よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(企画管理編)(令和5年5月) (28 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
5.安全管理におけるエビデンス
【遵守事項】
①
医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡
の整備について必要な対応を行うこと。
②
証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものと
することに留意すること。また証跡の改ざん等を防止する措置を講じること。
③
収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必
要があれば証跡の整備に関する改善を行うこと。
④
法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるよ
うに管理すること。
5.1 証跡の整備の目的
医療情報システムの安全管理においては、医療機関等で策定した規程や規則などに基づく当該シス
テムの適切な利用、運用が求められる。システムの利用又は操作の証跡(操作ログ、システムログ)
を収集し、レビューすることで、医療情報システムが適切に利用・運用されているかどうか等を確認
できる。
証跡のレビューでは、当該システムの利用、運用が規程や規則等に定めた内容のとおりに行われて
いることを確認するほか、本来想定されていない利用や不正な利用などを確認する目的で用いること
ができる。例えば、外部から侵入があった場合に、その痕跡を発見して、不正な攻撃を追跡する起点
としたり、本来業務を行わない時間にもかかわらず、職員などが頻繁に医療情報システムを利用して
いるなどの事実を確認して、不正利用を探知するきっかけとしたりすることなどが想定される。
企画管理者には、このような観点から、医療情報システムに関連する証跡等の整備を行うことが求
められる。
5.2 整備する証跡の種類
証跡については、あらかじめシステムの利用に際して必要な手続などが適切に行われていることを
確認するためのものと、システムログのように、利用されている医療情報システム等が自動的に記録
するものが挙げられる。
前者は、例えば ID の申請など、医療情報システム・サービスを利用するに際して必要な手続や判断
が適切になされていることをあらかじめ確認するものであり、こうした予防的な確認を行うことで、
不適切な利用の防止にも有効となる。
後者は、医療情報システムにおける利用者の操作やシステムの動作が自動的に記録されることで、
システム障害やサイバー攻撃などが生じた際の原因の追跡や、あるいは一見、正常に動作しているシ
ステムが不適切に利用されていることをログのレビューから発見するなど、事後の発見に寄与するも
のが多い。
なお、証跡に関しては、過大に収集することにより、運用上の負担が課題となり、結果として医療
情報システムが適切に運用できないことも想定される。
企画管理者は、このような特性を理解した上で、担当者と協議して、リスク評価などを踏まえて、
適切な証跡を適宜選択して整備することが求められる。
- 22 -
【遵守事項】
①
医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡
の整備について必要な対応を行うこと。
②
証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものと
することに留意すること。また証跡の改ざん等を防止する措置を講じること。
③
収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必
要があれば証跡の整備に関する改善を行うこと。
④
法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるよ
うに管理すること。
5.1 証跡の整備の目的
医療情報システムの安全管理においては、医療機関等で策定した規程や規則などに基づく当該シス
テムの適切な利用、運用が求められる。システムの利用又は操作の証跡(操作ログ、システムログ)
を収集し、レビューすることで、医療情報システムが適切に利用・運用されているかどうか等を確認
できる。
証跡のレビューでは、当該システムの利用、運用が規程や規則等に定めた内容のとおりに行われて
いることを確認するほか、本来想定されていない利用や不正な利用などを確認する目的で用いること
ができる。例えば、外部から侵入があった場合に、その痕跡を発見して、不正な攻撃を追跡する起点
としたり、本来業務を行わない時間にもかかわらず、職員などが頻繁に医療情報システムを利用して
いるなどの事実を確認して、不正利用を探知するきっかけとしたりすることなどが想定される。
企画管理者には、このような観点から、医療情報システムに関連する証跡等の整備を行うことが求
められる。
5.2 整備する証跡の種類
証跡については、あらかじめシステムの利用に際して必要な手続などが適切に行われていることを
確認するためのものと、システムログのように、利用されている医療情報システム等が自動的に記録
するものが挙げられる。
前者は、例えば ID の申請など、医療情報システム・サービスを利用するに際して必要な手続や判断
が適切になされていることをあらかじめ確認するものであり、こうした予防的な確認を行うことで、
不適切な利用の防止にも有効となる。
後者は、医療情報システムにおける利用者の操作やシステムの動作が自動的に記録されることで、
システム障害やサイバー攻撃などが生じた際の原因の追跡や、あるいは一見、正常に動作しているシ
ステムが不適切に利用されていることをログのレビューから発見するなど、事後の発見に寄与するも
のが多い。
なお、証跡に関しては、過大に収集することにより、運用上の負担が課題となり、結果として医療
情報システムが適切に運用できないことも想定される。
企画管理者は、このような特性を理解した上で、担当者と協議して、リスク評価などを踏まえて、
適切な証跡を適宜選択して整備することが求められる。
- 22 -