よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)第5.2版→第6.0版項目移行対応表 (5 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
第5.2版記載内容
6.12 法令で定められた記
項番
区分
C.最低限のガイ
名・押印を電子署名で行う
ドライン
第6.0版
内容
ことについて
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
1. 以下の電子証明書を用いて電子署名を施すこと
レ
14①
レ
14①
レ
14①
レ
14①
レ
14①
レ
13.⑧
(1) A項の要件を満たす電子署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型電子
署名の場合も同様である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の(a)〜(c)の
いずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用いること。
(a) 厚生労働省の定める準拠性監査基準を満たす保健医療福祉分野PKI認証局の発行する電子証明書を用いて電
子署名を施すこと。
保健医療福祉分野PKI認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納しており、その資格
を証明する認証基盤として構築されている。したがって、この保健医療福祉分野PKI認証局の発行する電子署
名を活用すると電子的な本人確認に加え、同時に、医師等の国家資格を電子的に確認することが可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正しくできること
が必要である。
(b) 認定認証事業者(電子署名法第2条第3項に定める特定認証業務を行う者として主務大臣の認定を受けた者
をいう。以下同じ。)又は認証事業者(電子署名法第2条第2項の認証業務を行う者(認定認証事業者を除
く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。その場合、当該電子署名を施された文
書を受け取る者が、医師等の国家資格の確認を電子的に検証でき、電子署名の検証を正しくできることが必要
である。事業者(認証局あるいは立会人型電子署名の場合は電子署名サービス提供事業者をいう。以下6.12.に
おいて同じ)を選定する際には、事業者が次に掲げる事項を適切に実施していることについて確認すること
(ローカル署名のほか、リモート署名、立会人型電子署名の場合も同様)。
「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153号)第3
条第1項に規定する署名用電子証明書に係る電子署名により確認を行うこと。マイナンバーカードによる確認
が行えない場合は、身分証明書と住民票等の公的証明書をスキャンしたデータ(いずれも本項と同等の電子署
名(資格確認を除く)を施すこと)により確認を行うこと。郵送の場合は、身分証明書のコピー(署名又は押
印(実印が捺印され、印鑑登録証明書が添えてあること ))、住民票等の公的証明書により確認を行うこと。
対面の場合は、身分証明書と住民票等の公的証明書により確認を行うこと。なお、新たな技術により、医療分
野の特性を踏まえた現行の本人確認に必要な保証レベルと同等のレベルが担保される方法を用いることが可能
となった場合には、これを活用することも可能であるため、本ガイドライン及び関連資料を参照の上、選択・
採用すること 。
※
身分証明書の確認は、公的な写真付きの身分証明書であればマイナンバーカード、運転免許証、パスポー
ト等のいずれか1種類により、又はその他の身分証明書であれば2種類以上により行うこと。
署名用証明書を用いた電子署名を事業者へ提供することによりオンラインで行う方法、②利用者が官公庁の発
行した国家資格を証明する書類(以下「国家資格免許証等」という。)の原本又はコピー等(紙媒体の場合
は、国家資格免許証等のコピーに署名又は押印(実印が捺印され、印鑑登録証明書が添えてあること)がある
こと 。電子媒体の場合は、本項と同等の電子署名(資格確認を除く)をスキャンしたデータに施すこと。)を
事業者へ持参、郵送又は送信する方法、③利用者が電子署名による確認方法以外の電子的に国家資格等情報と
連携して提示できる仕組みを用いて事業者へ提示する方法、④利用者の所属又は運営する医療機関等が利用者
の国家資格保有の事実の立証を事業者へ行う方法、のいずれかによって利用者の登録時において確認すること
(電子署名を行う都度、事業者による医師等の国家資格保有の確認を求めるものではない)。なお、①〜③の
場合、事業者は、資格確認に用いた国家資格免許証等のコピーや証明書等について、保存年限を定めて保存し
ておくこと。④の場合、次に掲げる事項が適切に行われていることについて事業者が確認を行うこと。
-
医療機関等の管理者が、自組織の実在性を事業者に対して立証すること。
-
医療機関等の管理者が国家資格保有の確認を行った者の「氏名、生年月日、性別、住所」(以下「基本4
情報」という。)を事業者へ提出すること(これによって、利用者が実在性、本人性及び利用者個人の申請意
思を立証した際に、国家資格保有の立証もなされたものとみなすこととする)。
-
医療機関等による医師等の国家資格保有の立証に当たって、医療機関等が責任の主体としての説明責任を
果たすため、資格確認を行った実施記録の作成を行うとともに、資格確認を実施した国家資格免許証等のコ
ピーや利用者の基本4情報を提出した書類のコピー等について保存年限を定めて保存し、さらに医療機関等の
内部の独立した監査部門による定期的な監査を行うこと。
※
①〜④のいずれかによって資格確認を行った後、利用可能となった当該電子署名を利用者が他の事業者に
提供した場合、提供を受けた事業者が別途資格の確認を行う必要はない。なお、この場合であっても以下の事
項を行うこと。
・
適切な外部からの評価を受けること。
・
資格確認に用いた証明書等について、保存年限を定めて保存しておくこと。
(c) 「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153号)
に基づき、平成16年1月29日から開始されている公的個人認証サービスを用いることも可能であるが、その場
合、その署名用電子証明書に係る電子 署名に紐づく医師等の国家資格が検証時に電子的に確認できること、当
該電子署名を施された文書を受け取る者が公的個人認証サービスを用いた電子署名を検証できることが必要で
ある。
2. 電子署名を含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「タイムビジネスに係る指針-ネットワークの
安心な利用と電子データの安全な長期保存のために-」(総務省、平成16年11月)等で示されている時刻認証
業務の基準に準拠し、一般財団法人日本データ通信協会が認定した時刻認証事業者のものを使用すること。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係ガ
イドラインに留意しながら適切に対策を実施すること。
2. 法定保存期間等の必要な期間、電子署名の検証を継続して行うことができるよう、必要に応じて電子署名を
含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「時刻認証業務の認定に関する規程」(令和3年
4月1日、総務省告示第146号)に基づき認定された事業者(認定事業者)が提供するものを使用すること。な
お、一般財団法人日本データ通信協会が認定した時刻認証事業者(「タイムビジネスに係る指針」(総務省、
平成16年11月)等で示されている時刻認証業務の基準に準拠し、一般財団法人日本データ通信協会が認定した
時刻認証事業者。以下「認定時刻認証事業者」という。)については、令和4年以降、国による認定制度に順
次移行する予定であることから、当面の間、認定時刻認証事業者によるものを使用しても差し支え無い。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係ガ
イドラインに留意しながら適切に対策を実施すること。
(4) タイムスタンプを付与する時点で有効な電子証明書を用いること。
当然ではあるが、有効な電子証明書を用いて電子署名を行わなければならない。本来法定保存期間は電子署名
自体が検証可能であることが求められるが、タイムスタンプが検証可能であれば電子署名を含めて改変の事実
がないことが証明されるため、タイムスタンプ付与時点で電子署名が検証可能であれば、電子署名付与時点で
の有効性を検証することが可能である。具体的には、電子署名が有効である間に、電子署名の検証に必要とな
る情報(関連する電子証明書や失効情報等)を収集し、署名対象文書と署名値とともにその全体に対してタイ
ムスタンプを付与する等の対策が必要である。
7.1 真正性の確保について B.考え方
(略)
レ
1.1
C.最低限のガイ
1. 入力者及び確定者の識別・認証
レ
1.1
ドライン
(1) 電子カルテシステム等でPC等の汎用入力端末により記録が作成される場合
15⑬
【医療機関等に a 入力者及び確定者を正しく識別し、認証を行うこと。
保存する場合】 b システムへの全ての入力操作について、対象情報ごとに入力者の職種や所属等の必要な区分に基づいた権
限管理(アクセスコントロール)を定めること。また、権限のある入力者以外による作成、追記、変更を防止
すること。
c 業務アプリケーションが稼動可能な端末を管理し、権限を持たない者からのアクセスを防止すること。
(2) 臨床検査システム、医用画像ファイリングシステム等、特定の装置又はシステムにより記録が作成される
場合
a 装置の操作者を運用管理規程で明確にするとともに操作者以外のものによる機器の操作を運用上防止する
こと。
b 当該装置による記録をいつ・誰が行ったか、システム機能と運用の組み合わせにより明確にすること。
5 / 9 ページ
Q&A
6.12 法令で定められた記
項番
区分
C.最低限のガイ
名・押印を電子署名で行う
ドライン
第6.0版
内容
ことについて
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
1. 以下の電子証明書を用いて電子署名を施すこと
レ
14①
レ
14①
レ
14①
レ
14①
レ
14①
レ
13.⑧
(1) A項の要件を満たす電子署名を施すこと。なお、これはローカル署名のほか、リモート署名、立会人型電子
署名の場合も同様である。
(2) 法令で医師等の国家資格を有する者による作成が求められている文書については、以下の(a)〜(c)の
いずれかにより、医師等の国家資格の確認が電子的に検証できる電子署名等を用いること。
(a) 厚生労働省の定める準拠性監査基準を満たす保健医療福祉分野PKI認証局の発行する電子証明書を用いて電
子署名を施すこと。
保健医療福祉分野PKI認証局は、電子証明書内に医師等の保健医療福祉に係る資格を格納しており、その資格
を証明する認証基盤として構築されている。したがって、この保健医療福祉分野PKI認証局の発行する電子署
名を活用すると電子的な本人確認に加え、同時に、医師等の国家資格を電子的に確認することが可能である。
ただし、当該電子署名を施された文書を受け取る者が、国家資格を含めた電子署名の検証を正しくできること
が必要である。
(b) 認定認証事業者(電子署名法第2条第3項に定める特定認証業務を行う者として主務大臣の認定を受けた者
をいう。以下同じ。)又は認証事業者(電子署名法第2条第2項の認証業務を行う者(認定認証事業者を除
く。)をいう。)の発行する電子証明書を用いて電子署名を施すこと。その場合、当該電子署名を施された文
書を受け取る者が、医師等の国家資格の確認を電子的に検証でき、電子署名の検証を正しくできることが必要
である。事業者(認証局あるいは立会人型電子署名の場合は電子署名サービス提供事業者をいう。以下6.12.に
おいて同じ)を選定する際には、事業者が次に掲げる事項を適切に実施していることについて確認すること
(ローカル署名のほか、リモート署名、立会人型電子署名の場合も同様)。
「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153号)第3
条第1項に規定する署名用電子証明書に係る電子署名により確認を行うこと。マイナンバーカードによる確認
が行えない場合は、身分証明書と住民票等の公的証明書をスキャンしたデータ(いずれも本項と同等の電子署
名(資格確認を除く)を施すこと)により確認を行うこと。郵送の場合は、身分証明書のコピー(署名又は押
印(実印が捺印され、印鑑登録証明書が添えてあること ))、住民票等の公的証明書により確認を行うこと。
対面の場合は、身分証明書と住民票等の公的証明書により確認を行うこと。なお、新たな技術により、医療分
野の特性を踏まえた現行の本人確認に必要な保証レベルと同等のレベルが担保される方法を用いることが可能
となった場合には、これを活用することも可能であるため、本ガイドライン及び関連資料を参照の上、選択・
採用すること 。
※
身分証明書の確認は、公的な写真付きの身分証明書であればマイナンバーカード、運転免許証、パスポー
ト等のいずれか1種類により、又はその他の身分証明書であれば2種類以上により行うこと。
署名用証明書を用いた電子署名を事業者へ提供することによりオンラインで行う方法、②利用者が官公庁の発
行した国家資格を証明する書類(以下「国家資格免許証等」という。)の原本又はコピー等(紙媒体の場合
は、国家資格免許証等のコピーに署名又は押印(実印が捺印され、印鑑登録証明書が添えてあること)がある
こと 。電子媒体の場合は、本項と同等の電子署名(資格確認を除く)をスキャンしたデータに施すこと。)を
事業者へ持参、郵送又は送信する方法、③利用者が電子署名による確認方法以外の電子的に国家資格等情報と
連携して提示できる仕組みを用いて事業者へ提示する方法、④利用者の所属又は運営する医療機関等が利用者
の国家資格保有の事実の立証を事業者へ行う方法、のいずれかによって利用者の登録時において確認すること
(電子署名を行う都度、事業者による医師等の国家資格保有の確認を求めるものではない)。なお、①〜③の
場合、事業者は、資格確認に用いた国家資格免許証等のコピーや証明書等について、保存年限を定めて保存し
ておくこと。④の場合、次に掲げる事項が適切に行われていることについて事業者が確認を行うこと。
-
医療機関等の管理者が、自組織の実在性を事業者に対して立証すること。
-
医療機関等の管理者が国家資格保有の確認を行った者の「氏名、生年月日、性別、住所」(以下「基本4
情報」という。)を事業者へ提出すること(これによって、利用者が実在性、本人性及び利用者個人の申請意
思を立証した際に、国家資格保有の立証もなされたものとみなすこととする)。
-
医療機関等による医師等の国家資格保有の立証に当たって、医療機関等が責任の主体としての説明責任を
果たすため、資格確認を行った実施記録の作成を行うとともに、資格確認を実施した国家資格免許証等のコ
ピーや利用者の基本4情報を提出した書類のコピー等について保存年限を定めて保存し、さらに医療機関等の
内部の独立した監査部門による定期的な監査を行うこと。
※
①〜④のいずれかによって資格確認を行った後、利用可能となった当該電子署名を利用者が他の事業者に
提供した場合、提供を受けた事業者が別途資格の確認を行う必要はない。なお、この場合であっても以下の事
項を行うこと。
・
適切な外部からの評価を受けること。
・
資格確認に用いた証明書等について、保存年限を定めて保存しておくこと。
(c) 「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律」(平成14年法律第153号)
に基づき、平成16年1月29日から開始されている公的個人認証サービスを用いることも可能であるが、その場
合、その署名用電子証明書に係る電子 署名に紐づく医師等の国家資格が検証時に電子的に確認できること、当
該電子署名を施された文書を受け取る者が公的個人認証サービスを用いた電子署名を検証できることが必要で
ある。
2. 電子署名を含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「タイムビジネスに係る指針-ネットワークの
安心な利用と電子データの安全な長期保存のために-」(総務省、平成16年11月)等で示されている時刻認証
業務の基準に準拠し、一般財団法人日本データ通信協会が認定した時刻認証事業者のものを使用すること。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係ガ
イドラインに留意しながら適切に対策を実施すること。
2. 法定保存期間等の必要な期間、電子署名の検証を継続して行うことができるよう、必要に応じて電子署名を
含む文書全体にタイムスタンプを付与すること
(1) タイムスタンプは、第三者による検証を可能にするため、「時刻認証業務の認定に関する規程」(令和3年
4月1日、総務省告示第146号)に基づき認定された事業者(認定事業者)が提供するものを使用すること。な
お、一般財団法人日本データ通信協会が認定した時刻認証事業者(「タイムビジネスに係る指針」(総務省、
平成16年11月)等で示されている時刻認証業務の基準に準拠し、一般財団法人日本データ通信協会が認定した
時刻認証事業者。以下「認定時刻認証事業者」という。)については、令和4年以降、国による認定制度に順
次移行する予定であることから、当面の間、認定時刻認証事業者によるものを使用しても差し支え無い。
(2) 法定保存期間中、タイムスタンプの有効性を継続できるようにするための対策を実施すること。
(3) タイムスタンプの利用や長期保存に関しては、今後も、関係府省の通知や指針の内容や標準技術、関係ガ
イドラインに留意しながら適切に対策を実施すること。
(4) タイムスタンプを付与する時点で有効な電子証明書を用いること。
当然ではあるが、有効な電子証明書を用いて電子署名を行わなければならない。本来法定保存期間は電子署名
自体が検証可能であることが求められるが、タイムスタンプが検証可能であれば電子署名を含めて改変の事実
がないことが証明されるため、タイムスタンプ付与時点で電子署名が検証可能であれば、電子署名付与時点で
の有効性を検証することが可能である。具体的には、電子署名が有効である間に、電子署名の検証に必要とな
る情報(関連する電子証明書や失効情報等)を収集し、署名対象文書と署名値とともにその全体に対してタイ
ムスタンプを付与する等の対策が必要である。
7.1 真正性の確保について B.考え方
(略)
レ
1.1
C.最低限のガイ
1. 入力者及び確定者の識別・認証
レ
1.1
ドライン
(1) 電子カルテシステム等でPC等の汎用入力端末により記録が作成される場合
15⑬
【医療機関等に a 入力者及び確定者を正しく識別し、認証を行うこと。
保存する場合】 b システムへの全ての入力操作について、対象情報ごとに入力者の職種や所属等の必要な区分に基づいた権
限管理(アクセスコントロール)を定めること。また、権限のある入力者以外による作成、追記、変更を防止
すること。
c 業務アプリケーションが稼動可能な端末を管理し、権限を持たない者からのアクセスを防止すること。
(2) 臨床検査システム、医用画像ファイリングシステム等、特定の装置又はシステムにより記録が作成される
場合
a 装置の操作者を運用管理規程で明確にするとともに操作者以外のものによる機器の操作を運用上防止する
こと。
b 当該装置による記録をいつ・誰が行ったか、システム機能と運用の組み合わせにより明確にすること。
5 / 9 ページ
Q&A