よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (21 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
-
大学病院などのように医療機関が法人全体の一部を為す場合には、上位機関である法人等においてセキュリティポリシーや
御指摘を踏まえ修正しました
CSIRTが定められ、法人全体の整合性がとられる必要があることがあるため、以下としてはどうか。
P9 ・1.2.1に「医療機関等が所属する法人等において情報セキュリティ方針等が別に定められている場合には、当該医療機関
P18 等に特有の事項への該当性等について検討し、必要に応じて附則等を整備すること。」などの追記。
・3.1.5に 「医療機関等が所属する法人等においてCSIRT等が別に整備されている場合には、当該医療機関等に特有の事項
への該当性等について検討し、必要に応じて別途整備することなどを検討すること。」などの追記。
企画管理編
(Management)
企画管理編
(Management)
2.リスク評価を
踏まえた管理
P9
-
-
244 その他・全般
-
-
-
245 その他・全般
-
-
-
246 その他・全般
-
-
-
247 その他・全般
-
-
-
248 その他・全般
-
-
-
249 その他・全般
-
-
-
250 その他・全般
他(参考資料)
-
-
241 その他・全般
242 その他・全般
243 その他・全般
251 その他・全般
企画管理編
(Management)
-
-
-
252 その他・全般
概説編
(Overview)
4.4 医療情報シ
ステムに関する統 P8
制
253 その他・全般
他(参考資料)
Q&A (案)
シQ-13
254 その他・全般
255 その他・全般
すべて
すべて
-
-
医療情報システムの安全管理を運用するためのセキュリティ体制を整えていくための、補助金などを設立して体制整備を支援し
ていくべきである。
医療機関単独で対応できずシステム事業者の主導による管理等が想定されていることから、ガイドラインに関する問い合わせ先
を明確にするとともに、ガイドラインに記載してほしい。
行政としてベンダ向けのガイドラインの作成と、医療機関へのベンダ認証(ガイドラインに沿った責任分界点への対応、レポー
ト体制、インシデント発生時の対応など)を取り入れるなど、医療機関から相談しやすい体制をベンダ業界側にも構築し、医療
機関等のサイバーセキュリティ対策を担うベンダの質が確保できるよう、行政として必要な対策を行うべき。
今後の検討にあたっての参考とさせていただきます。
ガイドラインに沿った運用を行うための質問・相談窓口の設置いただいた上で、「よくあるお問い合わせ」等を公開し情報提供
を促進して欲しい。
医療法第25条第1項の立入検査のようなチェックする体制よりも、遵守させるための講習会の充実を求める。
損害を受けた場合には、医療機関が経営困難とならないよう、施設基準の特例措置や診療報酬等の概算請求を認めるよう求め
る。
医療機関は医療を提供するところであり、政府・行政が医療機関にDXを求めるのであれば、相対的にセキュリティ対策について
も補助金及び研修の体制を整えていくべきであり、公的・民間を問わず全ての医療機関等がサイバーセキュリティ対策を講じら
れるよう補助金を通じて体制整備を支援していくべき。
様々な運用規程、指針、契約書、院内研修、管理・記録簿、チェックリスト、機器・システム・サービスの仕様書、患者・利用
者又はその家族に対する説明文書などについて、様式または見本(例示)若しくはポイントが欲しい。
既存の「匿名加工医療情報」に加え、「仮名加工医療情報」のように利用可能なデータの粒度が改善することが、新たな医学知
見の創出や医療AI・SaMD等の産業導出物に、さらには医療データサイエンス・AI開発による今後の医療産業の活性化に繋がると
考えていること等から、「医療情報システムの利活用を前提としたデータ取り出し経路の確保」について追記いただきたい。
御意見として参考にさせていただきます。
担当部署については、本ガイドラインを掲載するホームペー
ジ内に記載いたします。
御意見として参考にさせていただきます。なお、経済産業省
及び総務省において、「医療情報を取り扱う情報システム・
サービスの提供事業者における安全管理ガイドライン」を作
成しています。
2023年度からは、ガイドライン遵守が求められる対象事業所が圧倒的に広がったことや全ての事業所にセキュリティ対策を習熟 御意見として参考にさせていただきます。
した従業者がいるわけではないことから、わかりやすく表現し、医療現場の対応が進みやすくなるよう改善を求める。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
最後の一文は表3-1に示す医療機関等の特性に応じた記載にすべく、以下としてはどうか。
御意見として参考にさせていただきます。
(変更案)
加えて、「3.2.1 医療機関等の特性についての考え方」で示しているII/IV(いわゆるクラウドサービス型)の該当事業者
に対して、必要に応じて、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の遵守
状況を確認するなど、当該事業者の管理も求められる。
I/III(いわゆるオンプレミス型)の該当事業者に対して、必要に応じて、日本画像医療システム工業会(JIRA)の工業会規格
(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システム工業会(JAHIS)の
JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」により本ガイドラインの
対応状況を確認するなど、当該事業者の管理も求められる。
「検像の定義」は公益社団法人日本放射線技術学会が公表している「画像情報の確定に関するガイドライン Ver.2.1」に明確に
P68 記載されているため参照するように促してはどうか。
ガイドラインの骨子を経営管理編、企画管理編、システム運用編と分けることで医療機関内の各役割を明確にする狙いがある見
受けられるところ、多くの医療現場では、その役割が重複される場合が散見されるため、本ガイドラインで示された「企画管理
- 者」がどのような教育、資格を有することでその役目を担うことができるのか、またはどのような方向性となるのかを実例を明
示する形で示していただきたい。また、ネットワークにつながり医療情報システムの一部となっている医療機器の管理、リモー
ト保守について具体的に示していただきたい。
-
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
①電子カルテの真正性の確保が不可欠であるとの考えから、すべての電子カルテがデータの改ざんができない仕様のものとなる
よう、電子カルテの規格を統一するべき。
②電子カルテの真正性の確保が不可欠であるとの考えから、電子カルテのデータを開示する際に「履歴あり」や「履歴なし」の
仕様があることを国民に周知すべきではないか。
③電子カルテの真正性の確保が不可欠であるとの考えから、電子カルテの付箋機能を使って、カルテ開示を請求する患者に知ら
れたくない情報を隠す手法等の発想が起こりえないようにガイドライン等で規定すべき。
④電子カルテの真正性の確保が不可欠であるとの考えから、電子カルテの保存義務を無期限とし、正当な理由なくカルテの情報
が消去されることがないようにするべき。
⑤電子カルテの真正性の確保が不可欠であるとの考えから、患者との情報共有ができるよう、患者が自分の電子カルテの情報に
アクセスしやすい便利なシステムとなるよう規定すべき。
21
ご指摘を踏まえ修正いたします。
今後の検討にあたっての参考にさせていただきます。なお、
医療機関におけるネットワークに接続された医療機器の管理
及び医療機器の保守に関する責任・役割等については、「医
療機関における医療機器のサイバーセキュリティ確保のため
の手引書」に記載されています。
電子化された診療情報の真正性の確保のため、ガイドライ
ンのQ&Aでは、更新履歴の保存を要件の一つとして記載してい
ます。具体的には、診療行為等に基づく記録の更新と、不正
な記録の改ざんは容易に判別されなければならないという観
点から、記録の更新内容・更新日時を記録すること及び更新
内容の確定を行った確定者の識別情報を関連付けて保存しな
ければならないとしています。
このように、電子カルテ情報の真正性確保のための最大限
の努力を求めた上で、保存年限の撤廃などの御意見について
は、今後の検討にあたっての参考にさせていただきます。な
お、電子カルテ情報の開示については、御意見を踏まえ、適
切な対応に関して周知することを検討いたします。
大学病院などのように医療機関が法人全体の一部を為す場合には、上位機関である法人等においてセキュリティポリシーや
御指摘を踏まえ修正しました
CSIRTが定められ、法人全体の整合性がとられる必要があることがあるため、以下としてはどうか。
P9 ・1.2.1に「医療機関等が所属する法人等において情報セキュリティ方針等が別に定められている場合には、当該医療機関
P18 等に特有の事項への該当性等について検討し、必要に応じて附則等を整備すること。」などの追記。
・3.1.5に 「医療機関等が所属する法人等においてCSIRT等が別に整備されている場合には、当該医療機関等に特有の事項
への該当性等について検討し、必要に応じて別途整備することなどを検討すること。」などの追記。
企画管理編
(Management)
企画管理編
(Management)
2.リスク評価を
踏まえた管理
P9
-
-
244 その他・全般
-
-
-
245 その他・全般
-
-
-
246 その他・全般
-
-
-
247 その他・全般
-
-
-
248 その他・全般
-
-
-
249 その他・全般
-
-
-
250 その他・全般
他(参考資料)
-
-
241 その他・全般
242 その他・全般
243 その他・全般
251 その他・全般
企画管理編
(Management)
-
-
-
252 その他・全般
概説編
(Overview)
4.4 医療情報シ
ステムに関する統 P8
制
253 その他・全般
他(参考資料)
Q&A (案)
シQ-13
254 その他・全般
255 その他・全般
すべて
すべて
-
-
医療情報システムの安全管理を運用するためのセキュリティ体制を整えていくための、補助金などを設立して体制整備を支援し
ていくべきである。
医療機関単独で対応できずシステム事業者の主導による管理等が想定されていることから、ガイドラインに関する問い合わせ先
を明確にするとともに、ガイドラインに記載してほしい。
行政としてベンダ向けのガイドラインの作成と、医療機関へのベンダ認証(ガイドラインに沿った責任分界点への対応、レポー
ト体制、インシデント発生時の対応など)を取り入れるなど、医療機関から相談しやすい体制をベンダ業界側にも構築し、医療
機関等のサイバーセキュリティ対策を担うベンダの質が確保できるよう、行政として必要な対策を行うべき。
今後の検討にあたっての参考とさせていただきます。
ガイドラインに沿った運用を行うための質問・相談窓口の設置いただいた上で、「よくあるお問い合わせ」等を公開し情報提供
を促進して欲しい。
医療法第25条第1項の立入検査のようなチェックする体制よりも、遵守させるための講習会の充実を求める。
損害を受けた場合には、医療機関が経営困難とならないよう、施設基準の特例措置や診療報酬等の概算請求を認めるよう求め
る。
医療機関は医療を提供するところであり、政府・行政が医療機関にDXを求めるのであれば、相対的にセキュリティ対策について
も補助金及び研修の体制を整えていくべきであり、公的・民間を問わず全ての医療機関等がサイバーセキュリティ対策を講じら
れるよう補助金を通じて体制整備を支援していくべき。
様々な運用規程、指針、契約書、院内研修、管理・記録簿、チェックリスト、機器・システム・サービスの仕様書、患者・利用
者又はその家族に対する説明文書などについて、様式または見本(例示)若しくはポイントが欲しい。
既存の「匿名加工医療情報」に加え、「仮名加工医療情報」のように利用可能なデータの粒度が改善することが、新たな医学知
見の創出や医療AI・SaMD等の産業導出物に、さらには医療データサイエンス・AI開発による今後の医療産業の活性化に繋がると
考えていること等から、「医療情報システムの利活用を前提としたデータ取り出し経路の確保」について追記いただきたい。
御意見として参考にさせていただきます。
担当部署については、本ガイドラインを掲載するホームペー
ジ内に記載いたします。
御意見として参考にさせていただきます。なお、経済産業省
及び総務省において、「医療情報を取り扱う情報システム・
サービスの提供事業者における安全管理ガイドライン」を作
成しています。
2023年度からは、ガイドライン遵守が求められる対象事業所が圧倒的に広がったことや全ての事業所にセキュリティ対策を習熟 御意見として参考にさせていただきます。
した従業者がいるわけではないことから、わかりやすく表現し、医療現場の対応が進みやすくなるよう改善を求める。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
最後の一文は表3-1に示す医療機関等の特性に応じた記載にすべく、以下としてはどうか。
御意見として参考にさせていただきます。
(変更案)
加えて、「3.2.1 医療機関等の特性についての考え方」で示しているII/IV(いわゆるクラウドサービス型)の該当事業者
に対して、必要に応じて、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の遵守
状況を確認するなど、当該事業者の管理も求められる。
I/III(いわゆるオンプレミス型)の該当事業者に対して、必要に応じて、日本画像医療システム工業会(JIRA)の工業会規格
(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システム工業会(JAHIS)の
JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書』ガイド」により本ガイドラインの
対応状況を確認するなど、当該事業者の管理も求められる。
「検像の定義」は公益社団法人日本放射線技術学会が公表している「画像情報の確定に関するガイドライン Ver.2.1」に明確に
P68 記載されているため参照するように促してはどうか。
ガイドラインの骨子を経営管理編、企画管理編、システム運用編と分けることで医療機関内の各役割を明確にする狙いがある見
受けられるところ、多くの医療現場では、その役割が重複される場合が散見されるため、本ガイドラインで示された「企画管理
- 者」がどのような教育、資格を有することでその役目を担うことができるのか、またはどのような方向性となるのかを実例を明
示する形で示していただきたい。また、ネットワークにつながり医療情報システムの一部となっている医療機器の管理、リモー
ト保守について具体的に示していただきたい。
-
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
①電子カルテの真正性の確保が不可欠であるとの考えから、すべての電子カルテがデータの改ざんができない仕様のものとなる
よう、電子カルテの規格を統一するべき。
②電子カルテの真正性の確保が不可欠であるとの考えから、電子カルテのデータを開示する際に「履歴あり」や「履歴なし」の
仕様があることを国民に周知すべきではないか。
③電子カルテの真正性の確保が不可欠であるとの考えから、電子カルテの付箋機能を使って、カルテ開示を請求する患者に知ら
れたくない情報を隠す手法等の発想が起こりえないようにガイドライン等で規定すべき。
④電子カルテの真正性の確保が不可欠であるとの考えから、電子カルテの保存義務を無期限とし、正当な理由なくカルテの情報
が消去されることがないようにするべき。
⑤電子カルテの真正性の確保が不可欠であるとの考えから、患者との情報共有ができるよう、患者が自分の電子カルテの情報に
アクセスしやすい便利なシステムとなるよう規定すべき。
21
ご指摘を踏まえ修正いたします。
今後の検討にあたっての参考にさせていただきます。なお、
医療機関におけるネットワークに接続された医療機器の管理
及び医療機器の保守に関する責任・役割等については、「医
療機関における医療機器のサイバーセキュリティ確保のため
の手引書」に記載されています。
電子化された診療情報の真正性の確保のため、ガイドライ
ンのQ&Aでは、更新履歴の保存を要件の一つとして記載してい
ます。具体的には、診療行為等に基づく記録の更新と、不正
な記録の改ざんは容易に判別されなければならないという観
点から、記録の更新内容・更新日時を記録すること及び更新
内容の確定を行った確定者の識別情報を関連付けて保存しな
ければならないとしています。
このように、電子カルテ情報の真正性確保のための最大限
の努力を求めた上で、保存年限の撤廃などの御意見について
は、今後の検討にあたっての参考にさせていただきます。な
お、電子カルテ情報の開示については、御意見を踏まえ、適
切な対応に関して周知することを検討いたします。