よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(概説編)(令和5年5月) (12 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
なお、医療情報システムの安全管理上のリスク評価、リスク管理を実施するに当たっては、医療情報
システム・サービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経
済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガ
イドライン」における「サービス仕様適合開示書」や日本画像医療システム工業会(JIRA)の工業会規
格(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システ
ム工業会(JAHIS)の JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリテ
ィ 開 示 書 ( 略 称 : MDS/SDS : Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリスト等を参考に、当該事業者から情報提供
していただく等により、当該事業者と医療情報システムの安全管理上のリスクについて共通の理解を得
た上で、リスク管理に関する合意形成(リスクコミュニケーション)を図ることが求められる。また、
合意した内容を契約書や SLA(Service Level Agreement:サービス品質保証、サービスレベル合意書)
等の形で双方の合意文書として明らかにした上で、具体的な責任分界を踏まえた運用を行うことが求め
られる。
4.6 医療情報システムにおける認証・認可
認証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く存在
する。医療情報システムも同様に、利用者や利用範囲を適切に管理することが求められ、そのためにシ
ステム利用等において認証・認可の対策を講じる必要がある。
医療情報システムでは、医療機関等が組織として情報システムの利用権限を認めた利用者に対して、
設定した利用範囲内で適切に利用することを保証するために、利用者の認証・認可を行うことになる。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が認められていないものがあ
る。加えて、患者の医療情報が流出したり、不正に利用されたりした場合には、患者の生命や心身の安
全に影響を及ぼす可能性がある。したがって、こうした医療情報を取り扱う医療情報システムにおいて
算定するリスクは、通常の情報システムよりも高く算定する必要があるため、医療情報システムにおい
て用いる認証・認可については、特に安全なものを採用する必要がある。
情報システムの認証では、認証に際しては利用者を特定するための識別子(ID など)と、利用者が本
人であることを確認するための符号(パスワードや指紋認証データなど)等が必要とされる。医療情報
システムにおいては、このような識別子の発行や、本人であることを確認するための仕組み(認証方法)
のいずれも、高い水準のものを採用することが求められる。例えば ID の発行については、対面など確
実に身元確認が取れる方法を採用する、認証方法については、複数の要素を用いて認証するなどの方法
が挙げられる。
-9-
システム・サービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経
済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガ
イドライン」における「サービス仕様適合開示書」や日本画像医療システム工業会(JIRA)の工業会規
格(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システ
ム工業会(JAHIS)の JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリテ
ィ 開 示 書 ( 略 称 : MDS/SDS : Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリスト等を参考に、当該事業者から情報提供
していただく等により、当該事業者と医療情報システムの安全管理上のリスクについて共通の理解を得
た上で、リスク管理に関する合意形成(リスクコミュニケーション)を図ることが求められる。また、
合意した内容を契約書や SLA(Service Level Agreement:サービス品質保証、サービスレベル合意書)
等の形で双方の合意文書として明らかにした上で、具体的な責任分界を踏まえた運用を行うことが求め
られる。
4.6 医療情報システムにおける認証・認可
認証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く存在
する。医療情報システムも同様に、利用者や利用範囲を適切に管理することが求められ、そのためにシ
ステム利用等において認証・認可の対策を講じる必要がある。
医療情報システムでは、医療機関等が組織として情報システムの利用権限を認めた利用者に対して、
設定した利用範囲内で適切に利用することを保証するために、利用者の認証・認可を行うことになる。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が認められていないものがあ
る。加えて、患者の医療情報が流出したり、不正に利用されたりした場合には、患者の生命や心身の安
全に影響を及ぼす可能性がある。したがって、こうした医療情報を取り扱う医療情報システムにおいて
算定するリスクは、通常の情報システムよりも高く算定する必要があるため、医療情報システムにおい
て用いる認証・認可については、特に安全なものを採用する必要がある。
情報システムの認証では、認証に際しては利用者を特定するための識別子(ID など)と、利用者が本
人であることを確認するための符号(パスワードや指紋認証データなど)等が必要とされる。医療情報
システムにおいては、このような識別子の発行や、本人であることを確認するための仕組み(認証方法)
のいずれも、高い水準のものを採用することが求められる。例えば ID の発行については、対面など確
実に身元確認が取れる方法を採用する、認証方法については、複数の要素を用いて認証するなどの方法
が挙げられる。
-9-