よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(企画管理編)(令和5年5月) (31 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
企画管理者は、経営層に対して、医療機関等内でリスクマネジメントが適切に実施されているかど
うかを報告し、不備があれば改善策を講じることも求められる。
6.1.2 リスクアセスメント(リスク分析、リスク評価)の役割
リスクアセスメントは、企画管理者と情報システムの技術担当者とで協働して実施することになる
が、運用管理上は、特に取り扱う情報の把握とこれに対するリスク評価を担当者と行うことが求めら
れる。
取り扱う情報の把握は、医療機関等において取り扱う医療情報と、医療情報システムで扱う医療情
報及び関連する情報を全てリストアップし、安全管理上の重要度に応じて分類し、常に最新の状態が
維持されていることを確認することである。そのため、取り扱う情報等に関するリストを作成し、企
画管理者が必要に応じて速やかに確認できる状態で管理することが求められる。
安全管理上の重要度は、安全性が損なわれた場合の影響の大きさに応じて決める。少なくとも患者
等の視点からみた影響の大きさと、業務継続の視点からみた影響の大きさを考慮する必要がある。こ
のほかにも、医療機関等の経営上の視点、人事管理上の視点等の必要な視点を加えて重要度を分類す
る。例えば、医療情報の安全性に問題が生じた場合、患者等に極めて深刻な影響を与える可能性があ
るため、医療情報は最も重要度の高い情報として分類される。また、医療情報システムについても、
医療サービスの提供継続性への影響の観点から重要度を判断して分類し、管理状況を把握する必要が
ある。
リスク評価は、リスクの発現率と影響の大きさから算定することになる。そのため、リスクの影響
の大きさに関する判断は企画管理者が行い、リスクの発現率に関する技術的な判断は担当者と協働し
て行うことが求められる。
6.2 ISMS(Information Security Management System:情報セキュリティマネジメントシステム)
医療情報システムの情報セキュリティを確保するために、ISMS を構築することが重要である。
ISMS は、PDCA モデルに基づいて行われる(※)が、運用管理においては、このような PDCA モデ
ルが適切に行われるよう ISMS を構築し、管理することが求められる。
※ JIS Q27001:2014 では PDCA との記述は使われていないが、「情報セキュリティマネジメントシ
ステム」として「組織は、この規格の要求事項に従って ISMS を確立し、実施し、維持し、かつ、
継続的に改善しなければならない。
」と記述されている。継続的改善のモデルとして PDCA サイ
クルが理解しやすいため、旧版(JIS Q27001:2006)より引用している。
ISMS の構築のために、JIS Q27001:2006 では下表のように PDCA モデルが規定される。運用管理に
おいては、PDCA モデルを採用し、管理、確認をすることが求められる。
- 25 -
うかを報告し、不備があれば改善策を講じることも求められる。
6.1.2 リスクアセスメント(リスク分析、リスク評価)の役割
リスクアセスメントは、企画管理者と情報システムの技術担当者とで協働して実施することになる
が、運用管理上は、特に取り扱う情報の把握とこれに対するリスク評価を担当者と行うことが求めら
れる。
取り扱う情報の把握は、医療機関等において取り扱う医療情報と、医療情報システムで扱う医療情
報及び関連する情報を全てリストアップし、安全管理上の重要度に応じて分類し、常に最新の状態が
維持されていることを確認することである。そのため、取り扱う情報等に関するリストを作成し、企
画管理者が必要に応じて速やかに確認できる状態で管理することが求められる。
安全管理上の重要度は、安全性が損なわれた場合の影響の大きさに応じて決める。少なくとも患者
等の視点からみた影響の大きさと、業務継続の視点からみた影響の大きさを考慮する必要がある。こ
のほかにも、医療機関等の経営上の視点、人事管理上の視点等の必要な視点を加えて重要度を分類す
る。例えば、医療情報の安全性に問題が生じた場合、患者等に極めて深刻な影響を与える可能性があ
るため、医療情報は最も重要度の高い情報として分類される。また、医療情報システムについても、
医療サービスの提供継続性への影響の観点から重要度を判断して分類し、管理状況を把握する必要が
ある。
リスク評価は、リスクの発現率と影響の大きさから算定することになる。そのため、リスクの影響
の大きさに関する判断は企画管理者が行い、リスクの発現率に関する技術的な判断は担当者と協働し
て行うことが求められる。
6.2 ISMS(Information Security Management System:情報セキュリティマネジメントシステム)
医療情報システムの情報セキュリティを確保するために、ISMS を構築することが重要である。
ISMS は、PDCA モデルに基づいて行われる(※)が、運用管理においては、このような PDCA モデ
ルが適切に行われるよう ISMS を構築し、管理することが求められる。
※ JIS Q27001:2014 では PDCA との記述は使われていないが、「情報セキュリティマネジメントシ
ステム」として「組織は、この規格の要求事項に従って ISMS を確立し、実施し、維持し、かつ、
継続的に改善しなければならない。
」と記述されている。継続的改善のモデルとして PDCA サイ
クルが理解しやすいため、旧版(JIS Q27001:2006)より引用している。
ISMS の構築のために、JIS Q27001:2006 では下表のように PDCA モデルが規定される。運用管理に
おいては、PDCA モデルを採用し、管理、確認をすることが求められる。
- 25 -