よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


医療情報システムの安全管理に関するガイドライン 第6.0版(システム運用編)(令和5年5月) (23 ページ)

公開元URL https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
出典情報 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。



医療情報を格納する記録媒体や情報機器の盗難や紛失(ネットワークサービスの利用等によ

る漏洩の可能性の発生含む)が生じた場合に、行うべき手順を作成するとともに、可能な範囲
で紛失や盗難に対応した措置を事前に講じること。

7.1 外部へ持ち出す医療情報の管理対策
システム運用担当者は、医療機関等の外部への医療情報の持出しに関する具体的な手順を、企画管
理者が策定する規程を踏まえて作成する。手順は、持ち出す医療情報や記録媒体、持出し方法の種類
や特性に応じて策定する。また手順における策定対象は、持出し前の手続から、外部からの持ち帰り
等に至るまでを想定する。
記録媒体や情報機器等を持ち出す場合には、盗難や紛失のリスクを想定した内容を含めることが求
められる。例えば端末自体の起動パスワード等の設定は必須であり、認証等のルールに沿った内容で
あることが求められる。また記録媒体や端末内に患者等の医療情報が保存されている場合には、記録
媒体に暗号化を施す必要があるほか、アクセス先に存在する患者等の医療情報を表示や編集できる場
合は、その機能を持つアプリの起動にパスワードを設定するなどの措置も求められる。
またタブレット PC 及びスマートフォンの持出しに際して、その目的から見て不要なプログラム等は
インストールしないようにする旨や、情報機器等に対する管理者権限等を原則付与しないなどの措置
を講じるなども有効である。
持出しについて、ネットワークを通じて外部に保存する場合、システム運用担当者は利用してもよ
い保存先やネットワークサービスを限定する必要がある。クラウドサービスは、容易に医療情報の外
部保存ができるため、システム運用担当者が管理しないものが使われるリスクがある。クラウドサー
ビスの中には、医療機関等が定める安全管理の基準を満たさないものや、プライバシーポリシー、そ
の他のルールが、医療機関が定めるものと整合性が取れないこともある。
システム運用担当者は、例えば医療機関等が許可したり、管理していないサービス以外の接続がで
きないようにしたりする等の技術的な対応を取りながら、許可されていないサービスの利用禁止を規
則等で盛り込むなどの対応が想定される。
保守等の目的で事業者が、医療機関等から医療情報を持ち出す場合、患者の個人情報を持ち出すこ
とは、漏洩防止等の観点から、原則として禁止する必要がある。業務の必要上、やむを得ず持ち出す
場合には、目的や持ち出す個人情報の件数とデータ項目、持出し後の対応や、持出し先での保存環境
等を事前に示したうえで、システム運用担当者の許可を得て持ち出す等の手続を定める必要がある。
7.2 医療機関等外から医療情報システムに接続する利用の場合への対策
システム運用担当者は、医療機関等の外部から医療情報システムに接続して利用する場合の、技術
的対応への方策を講じることが求められる。利用場面としては、下記の場面が想定される。


医療機関等の職員が、訪問先やテレワークなどにより、医療機関等が管理する端末を通じてア

クセスする場合


患者等が、自宅から自らの医療情報にアクセスする場合



医療機関等が保有する医療情報システムに対して、事業者が外部からアクセスして保守等を行

う場合

- 17 -