性が大きいのはクラウドに接続する医療機関内のネットワーク等の設定部分であ
る。クラウドを利用することにより、そのクラウドへの接続の医療機関等の口が脆弱になる可能性が高い。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
「から必要な情報等の収集を行うとともに、提供された情報の内容が正確であることを事業者に確認すること。」の記載は、
「提供された情報の内容が正確であるかどうかなどを事業者に確認すべきではなく、事業者はそれでなくても常に適切な情報を
提供する。
(変更案)
「~から必要な情報等の収集を行うとともに、不明点があれば事業者に確認すること。」
クラウドの場合の設定等に関しては、責任が不明確になりやすい点は記載のとおり。ほかクラウドにした場合に責任が不明確に 御意見として参考にさせていただきます。
なりやすい点として、医療施設内でのクラウド接続に伴うネットワーク、ルーティングの設定及び、接続機器の保守がある。ク
ラウドに接続するために、その接続する機器から又は機器へのデータが流れる必要があり、ネットワークのルーティング、セグ
メントなどを適切に変更して維持する必要がある。通常、クラウド事業者は、医療機関内のこのような点を責任外にする場合が
多い。このため、医療機関等はこれらを確実に自分たちで管理するか、明確にあるベンダー等に委託することが望まれる。これ
らを明記すべきではないか。
表3-2に記載されていない類型でよくあり重要なパターンとして、医療機関等がクラウド上で動作するアプリのサービスの提供 御意見として参考にさせていただきます。
を受けるクラウドが医療機関等と直接契約する場合がある。表3-2の一番下の類型に近いが、契約ではクラウドサービス事業者B
が医療機関等と契約する。
クラウドサービスA経由でBの使用も含めて契約できればいいが、費用の観点で医療機関等がBとの直接契約をする場合が多
い。Bは、医療情報を直接扱わないため、医療機関等の要求を十分考慮できない場合も多いし、Bが大きな企業で個々の医療機
関等の要求の対応をしない場合が多い。このような場合に問題になる場合が多いのではないかと思われます。これらの課題を明
記した上で、A経由でBを使い、契約もA経由でBとなることが、前記の課題解決につながる旨を記載したほうがいいのではな
いか。
ガイドラインを遵守するべきなのは医療機関等であり、システム関連事業者ではないため「遵守」を「対応」にすべき。
御意見として参考にさせていただきます。
15
外部委託、外部
サービスの利用
企画管理編
(Management)
7.安全管理のた
めの人的管理
遵守事項-⑥-[g. 政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証等」に示 御意見として参考にさせていただきます。
す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無]にISMAPやJASAのCSゴールドマー
クの記載がある。一方で、これらの認証は、外部保存の改正通知やe-文書法(電子保存の3原則)への対応を意味するものでは
P28 なく、単に<一般的なサイバーセキュリティ/プライバシー対応が出来ている>ことを保証するのみであり、国内医療セキュリ
ティとの整合性は限定的。
よって、列記する認証を取っていても必ずしも医療セキュリティ適合性には該当しないという留意点を病院関係者にも示す補足
を追記すべきではないか。
遵守事項-⑥-[g. 政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証等」に示
す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無]に、認証が確認できない場合シ
P28
ステム監査技術者あるいはCISA資格取得者による外部監査をすることとの記載があるが、一般社団法人医療情報安全管理監査人
協会(iMISCA)が認定する<医療情報システム監査人>等の資格はシステム監査技術者 or CISA同等とみなすべきではないか?
150
外部委託、外部
サービスの利用
企画管理編
(Management)
7.安全管理のた
めの人的管理
151
外部委託、外部
サービスの利用
企画管理編
(Management)
7.安全管理のた
めの人的管理
152
外部委託、外部
サービスの利用
企画管理編
(Management)
153
外部委託、外部
サービスの利用
外部委託、外部
154
サービスの利用
155
156
157
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
システム運用編
(Control)
すべて
他(参考資料)
遵守事項-⑦-[「匿名化した情報であっても、匿名化の妥当性の検証を行う・・・]との記載は、「匿名化した情報」とは現行の 御意見として参考にさせていただきます。
P28 個人情報保護法では存在しない概念であるため(匿名加工情報 or 仮名加工情報しか法的定義はない)、「匿名化した情報」と
は何なのかについて具体的に定義すべき。
『患者の医療情報に関する検索サービスを実施している場合は、検索のための台帳やそれに代わるもの、及び検索履歴等も厳正 御意見として参考にさせていただきます。
7.5 外部保存・
P30 な取扱いの後に破棄されなければならない』について、想定している具体的なユースケースを明記して欲しい。
外部委託の終了
10.医療情報ス
テム・サービス事
業者による保守対
応等に対する安全
管理措置
保守要員が外部機器を持ち込む場合の確認事項については、
Q&Aに示しています。
P26
遵守事項-④-は、少なくとも、リモートメンテの機器の脆弱性対応が十分図られている点についてを補足すべき。理由があって
記載していないならその旨を記載すべき。
不特定多数の小規模組織を対象とするサービス事業者が展開するSaaSとしては、単独では本ガイドラインラインの要件を満たせ 各編の冒頭に図示しているとおり、クラウド型であって、事
ない可能性(体制の整備等)が考えられるが、その場合は当該の医療機関等ではサービスの利用は不可となるか。それとも、サー 業者と締結する契約書に含まれている場合には、当該箇所の
ビス事業者側で肩代わりすることで要件を充足したとすることが可能か。
参照を簡略化することができるとしています。
-
-
Q&A (案)
企Q-10、企Q-11
システムベンダがSaaSとして不特定多数の医療機関等へサービス提供を行う際、システムの監査等、同一の確認を複数の医療機 御意見として参考にさせていただきます。
関等にて実施される場合においては、医療機関等の実施事項として記載されている内容についてシステムベンダ側で実施した結
P22 果を、サービス利用している医療機関等へ提示することで充足できないか。
(複数医療機関等で実施される同一の作業内容を、システムベンダにて実施することで、医療機関等の作業量増加を必要最低限
とできないか。)
経営管理編
(Governance)
1.2 医療機関等
P4
における責任
企画管理編
(Management)
2.2.2 委託に
おける責任分界
(複数事業者が関 P15
与する場合を含
む)
158
外部委託、外部
サービスの利用
システム運用編
(Control)
3.責任分界
159
外部委託、外部
サービスの利用
システム運用編
(Control)
3.2 要求仕様適
合性の確認を踏ま P5
えた調整
P5
外部委託、外部
160
サービスの利用
システム運用編
(Control)
3.4.2 複数の
事業者に対する委
P8
託を含む場合の責
任分界
外部委託、外部
サービスの利用
企画管理編
(Management)
2.1.2 通常時
P11
における責任
161
御意見として参考にさせていただきます。
(1) 通常時において、非常時の計画及びその訓練が追加必要では。
(2) 非常時において、応急処置、拡大防止及び復旧が追加必要では。
(3)第三者に委託する場合 受託事業者を管理する責任が追加必要。
(4)第三者に医療情報を提供する場合 第三者が適切かを判断する責任、
第三者が適切に管理しているかを管理する責任なども追加が必要では。
表の項目追加に合わせて各遵守事項に関しても追加が必要。
クラウドサービスの利用のときに漏れる可能性が大きいのはクラウドに接続する医療機関内のネットワーク等の設定部分であ
る。クラウドを利用することにより、そのクラウドへの接続の医療機関等の口が脆弱になる可能性が高い。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
「から必要な情報等の収集を行うとともに、提供された情報の内容が正確であることを事業者に確認すること。」の記載は、
「提供された情報の内容が正確であるかどうかなどを事業者に確認すべきではなく、事業者はそれでなくても常に適切な情報を
提供する。
(変更案)
「~から必要な情報等の収集を行うとともに、不明点があれば事業者に確認すること。」
クラウドの場合の設定等に関しては、責任が不明確になりやすい点は記載のとおり。ほかクラウドにした場合に責任が不明確に 御意見として参考にさせていただきます。
なりやすい点として、医療施設内でのクラウド接続に伴うネットワーク、ルーティングの設定及び、接続機器の保守がある。ク
ラウドに接続するために、その接続する機器から又は機器へのデータが流れる必要があり、ネットワークのルーティング、セグ
メントなどを適切に変更して維持する必要がある。通常、クラウド事業者は、医療機関内のこのような点を責任外にする場合が
多い。このため、医療機関等はこれらを確実に自分たちで管理するか、明確にあるベンダー等に委託することが望まれる。これ
らを明記すべきではないか。
表3-2に記載されていない類型でよくあり重要なパターンとして、医療機関等がクラウド上で動作するアプリのサービスの提供 御意見として参考にさせていただきます。
を受けるクラウドが医療機関等と直接契約する場合がある。表3-2の一番下の類型に近いが、契約ではクラウドサービス事業者B
が医療機関等と契約する。
クラウドサービスA経由でBの使用も含めて契約できればいいが、費用の観点で医療機関等がBとの直接契約をする場合が多
い。Bは、医療情報を直接扱わないため、医療機関等の要求を十分考慮できない場合も多いし、Bが大きな企業で個々の医療機
関等の要求の対応をしない場合が多い。このような場合に問題になる場合が多いのではないかと思われます。これらの課題を明
記した上で、A経由でBを使い、契約もA経由でBとなることが、前記の課題解決につながる旨を記載したほうがいいのではな
いか。
ガイドラインを遵守するべきなのは医療機関等であり、システム関連事業者ではないため「遵守」を「対応」にすべき。
御意見として参考にさせていただきます。
15