よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)第5.2版→第6.0版項目移行対応表 (7 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
7.3 保存性の確保について
項番
第5.2版記載内容
C.最低限のガイ
区分
ドライン
第6.0版
内容
【医療機関等に
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
Q&A
保存する場合】
2. 不適切な保管・取扱いによる情報の滅失、破壊の防止
レ
3、4
レ
(1) 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な保管及び取扱いを行う
15②③
レ
15⑬
12.2
18.1
よう関係者に周知徹底するとともに、教育を実施すること。また、保管及び取扱いに関する作業履歴を残すこ
と。
(2) システムが情報を保存する場所(内部、可搬媒体)を明示し、その場所ごとの保存可能容量(サイズ)、
期間、リスク、レスポンス、バックアップ頻度、バックアップ方法等を明確にすること。これらを運用管理規
程に定めて、その運用を関係者全員に周知徹底すること。
(3) 記録媒体の保管場所やサーバの設置場所等には、許可された者以外が入室できないような対策を実施する
こと。
(4) 電子的に保存された診療録等の情報に対するアクセス履歴を残すとともに、その履歴を適切に管理するこ
と。
(5) 各保存場所における情報が毀損したときに、バックアップされたデータ等を用いて毀損前の状態に戻せる
ようにすること。もし、毀損前と同じ状態に戻せない場合には、毀損された範囲が容易に分かるようにしてお
くこと。
3. 記録媒体、設備の劣化による情報の読み取り不能又は不完全な読み取りの防止
レ
15⑬
レ
12.2
レ
15⑬
レ
5①
(1) 記録媒体が劣化する前に、当該記録媒体に保存されている情報を新たな記録媒体又は記録機器に複写する
こと。記録媒体及び機器ごとに劣化が起こらずに正常に保存が行える期間を明確にするとともに、使用開始
日、使用終了予定日を管理して、月に一回程度の頻度でチェックを行うこと。使用終了予定日が近づいた記録
媒体又は記録機器は、そのデータを新しい記録媒体又は記録機器に複写すること。これらの一連の運用の流れ
を運用管理規程に定めるとともに、関係者に周知徹底すること。
4. 媒体・機器・ソフトウェアの不整合による情報の復元不能の防止
(1) システム更新の際の移行を迅速に行えるように、診療録等のデータについて、標準形式が存在する項目は
標準形式で、標準形式が存在しない項目は変換が容易なデータ形式で、それぞれ出力及び入力できる機能を備
えること。
(2) マスタデータベースの変更の際に、過去の診療録等の情報に対する内容の変更が起こらない機能を備える
こと。
C.最低限のガイ
5. データ形式及び転送プロトコルのバージョン管理と継続性の確保を行うこと
ドライン
保存義務のある期間中に、データ形式や転送プロトコルがバージョンアップ又は変更されることが考えられ
レ
3、4
レ
15⑬
レ
5③
レ
3、4
レ
15⑬
レ
12.2
レ
8③
レ
12②
【ネットワーク る。その場合、外部保存を受託する事業者は、以前のデータ形式や転送プロトコルを使用している医療機関等
を通じて医療機 が存在する間は対応を維持しなくてはならない。
関等の外部に保
存する場 合】
6. ネットワークや外部保存を受託する事業者に設備の劣化対策の実施を求めること
ネットワークや外部保存を受託する事業者の設備の条件を考慮し、回線や設備が劣化した際にそれらを更新す
る等の対策を実施するよう求めること。
D.推奨される 1. 不適切な保管・取扱いによる情報の滅失・破壊の防止
ガイドライン
レ
(1) 記録媒体、記録機器及びサーバは、許可された者しか入ることができない部屋に保管するとともに、その
【医療機関等に 部屋の入退室の履歴を残し、保管及び取扱いに関する作業履歴と関連付けて保存すること。
保存する場合】 (2) サーバ室には、許可された者以外が入室できないよう、鍵等の物理的な対策を施すこと。
(3) 診療録等のデータのバックアップを定期的に取得するとともに、その内容に対する改ざん等が行われてい
ないことを検査する機能を備えること。
2. 記録媒体、設備の劣化による情報の読み取り不能又は不完全な読み取りの防止
レ
診療録等の情報をハードディスク等の記録機器に保存する場合は、RAID-1又はRAID-6相当以上のディスク障
害に対する対策を行うこと。
8 診療録及び診療諸記録を外
ー
レ
7
レ
1.1.2
部に保存する際の基準
8.1 電子保存の3基準の遵守
8.2 運用管理規程
B.考え方
(略)
レ
3.2
レ
16
8.3. 外部保存を受託する事業 C.最低限のガイ
1. 病院、診療所、医療法人等が適切に管理する場所に保存する場合
レ
5
レ
7⑦
者の選定基準及び情報の取扱 ドライン
(1) 病院や診療所、医療法人等が適切に管理する場所に診療録等を保存すること。
いに関する基準
(2) 委託した医療機関等及び患者等の許可なく、保存を受託した診療録等を分析等の目的で取り扱わせないこ
レ
5
レ
7⑤
と。
(3) 保存を受託した診療録等の分析等は、不当な利益を目的としない場合に限って許可すること。
(4) 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをしている事
実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱わせること。
(5) 保存を受託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供する場合
は、外部保存を受託する事業者に適切なアクセス権を設定し、情報漏えいや、誤った閲覧(異なる患者の情報
を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように配慮するよう求める
こと。
(6) 情報の提供は、原則、患者が受診している医療機関等と患者間の同意に基づいて実施すること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
(1) 保存した情報の取扱いに関して監督できるようにするため、外部保存を受託する事業者及びその管理者、
電子保存作業従事者等に対する守秘に関連する事項やその事項に違反した場合のペナルティを契約書等で定め
ること。
(2) 医療機関等と外部保存を受託する事業者を結ぶネットワーク回線に関しては6.11章を遵守させること。
(3) 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管
理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等で確認をするこ
と。
(4) 外部保存を受託する事業者の選定に当たっては、事業者のセキュリティ対策状況を示す資料を確認するこ
と。例えば、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に
おける「サービス仕様適合開示書」の提供を求めて、確認することなどが挙げられる。
(5) 外部保存を受託する事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させないこ
と。なお保守に関しては、6.8章を遵守すること。
(6) 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同じ。)を独
断で分析、解析等を実施してはならないことを契約書等に明記するとともに、外部保存を受託する事業者に遵
守させること。
(7) 保存した情報を、外部保存を受託する事業者が独自に提供しないように、契約書等で情報提供について定
めること。外部保存を受託する事業者が提供に係るアクセス権を設定する場合は、適切な権限を設定させ、情
報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう
等)が起こらないようにさせること。
(8) 保存された情報を格納する機器等が、国内法の適用を受けることを確認すること。
7 / 9 ページ
項番
第5.2版記載内容
C.最低限のガイ
区分
ドライン
第6.0版
内容
【医療機関等に
概説
経営管理編
企画管理編
システム運用編
(Overview)
(Governance)
(Management)
(Control)
Q&A
保存する場合】
2. 不適切な保管・取扱いによる情報の滅失、破壊の防止
レ
3、4
レ
(1) 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な保管及び取扱いを行う
15②③
レ
15⑬
12.2
18.1
よう関係者に周知徹底するとともに、教育を実施すること。また、保管及び取扱いに関する作業履歴を残すこ
と。
(2) システムが情報を保存する場所(内部、可搬媒体)を明示し、その場所ごとの保存可能容量(サイズ)、
期間、リスク、レスポンス、バックアップ頻度、バックアップ方法等を明確にすること。これらを運用管理規
程に定めて、その運用を関係者全員に周知徹底すること。
(3) 記録媒体の保管場所やサーバの設置場所等には、許可された者以外が入室できないような対策を実施する
こと。
(4) 電子的に保存された診療録等の情報に対するアクセス履歴を残すとともに、その履歴を適切に管理するこ
と。
(5) 各保存場所における情報が毀損したときに、バックアップされたデータ等を用いて毀損前の状態に戻せる
ようにすること。もし、毀損前と同じ状態に戻せない場合には、毀損された範囲が容易に分かるようにしてお
くこと。
3. 記録媒体、設備の劣化による情報の読み取り不能又は不完全な読み取りの防止
レ
15⑬
レ
12.2
レ
15⑬
レ
5①
(1) 記録媒体が劣化する前に、当該記録媒体に保存されている情報を新たな記録媒体又は記録機器に複写する
こと。記録媒体及び機器ごとに劣化が起こらずに正常に保存が行える期間を明確にするとともに、使用開始
日、使用終了予定日を管理して、月に一回程度の頻度でチェックを行うこと。使用終了予定日が近づいた記録
媒体又は記録機器は、そのデータを新しい記録媒体又は記録機器に複写すること。これらの一連の運用の流れ
を運用管理規程に定めるとともに、関係者に周知徹底すること。
4. 媒体・機器・ソフトウェアの不整合による情報の復元不能の防止
(1) システム更新の際の移行を迅速に行えるように、診療録等のデータについて、標準形式が存在する項目は
標準形式で、標準形式が存在しない項目は変換が容易なデータ形式で、それぞれ出力及び入力できる機能を備
えること。
(2) マスタデータベースの変更の際に、過去の診療録等の情報に対する内容の変更が起こらない機能を備える
こと。
C.最低限のガイ
5. データ形式及び転送プロトコルのバージョン管理と継続性の確保を行うこと
ドライン
保存義務のある期間中に、データ形式や転送プロトコルがバージョンアップ又は変更されることが考えられ
レ
3、4
レ
15⑬
レ
5③
レ
3、4
レ
15⑬
レ
12.2
レ
8③
レ
12②
【ネットワーク る。その場合、外部保存を受託する事業者は、以前のデータ形式や転送プロトコルを使用している医療機関等
を通じて医療機 が存在する間は対応を維持しなくてはならない。
関等の外部に保
存する場 合】
6. ネットワークや外部保存を受託する事業者に設備の劣化対策の実施を求めること
ネットワークや外部保存を受託する事業者の設備の条件を考慮し、回線や設備が劣化した際にそれらを更新す
る等の対策を実施するよう求めること。
D.推奨される 1. 不適切な保管・取扱いによる情報の滅失・破壊の防止
ガイドライン
レ
(1) 記録媒体、記録機器及びサーバは、許可された者しか入ることができない部屋に保管するとともに、その
【医療機関等に 部屋の入退室の履歴を残し、保管及び取扱いに関する作業履歴と関連付けて保存すること。
保存する場合】 (2) サーバ室には、許可された者以外が入室できないよう、鍵等の物理的な対策を施すこと。
(3) 診療録等のデータのバックアップを定期的に取得するとともに、その内容に対する改ざん等が行われてい
ないことを検査する機能を備えること。
2. 記録媒体、設備の劣化による情報の読み取り不能又は不完全な読み取りの防止
レ
診療録等の情報をハードディスク等の記録機器に保存する場合は、RAID-1又はRAID-6相当以上のディスク障
害に対する対策を行うこと。
8 診療録及び診療諸記録を外
ー
レ
7
レ
1.1.2
部に保存する際の基準
8.1 電子保存の3基準の遵守
8.2 運用管理規程
B.考え方
(略)
レ
3.2
レ
16
8.3. 外部保存を受託する事業 C.最低限のガイ
1. 病院、診療所、医療法人等が適切に管理する場所に保存する場合
レ
5
レ
7⑦
者の選定基準及び情報の取扱 ドライン
(1) 病院や診療所、医療法人等が適切に管理する場所に診療録等を保存すること。
いに関する基準
(2) 委託した医療機関等及び患者等の許可なく、保存を受託した診療録等を分析等の目的で取り扱わせないこ
レ
5
レ
7⑤
と。
(3) 保存を受託した診療録等の分析等は、不当な利益を目的としない場合に限って許可すること。
(4) 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをしている事
実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱わせること。
(5) 保存を受託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供する場合
は、外部保存を受託する事業者に適切なアクセス権を設定し、情報漏えいや、誤った閲覧(異なる患者の情報
を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように配慮するよう求める
こと。
(6) 情報の提供は、原則、患者が受診している医療機関等と患者間の同意に基づいて実施すること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
(1) 保存した情報の取扱いに関して監督できるようにするため、外部保存を受託する事業者及びその管理者、
電子保存作業従事者等に対する守秘に関連する事項やその事項に違反した場合のペナルティを契約書等で定め
ること。
(2) 医療機関等と外部保存を受託する事業者を結ぶネットワーク回線に関しては6.11章を遵守させること。
(3) 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管
理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等で確認をするこ
と。
(4) 外部保存を受託する事業者の選定に当たっては、事業者のセキュリティ対策状況を示す資料を確認するこ
と。例えば、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に
おける「サービス仕様適合開示書」の提供を求めて、確認することなどが挙げられる。
(5) 外部保存を受託する事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させないこ
と。なお保守に関しては、6.8章を遵守すること。
(6) 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同じ。)を独
断で分析、解析等を実施してはならないことを契約書等に明記するとともに、外部保存を受託する事業者に遵
守させること。
(7) 保存した情報を、外部保存を受託する事業者が独自に提供しないように、契約書等で情報提供について定
めること。外部保存を受託する事業者が提供に係るアクセス権を設定する場合は、適切な権限を設定させ、情
報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう
等)が起こらないようにさせること。
(8) 保存された情報を格納する機器等が、国内法の適用を受けることを確認すること。
7 / 9 ページ