よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
18 全体構成の見直し すべて
-
-
19 全体構成の見直し -
-
概説編
20 全体構成の見直し
(Overview)
3.3 第 5.2 版
との関係
P6
-
以下について、第5.2版の付表にあった「付表1 一般管理における運用管理の実施項目例」「付表2 電子保存における運用管
理の実施項目例」「付表3 外部保存における運用管理の例」のような作成例を作成いただき、求められる基準、規定等の作成
P9 にあたり必要事項が漏れないようにして欲しい。
P10 ・1.2.1 情報セキュリティ方針(ポリシー)等の策定
P13 ・2.1.1 医療機関等における責任と責任分界
P20 ・2.2.2 委託における責任分界(複数事業者が関与する場合を含む)
・4.2 規程の整備(運用管理規程ほか)
21 全体構成の見直し
22 全体構成の見直し
23
企画管理編
(Management)
概説編
(Overview)
新技術、制度・規 システム運用編
格の変更への対応 (Control)
-
本改定の趣旨は、「医療情報システムの安全管理の実効性を高める観点から各編で想定する読者に求められる遵守事項やその考
え方を示すとともに、Q&A等で現状選択可能な具体的技術に言及する」形に改変することにあると理解しましたし、その趣旨に
は強く賛同します。
概説編の表3-1の横軸は医療情報システムが「オンプレミス」であるか「クラウド」であるかではなく、システムを自ら導入
して運用しているか、外部のサービスを利用しているかを示していると考えられ、縦軸はシステム運用を自組織の担当者が担っ
ているか、外注・委託しているシステム運用管理者が担うかを示していると考えられ、さらに概説編の表3-2では、担当者の
有無の差は「※ 各編内の「担当者」という記載を「システム運用管理者」に置換し、参照。」という言葉のみであり本質的な
違いは無いと考えられることから、
①表3-1の「オンプレミス型」「クラウドサービス型」の表現は「システム導入型」「サービス利用型」という表現に変更し
てはどうか。
②表3-1のなお書きは、院外のサービスに医療情報を預けて居る場合についての記載でであるため参照パターンはIIIやIVで
はなく、IIやIVが適切ではないか。
③表3-1の縦軸は廃し、「システム運用担当者は、医療機関等に専任で置かれた医療情報システムを直接操作する者、もしく
は、医療情報システムの運用の委託・外注をうけた者(の責任者)を意味する」ことを、用語の定義等に明記し、関連項目を整
理してはどうか。
④企画管理編2.2.2(2)の3パラの「SaaSの利用」は、表3-1の右半分の事例(サービス利用型)に該当する場合であ
ると考えられることから、文全体の整合性を維持するため、事例を、PaaSやIaaSに改め、責任分界の一部が医療機関にある場合
に変更してはどうか。
Q&Aはあくまで補足とし、必要な事項は各編で記述してほしい。
御意見ありがとうございます。
②についてはご指摘を踏まえ修正いたします。①、③、④に
ついては、今後の検討にあたっての参考とさせていただきま
す。
ご指摘の通り、本文について、経営管理編、企画管理編、シ
ステム運用編に分け、それぞれに求められる遵守事項やその
考え方を示すとともに、QAでは現状可能な具体的技術にも言
及するかたちとしています。
本ガイドラインは、5.2版の付表の代わりに、専任のシステム
担当者の有無や導入している医療情報システムの形態の違い
に応じてガイドラインの参照パターンを分類してお示しして
います。
「特集:小規模医療機関等向けガイダンス」を有効に活用してもらうために、概Q-9の記載内容を基に本編本項にて3.1. 御意見として参考にさせていただきます。
5として以下追記をしてはどうか。
(追記案)
3.1.5 小規模医療機関等向けガイダンス
医療機関等においては、専任の情報システム運用担当がいない場合や、医療情報システムを外部のクラウドサービスにするなど
で、医療機関等の直接的な負担を軽減し、安全な医療情報の取り扱いを図るため、外部の医療情報システム・サービス事業者に
運用等を委ねる場合があり、小規模医療機関等において、特にみられる傾向と言えます。第6.0版では、このように医療機関
等の規模の大小ではなく、医療機関等における体制や、医療情報システムの構成に着目し、医療機関等に専任のシステム運用担
当者が存在しない場合や、利用する医療情報システムがクラウドサービスだけの場合には、本ガイドラインの一部については、
参照を簡略化できることとしています。
このように小規模医療機関等における対策の負担軽減を直接示す内容は含まれていないものの、実質的には外部委託の活用等の
対応が図れるようにしています。また、診療所や薬局等の小規模医療機関等向けの特集も、補足資料として用意していますの
で、適宜、ご参照ください。
3.1 各編の目
的・概要
P3
5.システム設計
の見直し(標準化
対応、新規技術導
入のための評価
等)
「① システム更新の際の移行を迅速に行えるように、診療録等のデータについて、標準形式が存在する項目は標準形式で、標 御意見として参考にさせていただきます。
準形式が存在しない項目は変換が容易なデータ形式で、それぞれ出力及び入力できる機能を備えるようにすること。」は、現
在、当該機能を備える電子カルテシステムは市販されていないことから実効性が確保されないことが想定され、以下修正を要望
P12 する。
「① システム更新の際は、爾後のシステム更新の際の移行を迅速に行えるように、診療録等のデータについて、標準形式が存
在する項目は標準形式で、標準形式が存在しない項目は変換が容易なデータ形式で、それぞれ出力及び入力できる機能を備える
ようにすること。」
24
新技術、制度・規 システム運用編
格の変更への対応 (Control)
13.ネットワー
クに関する安全管
理措置
25
新技術、制度・規 企画管理編
格の変更への対応 (Management)
3.安全管理のた
めの体制と責任・
権限
【遵守事項】⑥は、1. TLS全体の機能(暗号化や認証技術の集合体)とTLSクライアント認証が混同されている点、及び2. 今後の検討事項とさせていただきます。
TLSクライアント認証に技術が限定されている点から修正を希望します。TLSクライアント認証は、証明書をインストールしたク
ライアント(端末)をサーバー側で認証する技術であり、適切な端末からのアクセスを担保するだけのもので、TLSクライアン
ト認証に期待する効果は、サーバー側が悪意の第三者をはじく効果と認証された端末以外からのアクセスを防ぐ効果の両面と思
われますが、前者については同編14.利用者認証にて確保されること、また後者についてはMDM等により端末管理を適切に行うこ
とで代替できることから、TLSクライアント認証に手段を限定する必要性はないものと認識。以上を踏まえ、例えば、該当箇所
P34
一文目については単に「オープンなネットワークにおいて、IPsecによるVPN接続等を利用せずHTTPSを利用する場合、TLS のプ
ロトコルバージョンをTLS1.3 以上に限定すること。」とした上で、項目の末尾に「なお、接続先となる端末の真正性担保のた
め、TLSクライアント認証による端末の認証や適切な端末管理を行うとともに、14に記載の利用者認証を行うこと。」を追記す
るといった修正をすべき。
【遵守事項】⑨の記載は、3.1.8項では「必要な体制を整備することが求められる。」とあることから、下記の通りに修正 御意見として参考にさせていただきます。
P17 してはどうか。
(変更案)9 患者等からの・・・の体制を整備すること。
2
-
-
19 全体構成の見直し -
-
概説編
20 全体構成の見直し
(Overview)
3.3 第 5.2 版
との関係
P6
-
以下について、第5.2版の付表にあった「付表1 一般管理における運用管理の実施項目例」「付表2 電子保存における運用管
理の実施項目例」「付表3 外部保存における運用管理の例」のような作成例を作成いただき、求められる基準、規定等の作成
P9 にあたり必要事項が漏れないようにして欲しい。
P10 ・1.2.1 情報セキュリティ方針(ポリシー)等の策定
P13 ・2.1.1 医療機関等における責任と責任分界
P20 ・2.2.2 委託における責任分界(複数事業者が関与する場合を含む)
・4.2 規程の整備(運用管理規程ほか)
21 全体構成の見直し
22 全体構成の見直し
23
企画管理編
(Management)
概説編
(Overview)
新技術、制度・規 システム運用編
格の変更への対応 (Control)
-
本改定の趣旨は、「医療情報システムの安全管理の実効性を高める観点から各編で想定する読者に求められる遵守事項やその考
え方を示すとともに、Q&A等で現状選択可能な具体的技術に言及する」形に改変することにあると理解しましたし、その趣旨に
は強く賛同します。
概説編の表3-1の横軸は医療情報システムが「オンプレミス」であるか「クラウド」であるかではなく、システムを自ら導入
して運用しているか、外部のサービスを利用しているかを示していると考えられ、縦軸はシステム運用を自組織の担当者が担っ
ているか、外注・委託しているシステム運用管理者が担うかを示していると考えられ、さらに概説編の表3-2では、担当者の
有無の差は「※ 各編内の「担当者」という記載を「システム運用管理者」に置換し、参照。」という言葉のみであり本質的な
違いは無いと考えられることから、
①表3-1の「オンプレミス型」「クラウドサービス型」の表現は「システム導入型」「サービス利用型」という表現に変更し
てはどうか。
②表3-1のなお書きは、院外のサービスに医療情報を預けて居る場合についての記載でであるため参照パターンはIIIやIVで
はなく、IIやIVが適切ではないか。
③表3-1の縦軸は廃し、「システム運用担当者は、医療機関等に専任で置かれた医療情報システムを直接操作する者、もしく
は、医療情報システムの運用の委託・外注をうけた者(の責任者)を意味する」ことを、用語の定義等に明記し、関連項目を整
理してはどうか。
④企画管理編2.2.2(2)の3パラの「SaaSの利用」は、表3-1の右半分の事例(サービス利用型)に該当する場合であ
ると考えられることから、文全体の整合性を維持するため、事例を、PaaSやIaaSに改め、責任分界の一部が医療機関にある場合
に変更してはどうか。
Q&Aはあくまで補足とし、必要な事項は各編で記述してほしい。
御意見ありがとうございます。
②についてはご指摘を踏まえ修正いたします。①、③、④に
ついては、今後の検討にあたっての参考とさせていただきま
す。
ご指摘の通り、本文について、経営管理編、企画管理編、シ
ステム運用編に分け、それぞれに求められる遵守事項やその
考え方を示すとともに、QAでは現状可能な具体的技術にも言
及するかたちとしています。
本ガイドラインは、5.2版の付表の代わりに、専任のシステム
担当者の有無や導入している医療情報システムの形態の違い
に応じてガイドラインの参照パターンを分類してお示しして
います。
「特集:小規模医療機関等向けガイダンス」を有効に活用してもらうために、概Q-9の記載内容を基に本編本項にて3.1. 御意見として参考にさせていただきます。
5として以下追記をしてはどうか。
(追記案)
3.1.5 小規模医療機関等向けガイダンス
医療機関等においては、専任の情報システム運用担当がいない場合や、医療情報システムを外部のクラウドサービスにするなど
で、医療機関等の直接的な負担を軽減し、安全な医療情報の取り扱いを図るため、外部の医療情報システム・サービス事業者に
運用等を委ねる場合があり、小規模医療機関等において、特にみられる傾向と言えます。第6.0版では、このように医療機関
等の規模の大小ではなく、医療機関等における体制や、医療情報システムの構成に着目し、医療機関等に専任のシステム運用担
当者が存在しない場合や、利用する医療情報システムがクラウドサービスだけの場合には、本ガイドラインの一部については、
参照を簡略化できることとしています。
このように小規模医療機関等における対策の負担軽減を直接示す内容は含まれていないものの、実質的には外部委託の活用等の
対応が図れるようにしています。また、診療所や薬局等の小規模医療機関等向けの特集も、補足資料として用意していますの
で、適宜、ご参照ください。
3.1 各編の目
的・概要
P3
5.システム設計
の見直し(標準化
対応、新規技術導
入のための評価
等)
「① システム更新の際の移行を迅速に行えるように、診療録等のデータについて、標準形式が存在する項目は標準形式で、標 御意見として参考にさせていただきます。
準形式が存在しない項目は変換が容易なデータ形式で、それぞれ出力及び入力できる機能を備えるようにすること。」は、現
在、当該機能を備える電子カルテシステムは市販されていないことから実効性が確保されないことが想定され、以下修正を要望
P12 する。
「① システム更新の際は、爾後のシステム更新の際の移行を迅速に行えるように、診療録等のデータについて、標準形式が存
在する項目は標準形式で、標準形式が存在しない項目は変換が容易なデータ形式で、それぞれ出力及び入力できる機能を備える
ようにすること。」
24
新技術、制度・規 システム運用編
格の変更への対応 (Control)
13.ネットワー
クに関する安全管
理措置
25
新技術、制度・規 企画管理編
格の変更への対応 (Management)
3.安全管理のた
めの体制と責任・
権限
【遵守事項】⑥は、1. TLS全体の機能(暗号化や認証技術の集合体)とTLSクライアント認証が混同されている点、及び2. 今後の検討事項とさせていただきます。
TLSクライアント認証に技術が限定されている点から修正を希望します。TLSクライアント認証は、証明書をインストールしたク
ライアント(端末)をサーバー側で認証する技術であり、適切な端末からのアクセスを担保するだけのもので、TLSクライアン
ト認証に期待する効果は、サーバー側が悪意の第三者をはじく効果と認証された端末以外からのアクセスを防ぐ効果の両面と思
われますが、前者については同編14.利用者認証にて確保されること、また後者についてはMDM等により端末管理を適切に行うこ
とで代替できることから、TLSクライアント認証に手段を限定する必要性はないものと認識。以上を踏まえ、例えば、該当箇所
P34
一文目については単に「オープンなネットワークにおいて、IPsecによるVPN接続等を利用せずHTTPSを利用する場合、TLS のプ
ロトコルバージョンをTLS1.3 以上に限定すること。」とした上で、項目の末尾に「なお、接続先となる端末の真正性担保のた
め、TLSクライアント認証による端末の認証や適切な端末管理を行うとともに、14に記載の利用者認証を行うこと。」を追記す
るといった修正をすべき。
【遵守事項】⑨の記載は、3.1.8項では「必要な体制を整備することが求められる。」とあることから、下記の通りに修正 御意見として参考にさせていただきます。
P17 してはどうか。
(変更案)9 患者等からの・・・の体制を整備すること。
2