よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (17 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
175
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
外部委託、外部
177
サービスの利用
外部委託、外部
178
サービスの利用
176
179
180
181
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
概説編「4.4 医療情報システムに関する統制 」をはじめとして、医療情報システム・サービス事業者等との責任分界の管理
は極めて重要であると考えられ、同項にも書かれている「医療情報を取り扱う情報システム・サービスの提供事業者における安
全管理ガイドライン」や「医療機器のサイバーセキュリティ導入に関する手引書」の遵守を事業者に求めることについては以下
の項目でも改めて遵守するよう明示的に記載してはどうか。
・経営管理編1.3.1 委託(第三者委託)における責任
・経営管理編1.3.2 委託(第三者委託)における責任分界
・経営管理編2.2.3 リスク分析を踏まえた要求仕様適合性の管理
・経営管理編5.2.2 体制管理
・企画管理編2.1.1 医療機関等における責任と責任分界
・企画管理編3.1.7 委託等における安全管理の体制
御意見として参考にさせていただきます。なお、「医療機器の
サイバーセキュリティ導入に関する手引書」については、薬生
機審発0331第11号・薬生安発0331第4号通知において、製造
販売業者等に対する周知を行っており、また「医療機関におけ
る医療機器のサイバーセキュリティ確保のための手引書」につ
いては、医政参発0331第1号・薬生機審発0331第16号・薬生
安発0331第8号通知において、医療機関における体制確保を
行うよう関係機関・関係団体への周知を行っています。
医療情報システムを利用・管理するために、「医療情報システム・サービス事業者」として想定している事業者と別途契約を結
ぶにあたり、対象となる事業者の選定に必要な情報をホームページ等に掲載することを検討してほしい。
5.1.2の事業者選定の基準 には「外部委託において」や「医療情報の取り扱いに関する委託先事業者」の記載があるた
5.1 事業者選定 P21 め、【遵守事項】①②もそれに合わせた書きぶりにしていただけないか。
「委託契約において」だけでは何の委託契約か分からないため、「委託契約において」を「医療情報の取扱いに関する委託契約
5.2.1 契約管
P22 において」にしてはどうか。
理
(1)説明責任の「医療情報システム・サービスの運用等についてシステム関連事業者に委託している場合には・・・」は、
・クラウドサービスや医療情報を取り扱う運用を委託する場合は2省ガイドラインの「サービス仕様適合開示書」の提供をベン
ダーに求める。
2.1.2 通常時
P11 ・オンプレミスで医療情報を取り扱う運用を委託していないが場合は、MDSで本ガイドラインの適合状況を確認する。
における責任
等運用の定義を具体的に示していただけると医療機関とシステム関連事業者での共通理解が深まるのではないか。
委託先の事業者選定については、経営管理編5.1、企画管理編
7.4にそれぞれ記載しています。
御意見として参考にさせていただきます。
すべて
-
概説編
(Overview)
経営管理編
(Governance)
経営管理編
(Governance)
2.3 医療情報シ
P2
ステムの範囲
企画管理編
(Management)
-
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
企画管理編
(Management)
3パラの書き出しにMDSを追記をし、「実際には、システム関連事業者が提供するMDS等の情報やサービス仕様適合開示書等の内 「サービス仕様適合開示書等」の「等」には、MDS/SDSも含ん
2.1.4 リスク
容を踏まえて、」としていただけないか。
でいます。
分析を踏まえた要
P13
求仕様適合性の確
認への対応
システム運用編
(Control)
2パラ「例えば、」から始まる文は下記のような文面のほうがより具体的で誤解を与えないのではないか。
「サービス仕様適合開示書等」の「等」には、MDS/SDSも含ん
「例えば、医療情報の取り扱いを委託する場合やクラウドサービスを利用する際、総務省・経済産業省の定めた「医療情報を取 でいます。
り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」においては・・・その基礎となる内容はサービス
仕様適合開示書等により示されている。また、オンプレミスにおいては、日本画像医療システム工業会(JIRA)の工業会規格
(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システム工業会(JAHIS)の
JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」で示されているチェック
リスト等などがある。」
182
外部委託、外部
サービスの利用
システム運用編
(Control)
183
外部委託、外部
サービスの利用
システム運用編
(Control)
3.2 要求仕様適
合性の確認を踏ま P5
えた調整
事業者より提示する書類は「サービス仕様適合開示書」だけではないことから、途中にあるなお書きは、「なお事業者からは、 ご指摘を踏まえ、「サービス仕様適合開示書等」と修正しま
4.2 リスクアセ
「サービス仕様適合開示書」や「MDS」などの提示を受けることが想定される。」としてはどうか。
す。
スメントを踏まえ
P11
た安全管理対策の
設計
【遵守事項】にて、リモートメンテナンス(保守)を行う際のリスクアセスメントの定期的な実施を明示してはどうか。
御意見として参考にさせていただきます。
10.医療情報ス
テム・サービス事
業者による保守対 P26
応等に対する安全
管理措置
経営管理編
(Governance)
医療機関は機器やソフトウェアの設定、運用状況など実施状況管理監督し安全に保つ立場として、システム関連事業者の設定や 御意見として参考にさせていただきます。
セキュリティ上危険な設計思想やガイドライン順守をしないこと等によるセキュリティ侵害は防ぐため【遵守事項】に以下を追
記してはどうか。
5.2 事業者管理 P22 (追記案)
委託するシステム関連事業者の実施状況を実地で観察し、報告を受け、定期的なアップデートや機器のセキュリティに関する作
業が漏れなく、正しく行われているか実施状況の管理を行うように、企画管理者に指示すること。
185 その他・全般
すべて
-
-
186 その他・全般
すべて
-
-
187 その他・全般
他(参考資料)
Q&A (案)
概Q-1
P2
188 その他・全般
概説編
(Overview)
2.1 医療機関等
P1
の範囲
189 その他・全般
概説編
(Overview)
2.3 医療情報シ
P2
ステムの範囲
企画管理編
(Management)
1.1.2 医療情
報システムに関係 P5
する法令
184
外部委託、外部
サービスの利用
190 その他・全般
実現できる医療機関がどの程度あるのだろうかと疑問。契約書一つとっても、べき論が主で具体論が全くない。
書いてあることは最もだが、現実的に医療機関のSEのスキル面及びマンパワー面でも対応困難。必要な資格(基本情報技術者以
上、医療情報技師など)を求め、病院が資格取得支援や手当を出せる体制を確保しないと実用性がない。
「システムに関係するベンダや事業者にも本ガイドラインを読んでいただき・・・」との記載は、2省ガイドラインにも似たよ
うな内容が複数ガイドラインに記載されており冗長な内容となっている。2省ガイドラインとの重複箇所・範囲についても明記
すべきではないか。
医療機関等の範囲が「・・・『等』」との記載となっている。本ガイドラインの対象外となるケースの明記又は医療機関等の定
義を明確に記載いただきたい。
『なお、医療情報を含まない患者への費用請求に関する情報しか取り扱わない会計・経理 システム等は、本ガイドラインにお
ける医療情報システムには含まない』との記載は、あたかも医事会計システムやレセコンも含まれないように見える。業務委託
費用の支払い等、業務用途で用いるシステムは含まれないと明記すべき。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。なお、医療情報シ
ステムの範囲については、Q&A(概Q-5)に記載があります。
『企画管理者はこれらの法令等の内容を把握、整理した上で必要な措置を講じることが求められる』とあるが、この節の中で例 Q&A(概Q-3)において、このガイドラインの対象となる情報
えば従来のQAで論じていた、医師の診療根拠になる限りにおいて画像データを操作した結果も医療データの一部として管理すべ について示しています。
き等の記載がある一方、本体資料にそうした、<医師の診療根拠・記録根拠に該当する電子データはガイドラインの適用スコー
プになる>」点を明示しない理由は何故か。
17
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
外部委託、外部
177
サービスの利用
外部委託、外部
178
サービスの利用
176
179
180
181
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
外部委託、外部
サービスの利用
概説編「4.4 医療情報システムに関する統制 」をはじめとして、医療情報システム・サービス事業者等との責任分界の管理
は極めて重要であると考えられ、同項にも書かれている「医療情報を取り扱う情報システム・サービスの提供事業者における安
全管理ガイドライン」や「医療機器のサイバーセキュリティ導入に関する手引書」の遵守を事業者に求めることについては以下
の項目でも改めて遵守するよう明示的に記載してはどうか。
・経営管理編1.3.1 委託(第三者委託)における責任
・経営管理編1.3.2 委託(第三者委託)における責任分界
・経営管理編2.2.3 リスク分析を踏まえた要求仕様適合性の管理
・経営管理編5.2.2 体制管理
・企画管理編2.1.1 医療機関等における責任と責任分界
・企画管理編3.1.7 委託等における安全管理の体制
御意見として参考にさせていただきます。なお、「医療機器の
サイバーセキュリティ導入に関する手引書」については、薬生
機審発0331第11号・薬生安発0331第4号通知において、製造
販売業者等に対する周知を行っており、また「医療機関におけ
る医療機器のサイバーセキュリティ確保のための手引書」につ
いては、医政参発0331第1号・薬生機審発0331第16号・薬生
安発0331第8号通知において、医療機関における体制確保を
行うよう関係機関・関係団体への周知を行っています。
医療情報システムを利用・管理するために、「医療情報システム・サービス事業者」として想定している事業者と別途契約を結
ぶにあたり、対象となる事業者の選定に必要な情報をホームページ等に掲載することを検討してほしい。
5.1.2の事業者選定の基準 には「外部委託において」や「医療情報の取り扱いに関する委託先事業者」の記載があるた
5.1 事業者選定 P21 め、【遵守事項】①②もそれに合わせた書きぶりにしていただけないか。
「委託契約において」だけでは何の委託契約か分からないため、「委託契約において」を「医療情報の取扱いに関する委託契約
5.2.1 契約管
P22 において」にしてはどうか。
理
(1)説明責任の「医療情報システム・サービスの運用等についてシステム関連事業者に委託している場合には・・・」は、
・クラウドサービスや医療情報を取り扱う運用を委託する場合は2省ガイドラインの「サービス仕様適合開示書」の提供をベン
ダーに求める。
2.1.2 通常時
P11 ・オンプレミスで医療情報を取り扱う運用を委託していないが場合は、MDSで本ガイドラインの適合状況を確認する。
における責任
等運用の定義を具体的に示していただけると医療機関とシステム関連事業者での共通理解が深まるのではないか。
委託先の事業者選定については、経営管理編5.1、企画管理編
7.4にそれぞれ記載しています。
御意見として参考にさせていただきます。
すべて
-
概説編
(Overview)
経営管理編
(Governance)
経営管理編
(Governance)
2.3 医療情報シ
P2
ステムの範囲
企画管理編
(Management)
-
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
企画管理編
(Management)
3パラの書き出しにMDSを追記をし、「実際には、システム関連事業者が提供するMDS等の情報やサービス仕様適合開示書等の内 「サービス仕様適合開示書等」の「等」には、MDS/SDSも含ん
2.1.4 リスク
容を踏まえて、」としていただけないか。
でいます。
分析を踏まえた要
P13
求仕様適合性の確
認への対応
システム運用編
(Control)
2パラ「例えば、」から始まる文は下記のような文面のほうがより具体的で誤解を与えないのではないか。
「サービス仕様適合開示書等」の「等」には、MDS/SDSも含ん
「例えば、医療情報の取り扱いを委託する場合やクラウドサービスを利用する際、総務省・経済産業省の定めた「医療情報を取 でいます。
り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」においては・・・その基礎となる内容はサービス
仕様適合開示書等により示されている。また、オンプレミスにおいては、日本画像医療システム工業会(JIRA)の工業会規格
(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システム工業会(JAHIS)の
JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」で示されているチェック
リスト等などがある。」
182
外部委託、外部
サービスの利用
システム運用編
(Control)
183
外部委託、外部
サービスの利用
システム運用編
(Control)
3.2 要求仕様適
合性の確認を踏ま P5
えた調整
事業者より提示する書類は「サービス仕様適合開示書」だけではないことから、途中にあるなお書きは、「なお事業者からは、 ご指摘を踏まえ、「サービス仕様適合開示書等」と修正しま
4.2 リスクアセ
「サービス仕様適合開示書」や「MDS」などの提示を受けることが想定される。」としてはどうか。
す。
スメントを踏まえ
P11
た安全管理対策の
設計
【遵守事項】にて、リモートメンテナンス(保守)を行う際のリスクアセスメントの定期的な実施を明示してはどうか。
御意見として参考にさせていただきます。
10.医療情報ス
テム・サービス事
業者による保守対 P26
応等に対する安全
管理措置
経営管理編
(Governance)
医療機関は機器やソフトウェアの設定、運用状況など実施状況管理監督し安全に保つ立場として、システム関連事業者の設定や 御意見として参考にさせていただきます。
セキュリティ上危険な設計思想やガイドライン順守をしないこと等によるセキュリティ侵害は防ぐため【遵守事項】に以下を追
記してはどうか。
5.2 事業者管理 P22 (追記案)
委託するシステム関連事業者の実施状況を実地で観察し、報告を受け、定期的なアップデートや機器のセキュリティに関する作
業が漏れなく、正しく行われているか実施状況の管理を行うように、企画管理者に指示すること。
185 その他・全般
すべて
-
-
186 その他・全般
すべて
-
-
187 その他・全般
他(参考資料)
Q&A (案)
概Q-1
P2
188 その他・全般
概説編
(Overview)
2.1 医療機関等
P1
の範囲
189 その他・全般
概説編
(Overview)
2.3 医療情報シ
P2
ステムの範囲
企画管理編
(Management)
1.1.2 医療情
報システムに関係 P5
する法令
184
外部委託、外部
サービスの利用
190 その他・全般
実現できる医療機関がどの程度あるのだろうかと疑問。契約書一つとっても、べき論が主で具体論が全くない。
書いてあることは最もだが、現実的に医療機関のSEのスキル面及びマンパワー面でも対応困難。必要な資格(基本情報技術者以
上、医療情報技師など)を求め、病院が資格取得支援や手当を出せる体制を確保しないと実用性がない。
「システムに関係するベンダや事業者にも本ガイドラインを読んでいただき・・・」との記載は、2省ガイドラインにも似たよ
うな内容が複数ガイドラインに記載されており冗長な内容となっている。2省ガイドラインとの重複箇所・範囲についても明記
すべきではないか。
医療機関等の範囲が「・・・『等』」との記載となっている。本ガイドラインの対象外となるケースの明記又は医療機関等の定
義を明確に記載いただきたい。
『なお、医療情報を含まない患者への費用請求に関する情報しか取り扱わない会計・経理 システム等は、本ガイドラインにお
ける医療情報システムには含まない』との記載は、あたかも医事会計システムやレセコンも含まれないように見える。業務委託
費用の支払い等、業務用途で用いるシステムは含まれないと明記すべき。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。なお、医療情報シ
ステムの範囲については、Q&A(概Q-5)に記載があります。
『企画管理者はこれらの法令等の内容を把握、整理した上で必要な措置を講じることが求められる』とあるが、この節の中で例 Q&A(概Q-3)において、このガイドラインの対象となる情報
えば従来のQAで論じていた、医師の診療根拠になる限りにおいて画像データを操作した結果も医療データの一部として管理すべ について示しています。
き等の記載がある一方、本体資料にそうした、<医師の診療根拠・記録根拠に該当する電子データはガイドラインの適用スコー
プになる>」点を明示しない理由は何故か。
17