よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)各編間相関表 (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
⑧
電子カルテシステムにおける記録の確定手順の確立と、識別情報
の記録について、以下の機能があることを確認すること。
-
電子カルテシステム等でPC 等の汎用入力端末により記録が作成さ
れる場合
a
診療録等の作成・保存を行おうとする場合、確定された情報を登録
できる仕組みをシステムに備えること。その際、登録する情報に、入
力者及び確定者の氏名等の識別情報、信頼できる時刻源を用いた作成
日時を含めること。
b 「記録の確定」を行うに当たり、内容を十分に確認できるようにす
14.認証・認可に関する安
全管理措置
ること。
c 「記録の確定」は、確定を実施できる権限を持った確定者に実施さ
せること。
d 確定された記録に対する故意の虚偽入力、書換え、消去及び混同を
防止するための対策を実施するとともに、原状回復のための手順を検
討しておくこと。
e 一定時間経過後に記録が自動確定するような運用の場合は、入力者
及び確定者を特定する明確なルールを運用管理規程に定めること。
f
確定者が何らかの理由で確定操作ができない場合における記録の確
定の責任の所在を明確にすること。例えば、医療情報システム安全管
理責任者が記録の確定を実施する等のルールを運用管理規程に定める
こと。
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
① 紙媒体で作成した医療情報を含む文書等をスキャナ等で読み取り、電子化する場合には、これに
16.紙媒体等で作成した医
必要な情報機器等の条件や手順等を運用管理規程等に定めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
② スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する
16.紙媒体等で作成した医
情報作成管理者を配置すること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
③ 紙媒体で作成した医療情報を含む文書等をスキャナにより電子化する場合、スキャナによる読み
16.
紙媒体等で作成した医療
情報の電子化
取りに係る責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電子署名法に適合し
た電子署名を遅滞なく行う旨を、運用管理規程等に定めること。なお、電子署名については「14.
法令で定められた記名・押印のための電子署名」を参照すること。
①
医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
④ 情報作成管理者に対して、スキャナによる読み取り作業が運用管理規程に基づき適正な手続で確
16.紙媒体等で作成した医
実に実施されるために必要な措置を講じるよう指示し、その結果の報告を求めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
16.
紙媒体等で作成した医療
情報の電子化
⑤ 診療等の都度スキャナ等で電子化して保存する場合、情報が作成されてから又は情報を入手して
から一定期間以内にスキャンを行うことを運用管理規程等に定めること。
⑥
過去に蓄積された紙媒体等をスキャナ等で電子化して保存する場合、以下の措置を講じること。
・ 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知し、異議
の申立てがあった場合、その患者等の情報は電子化を行わないこと。
・ 必ず実施前に実施計画書を作成すること。実施計画書には次に掲げる事項を含めること。
- 運用管理規程の作成と妥当性の評価方法(評価は、大規模医療機関等にあっては、外部の有識者
を含む公正性を確保した委員会等で行うこと(倫理委員会を用いることも可))
16.
紙媒体等で作成した医療
情報の電子化
-
作業責任者
-
患者等への周知の手段と異議の申立てに対する対応方法
-
相互監視を含む実施体制
-
実施記録の作成と記録項目(次項の監査に耐え得る記録を作成すること)
-
事後の監査人と監査項目
-
スキャン等で電子化を行ってから紙やフィルムの破棄までの期間及び破棄方法
・ 事後の監査は、システム監査技術者やCertified Information Systems Auditor(ISACA 認定)等の
適切な能力を持つ外部監査人によって実施すること。
②
⑦ 企画管理者は、紙の調剤済み処方箋をスキャナ等で電子化して保存する場合、以下の措置を講じ
もそのまま保管を行う場合、以下の措置を講じること。
ること。
16.
紙媒体等で作成した医療
情報の電子化
・
紙の調剤済み処方箋の電子化のタイミングに応じて、⑤又は⑥の措置を講じること。
・ 「電子化した紙の調剤済み処方箋」を修正する場合、「『元の』電子化した紙の調剤済み処方
箋」を電子的に修正し、「『修正後の』電子化した紙の調剤済み処方箋」に対して薬剤師の電子署名
運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体
16.紙媒体等で作成した医
療情報の電子化
・ 医療に関する業務等に支障が生じることのないよう、スキャンによ
る情報量の低下を防ぐため、光学解像度、センサ等の一定の規格・基
準を満たすスキャナを用いること。
が必須となる。電子的に修正する際には、「『元の』電子化した紙の調剤済み処方箋」の電子署名の
・ 緊急に閲覧が必要になったときに迅速に対応できるよう、保管して
検証が正しく行われる形で修正すること。
いる紙媒体等の検索性も必要に応じて維持すること。
⑧ 企画管理者は、運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存
16.
紙媒体等で作成した医療
情報の電子化
を行う場合、以下の措置を講じること。
・ 情報作成管理者が、スキャナによる読み取り作業が適正な手続で確実に実施される措置を講じる
旨を運用管理規程等に定めること。
・
②
対応ができてない対策項目がある場合、その理由を確認し、対応の
要否を判断の上、必要に応じて対応を指示すること。
①
4.2
必要な措置
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、システム
-
6.2.1の趣旨から新設
15.技術的な対策の管理
医療情報システムの安全管理対策項目の特徴を認識し、企画管理者
ー
1.管理体系
とるよう指示すること。
委託する事業者を選定する場合には、本ガイドライン及び法令等が
求める要件を満たすシステム関連事業者を選定するよう指示すること。
5.1
事業者選定
②
8.3C2
委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又
はこれと同等の規格の認証を受けているシステム関連事業者を選定する 8.3C2(9)f
よう指示すること。
①
よう企画管理者に指示すること。
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
2省ガイドラインとの整合
性確保
7.安全管理のための人的管
システム関連事業者との責任分界、システム関連事業者における情報の
取扱い等、医療機関等が負う医療情報システムの管理に関して、協働す -
⑥
ー
委託契約において、委託業務の内容やシステム関連事業者の体制、
る上で認識の齟齬等が生じないように、適切な契約の締結や管理を行う
運用の実施状況については、定期的に担当者から報告を受け、その状況を把握の上、経営層に報告し
承認を得ること。
やシステム運用担当者に、必要に応じて、対策項目に掲げられる措置を 6.2.3C7
①
電子化した後、元の紙媒体やフィルムの安全管理を行うこと。
4.2の趣旨から新設
理(従業者管理、委託先管
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示
理、教育・訓練、委託先選
に関する内容を含めること。
定・契約)
7.安全管理のための人的管
理(従業者管理、委託先管
④
理、教育・訓練、委託先選
と。
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めるこ
定・契約)
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
等して遵守状況を確認すること。
⑧
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
定・契約)
となどが挙げられる。)
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
ること。
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
5.2.1
契約管理
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
5.2
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
⑭
事業者管理
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
5 . 医 療 情 報 シ ス テ ム ・ サ ービ
ス事業者との協働
電子カルテシステムにおける記録の確定手順の確立と、識別情報
の記録について、以下の機能があることを確認すること。
-
電子カルテシステム等でPC 等の汎用入力端末により記録が作成さ
れる場合
a
診療録等の作成・保存を行おうとする場合、確定された情報を登録
できる仕組みをシステムに備えること。その際、登録する情報に、入
力者及び確定者の氏名等の識別情報、信頼できる時刻源を用いた作成
日時を含めること。
b 「記録の確定」を行うに当たり、内容を十分に確認できるようにす
14.認証・認可に関する安
全管理措置
ること。
c 「記録の確定」は、確定を実施できる権限を持った確定者に実施さ
せること。
d 確定された記録に対する故意の虚偽入力、書換え、消去及び混同を
防止するための対策を実施するとともに、原状回復のための手順を検
討しておくこと。
e 一定時間経過後に記録が自動確定するような運用の場合は、入力者
及び確定者を特定する明確なルールを運用管理規程に定めること。
f
確定者が何らかの理由で確定操作ができない場合における記録の確
定の責任の所在を明確にすること。例えば、医療情報システム安全管
理責任者が記録の確定を実施する等のルールを運用管理規程に定める
こと。
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
① 紙媒体で作成した医療情報を含む文書等をスキャナ等で読み取り、電子化する場合には、これに
16.紙媒体等で作成した医
必要な情報機器等の条件や手順等を運用管理規程等に定めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
① 医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
② スキャナにより読み取った電子情報と元の文書等から得られる情報と同等であることを担保する
16.紙媒体等で作成した医
情報作成管理者を配置すること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
③ 紙媒体で作成した医療情報を含む文書等をスキャナにより電子化する場合、スキャナによる読み
16.
紙媒体等で作成した医療
情報の電子化
取りに係る責任を明確にするため、作業責任者(実施者又は情報作成管理者)が電子署名法に適合し
た電子署名を遅滞なく行う旨を、運用管理規程等に定めること。なお、電子署名については「14.
法令で定められた記名・押印のための電子署名」を参照すること。
①
医療に関する業務等に支障が生じることのないよう、スキャンに
よる情報量の低下を防ぎ、保存義務を満たす情報として必要な情報量
16.
紙媒体等で作成した医療
情報の電子化
④ 情報作成管理者に対して、スキャナによる読み取り作業が運用管理規程に基づき適正な手続で確
16.紙媒体等で作成した医
実に実施されるために必要な措置を講じるよう指示し、その結果の報告を求めること。
療情報の電子化
を確保するため、光学解像度、センサ等の一定の規格・基準を満たす
スキャナを用いること。また、スキャンによる電子化で情報が欠落す
ることがないよう、スキャン等を行う前に対象書類に他の書類が重
なって貼り付けられていたり、スキャナ等が電子化可能な範囲外に情
報が存在しないか確認すること。
16.
紙媒体等で作成した医療
情報の電子化
⑤ 診療等の都度スキャナ等で電子化して保存する場合、情報が作成されてから又は情報を入手して
から一定期間以内にスキャンを行うことを運用管理規程等に定めること。
⑥
過去に蓄積された紙媒体等をスキャナ等で電子化して保存する場合、以下の措置を講じること。
・ 対象となる患者等に、スキャナ等で電子化して保存することを事前に院内掲示等で周知し、異議
の申立てがあった場合、その患者等の情報は電子化を行わないこと。
・ 必ず実施前に実施計画書を作成すること。実施計画書には次に掲げる事項を含めること。
- 運用管理規程の作成と妥当性の評価方法(評価は、大規模医療機関等にあっては、外部の有識者
を含む公正性を確保した委員会等で行うこと(倫理委員会を用いることも可))
16.
紙媒体等で作成した医療
情報の電子化
-
作業責任者
-
患者等への周知の手段と異議の申立てに対する対応方法
-
相互監視を含む実施体制
-
実施記録の作成と記録項目(次項の監査に耐え得る記録を作成すること)
-
事後の監査人と監査項目
-
スキャン等で電子化を行ってから紙やフィルムの破棄までの期間及び破棄方法
・ 事後の監査は、システム監査技術者やCertified Information Systems Auditor(ISACA 認定)等の
適切な能力を持つ外部監査人によって実施すること。
②
⑦ 企画管理者は、紙の調剤済み処方箋をスキャナ等で電子化して保存する場合、以下の措置を講じ
もそのまま保管を行う場合、以下の措置を講じること。
ること。
16.
紙媒体等で作成した医療
情報の電子化
・
紙の調剤済み処方箋の電子化のタイミングに応じて、⑤又は⑥の措置を講じること。
・ 「電子化した紙の調剤済み処方箋」を修正する場合、「『元の』電子化した紙の調剤済み処方
箋」を電子的に修正し、「『修正後の』電子化した紙の調剤済み処方箋」に対して薬剤師の電子署名
運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体
16.紙媒体等で作成した医
療情報の電子化
・ 医療に関する業務等に支障が生じることのないよう、スキャンによ
る情報量の低下を防ぐため、光学解像度、センサ等の一定の規格・基
準を満たすスキャナを用いること。
が必須となる。電子的に修正する際には、「『元の』電子化した紙の調剤済み処方箋」の電子署名の
・ 緊急に閲覧が必要になったときに迅速に対応できるよう、保管して
検証が正しく行われる形で修正すること。
いる紙媒体等の検索性も必要に応じて維持すること。
⑧ 企画管理者は、運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存
16.
紙媒体等で作成した医療
情報の電子化
を行う場合、以下の措置を講じること。
・ 情報作成管理者が、スキャナによる読み取り作業が適正な手続で確実に実施される措置を講じる
旨を運用管理規程等に定めること。
・
②
対応ができてない対策項目がある場合、その理由を確認し、対応の
要否を判断の上、必要に応じて対応を指示すること。
①
4.2
必要な措置
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、システム
-
6.2.1の趣旨から新設
15.技術的な対策の管理
医療情報システムの安全管理対策項目の特徴を認識し、企画管理者
ー
1.管理体系
とるよう指示すること。
委託する事業者を選定する場合には、本ガイドライン及び法令等が
求める要件を満たすシステム関連事業者を選定するよう指示すること。
5.1
事業者選定
②
8.3C2
委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又
はこれと同等の規格の認証を受けているシステム関連事業者を選定する 8.3C2(9)f
よう指示すること。
①
よう企画管理者に指示すること。
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
2省ガイドラインとの整合
性確保
7.安全管理のための人的管
システム関連事業者との責任分界、システム関連事業者における情報の
取扱い等、医療機関等が負う医療情報システムの管理に関して、協働す -
⑥
ー
委託契約において、委託業務の内容やシステム関連事業者の体制、
る上で認識の齟齬等が生じないように、適切な契約の締結や管理を行う
運用の実施状況については、定期的に担当者から報告を受け、その状況を把握の上、経営層に報告し
承認を得ること。
やシステム運用担当者に、必要に応じて、対策項目に掲げられる措置を 6.2.3C7
①
電子化した後、元の紙媒体やフィルムの安全管理を行うこと。
4.2の趣旨から新設
理(従業者管理、委託先管
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示
理、教育・訓練、委託先選
に関する内容を含めること。
定・契約)
7.安全管理のための人的管
理(従業者管理、委託先管
④
理、教育・訓練、委託先選
と。
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めるこ
定・契約)
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
等して遵守状況を確認すること。
⑧
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
定・契約)
となどが挙げられる。)
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
ること。
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
5.2.1
契約管理
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
5.2
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
⑭
事業者管理
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
5 . 医 療 情 報 シ ス テ ム ・ サ ービ
ス事業者との協働