よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(企画管理編)(令和5年5月) (24 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.1.3 情報システム管理委員会の業務範囲と権限
情報システム管理委員会は、必ずしも設置が必要とされるものではなく、医療機関等において経営
層の行う管理等の一部又は全部を担うものとして、各医療機関等の判断により医療機関等内に設置さ
れるものである。情報システム管理委員会を設定して医療情報システムの安全管理を行う場合には、
設置の根拠、目的、業務範囲、構成員の選定・任命方法、権限などを規程等で設け、これに基づいて
運営することが必要となる。
企画管理者は、これらの規程等を策定の上、経営層の承認を得る必要がある。
3.1.4 担当者の任命、業務範囲、権限
企画管理者は、医療情報システムの安全管理のうち特に技術的な対応を行う担当者を任命し、経営
層の承認を得る必要がある。
ここでいう技術的な対応の内容としては、
・技術的な対応に必要なリスクアセスメント
・採用すべき技術等の選定と実装、関連資料の作成
・医療情報システムの運用とそのための規則やマニュアル等の作成
・上記に対する企画管理者への報告や協議
等が考えられる。
担当者の権限としては、技術的な対応のうち、通常時における運用に関する判断権限を有するほか、
非常時における一次対応の判断権限などを有することが想定される。そのほか、技術的な対応のうち
重要なものについては、企画管理者へ協議あるいは報告を行い、対応することが想定される。
3.1.5 非常時の体制・CSIRT 等の整備
医療機関等で情報セキュリティインシデントが発生した場合、この非常時対応として、迅速な判断
や対応が求められるため、そのために必要な体制の整備が求められる。特にサイバー攻撃を受けた場
合には、初動対応等専門的な対応が可能な体制も求められる。企画管理者は、こうした体制の構築に
ついて、通常時からその内容について検討し、必要な措置を講じることが求められる。
ここでいう非常時の体制における対応としては、
・影響範囲や損害の特定
・被害拡大防止を図るための初動対応
・復旧措置のための対応
・再発防止策の検討
などが想定される。
サイバー攻撃に対しては情報セキュリティ責任者(CISO(Chief Information Security Officer))の
配置や、CSIRT(Computer Security Incident Response Team)の構築が有効とされており、企画管理
者はこれらの整備の要否や、必要な場合にはその構成や非常時の対応内容などについて検討し、経営
層の承認を得ることが求められる。
また、医療情報の漏洩が生じた場合も、法令上必要な対応(個人情報保護法に基づく漏洩等の報告
など)や説明責任の実施等の必要な措置を講じる必要があるため、医療情報の漏洩が生じた場合の対
応体制や手順等を整備して、経営層の承認を得ることが求められる。
- 18 -
情報システム管理委員会は、必ずしも設置が必要とされるものではなく、医療機関等において経営
層の行う管理等の一部又は全部を担うものとして、各医療機関等の判断により医療機関等内に設置さ
れるものである。情報システム管理委員会を設定して医療情報システムの安全管理を行う場合には、
設置の根拠、目的、業務範囲、構成員の選定・任命方法、権限などを規程等で設け、これに基づいて
運営することが必要となる。
企画管理者は、これらの規程等を策定の上、経営層の承認を得る必要がある。
3.1.4 担当者の任命、業務範囲、権限
企画管理者は、医療情報システムの安全管理のうち特に技術的な対応を行う担当者を任命し、経営
層の承認を得る必要がある。
ここでいう技術的な対応の内容としては、
・技術的な対応に必要なリスクアセスメント
・採用すべき技術等の選定と実装、関連資料の作成
・医療情報システムの運用とそのための規則やマニュアル等の作成
・上記に対する企画管理者への報告や協議
等が考えられる。
担当者の権限としては、技術的な対応のうち、通常時における運用に関する判断権限を有するほか、
非常時における一次対応の判断権限などを有することが想定される。そのほか、技術的な対応のうち
重要なものについては、企画管理者へ協議あるいは報告を行い、対応することが想定される。
3.1.5 非常時の体制・CSIRT 等の整備
医療機関等で情報セキュリティインシデントが発生した場合、この非常時対応として、迅速な判断
や対応が求められるため、そのために必要な体制の整備が求められる。特にサイバー攻撃を受けた場
合には、初動対応等専門的な対応が可能な体制も求められる。企画管理者は、こうした体制の構築に
ついて、通常時からその内容について検討し、必要な措置を講じることが求められる。
ここでいう非常時の体制における対応としては、
・影響範囲や損害の特定
・被害拡大防止を図るための初動対応
・復旧措置のための対応
・再発防止策の検討
などが想定される。
サイバー攻撃に対しては情報セキュリティ責任者(CISO(Chief Information Security Officer))の
配置や、CSIRT(Computer Security Incident Response Team)の構築が有効とされており、企画管理
者はこれらの整備の要否や、必要な場合にはその構成や非常時の対応内容などについて検討し、経営
層の承認を得ることが求められる。
また、医療情報の漏洩が生じた場合も、法令上必要な対応(個人情報保護法に基づく漏洩等の報告
など)や説明責任の実施等の必要な措置を講じる必要があるため、医療情報の漏洩が生じた場合の対
応体制や手順等を整備して、経営層の承認を得ることが求められる。
- 18 -