よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(システム運用編)(令和5年5月) (31 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
9.ソフトウェア・サービスに対する要求事項
[Ⅰ、Ⅲ]
【遵守事項】
①
システムがどのような情報機器、ソフトウェアで構成され、どのような場面、用途で利用さ
れるのかを明らかにするとともに、システムの機能仕様を明確に定義すること。
②
情報機器、ソフトウェアの改訂履歴、その導入の際に実際に行われた作業の妥当性を検証す
るためのプロセスを規定すること。
③
医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に管理するた
めの手順を作成し、これに従い必要な措置を講じ、企画管理者に報告すること。
④
医療情報システムの目的に応じて速やかに検索表示又は書面に表示できるよう措置を講じる
こと。
9.1 ソフトウェアの構成管理
システム運用担当者は、医療情報システムで利用するソフトウェアが、適切な構成となっているこ
とを確認する必要がある。特に医療情報システムをオンプレミスにより構築している場合には、医療
情報システムを構成するソフトウェアのバージョンや組み合わせ等の管理を直接行うことが求められ
る。ソフトウェアの構成を適切に行わないと、医療情報システムの動作に支障をきたしたり、セキュ
リティ上の脆弱性が放置されたままになったりするなどのリスクが生じる。
ソフトウェアの構成については、ソフトウェアを開発・保守する事業者が行うことが多いが、適切
な構成管理を行うための手順などにより行うことが想定される。
システム運用担当者は、このような構成管理について、手順(あるいはこれに相当するバッチ処理
のための仕組み等)が整備されているか、本来構成すべきソフトウェア(プログラム)のバージョン
などが適切に管理されているか等を、事業者に確認し、医療情報システムの導入や保守において、構
成管理に関する手順に従った計画が策定され、実施されていることを確認することが求められる。
クラウドサービスなどの場合には、このような構成管理を直接、医療機関等が行うことは難しい。
従ってクラウドサービスによる場合には、事業者において構成管理等の手順があり、それに基づいて
実施していることの確認などを行うことなどが想定される。
9.2 情報機器・ソフトウェアの導入や変更時における品質管理
システム運用担当者は、医療情報システムの導入や変更時においては、想定した品質で稼働するこ
とを確認することが求められる。施行通知では、「目的に応じて速やかに検索表示又は書面に表示でき
る」ことを求めている。このようなソフトウェアの品質が適切に確保されないと、結果として医療の
提供に支障が生じるリスクがある(例えば迅速に診断ができないことにより、診断が滞るなど)。
システム運用担当者は、医療情報システムの導入や変更時にこのような品質を確認するほか、要求
仕様書等において特に重視する品質などについて明示することで、事業者に品質確保を求めるなどが
想定される。
なお、求められる品質は、医療情報システムの特性や目的に応じて異なる。施行通知の基礎となる
e-文書法の精神によれば、画面上での見読性が確保されていることが求められているが、要求によって
は対象の情報の内容を直ちに書面等に表示できることが求められることもある。品質を満たすかどう
かについては、このような観点も考慮することが重要である。
- 25 -
[Ⅰ、Ⅲ]
【遵守事項】
①
システムがどのような情報機器、ソフトウェアで構成され、どのような場面、用途で利用さ
れるのかを明らかにするとともに、システムの機能仕様を明確に定義すること。
②
情報機器、ソフトウェアの改訂履歴、その導入の際に実際に行われた作業の妥当性を検証す
るためのプロセスを規定すること。
③
医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に管理するた
めの手順を作成し、これに従い必要な措置を講じ、企画管理者に報告すること。
④
医療情報システムの目的に応じて速やかに検索表示又は書面に表示できるよう措置を講じる
こと。
9.1 ソフトウェアの構成管理
システム運用担当者は、医療情報システムで利用するソフトウェアが、適切な構成となっているこ
とを確認する必要がある。特に医療情報システムをオンプレミスにより構築している場合には、医療
情報システムを構成するソフトウェアのバージョンや組み合わせ等の管理を直接行うことが求められ
る。ソフトウェアの構成を適切に行わないと、医療情報システムの動作に支障をきたしたり、セキュ
リティ上の脆弱性が放置されたままになったりするなどのリスクが生じる。
ソフトウェアの構成については、ソフトウェアを開発・保守する事業者が行うことが多いが、適切
な構成管理を行うための手順などにより行うことが想定される。
システム運用担当者は、このような構成管理について、手順(あるいはこれに相当するバッチ処理
のための仕組み等)が整備されているか、本来構成すべきソフトウェア(プログラム)のバージョン
などが適切に管理されているか等を、事業者に確認し、医療情報システムの導入や保守において、構
成管理に関する手順に従った計画が策定され、実施されていることを確認することが求められる。
クラウドサービスなどの場合には、このような構成管理を直接、医療機関等が行うことは難しい。
従ってクラウドサービスによる場合には、事業者において構成管理等の手順があり、それに基づいて
実施していることの確認などを行うことなどが想定される。
9.2 情報機器・ソフトウェアの導入や変更時における品質管理
システム運用担当者は、医療情報システムの導入や変更時においては、想定した品質で稼働するこ
とを確認することが求められる。施行通知では、「目的に応じて速やかに検索表示又は書面に表示でき
る」ことを求めている。このようなソフトウェアの品質が適切に確保されないと、結果として医療の
提供に支障が生じるリスクがある(例えば迅速に診断ができないことにより、診断が滞るなど)。
システム運用担当者は、医療情報システムの導入や変更時にこのような品質を確認するほか、要求
仕様書等において特に重視する品質などについて明示することで、事業者に品質確保を求めるなどが
想定される。
なお、求められる品質は、医療情報システムの特性や目的に応じて異なる。施行通知の基礎となる
e-文書法の精神によれば、画面上での見読性が確保されていることが求められているが、要求によって
は対象の情報の内容を直ちに書面等に表示できることが求められることもある。品質を満たすかどう
かについては、このような観点も考慮することが重要である。
- 25 -