よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)各編間相関表 (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
5.2.1
5.2
契約管理
事業者管理
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わない
こと。
-
5 . 医 療 情 報 シ ス テ ム ・ サ ービ
7.安全管理のための人的管
ス事業者との協働
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
⑧
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧(異なる
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように
ること。
配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
⑭
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
①
体制管理
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
委託するシステム関連事業者に対して、業務実行体制を明確にし、
医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場
5.2.2
⑧
合には、事前に医療機関等に情報を提供し、協議・合意形成を経た上で
承認を得ること等を契約の内容に含めるよう、企画管理者に指示するこ
3.医療機関等における安全
6.6C2(1)d
管理のための体制と責任・権
10C1(5)b
限
⑦
医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する体制
を整備すること。
と。
①
システム関連事業者に委託を行う際の責任分界の管理に関する重要
性を認識し、医療機関と委託先事業者との間での責任分界を明確にし、
認識の齟齬等が生じないよう、書面等により可視化し、適切に管理する
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
-
4.2.1の趣旨から新設
2.責任分界
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
ことを、企画管理者やシステム運用担当者に指示すること。
①
2.責任分界
② 取決めを行う責任分界のうち技術的な部分に関しては、その具体的な内容を検討するようシステ
ム運用担当者に指示を行い、その結果を責任分界の取決めに反映させること。
医療情報システムに関する情報システム・サービスの委託におい
て、技術的な対応の役割分担を検討するため、情報システム・サービ
3.責任分界
ス事業者(以下「事業者」という。)から必要な情報等の収集を行う
とともに、提供された情報の内容が正確であることを事業者に確認す
ること。
② 事業者と技術的な対応に関する責任分界を調整する際に、要求仕
2.責任分界
5.3
③ 責任分界を取り決める際には、あらかじめ必要な情報を収集した上で、医療機関等におけるリス
ク管理を踏まえた仕様の適合性に関する調整を委託先事業者等と行うこと。
3.責任分界
④ 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報システム・
サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
的な対応におけるリスク評価との間で齟齬が生じないことを確認し、
齟齬がある場合には、必要な調整を行うこと。
③ 通常時の運用や、非常時の運用において発生する技術的な対応に
責任分界管理
2.責任分界
様との適合性に関する確認を行い、医療機関等において実施する技術
3.責任分界
関する役割分担を、委託先である事業者との間で調整し、企画管理者
に対してその結果を報告すること。
④ サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に
3.責任分界
関して必要な役割について、事業者と調整し、その結果を企画管理者
に報告すること。
⑤ 委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医療機関等が直
2.責任分界
接責任分界を取り決める相手方を特定すること。また、関与する関係者への管理なども責任分界の取
決めに含めること。さらに、責任分界の取決めに際しては、委託先事業者間での役割分担なども含め
③
3.責任分界
通常時の運用や、非常時の運用において発生する技術的な対応に
関する役割分担を、委託先である事業者との間で調整し、企画管理者
に対してその結果を報告すること。
て、取決め内容に漏れがないよう留意すること。
④
3.責任分界
サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に
関して必要な役割について、事業者と調整し、その結果を企画管理者
に報告すること。
5.2
契約管理
事業者管理
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を委託した医療情報を分析等の目的で取り扱わない
こと。
-
5 . 医 療 情 報 シ ス テ ム ・ サ ービ
7.安全管理のための人的管
ス事業者との協働
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を委託した医療情報の分析等は正当な目的の場合に限り許可されること。
⑧
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切なアクセス権を設定し、情報漏洩や、誤った閲覧(異なる
セキュリティ対策を十分に行うことが難しいウェアラブル端末や
在宅設置のIoT 機器を患者等に貸し出す際は、事前に、情報セキュリ
7.情報の持出し・管理・破
ティ上のリスクと、患者等が留意すべきことについて患者等へ説明
棄等
し、同意を得ること。また、機器に異常や不都合が発生した場合の問
い合わせ先や医療機関等への連絡方法について、患者等に情報提供す
患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように
ること。
配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
⑭
患者等に医療情報を閲覧させる場合、医療情報を公開しているコ
ンピュータシステムを通じて、医療機関等の内部のシステムに不正な
7.情報の持出し・管理・破
侵入等が起こらないように、例えば、システムやアプリケーションを
棄等
切り分け 、ファイアウォール、アクセス監視、通信のTLS 暗号化、
PKI(Public Key Infrastructure:公開鍵暗号基盤)認証等の対策を実施
すること。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
①
体制管理
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
委託するシステム関連事業者に対して、業務実行体制を明確にし、
医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場
5.2.2
⑧
合には、事前に医療機関等に情報を提供し、協議・合意形成を経た上で
承認を得ること等を契約の内容に含めるよう、企画管理者に指示するこ
3.医療機関等における安全
6.6C2(1)d
管理のための体制と責任・権
10C1(5)b
限
⑦
医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する体制
を整備すること。
と。
①
システム関連事業者に委託を行う際の責任分界の管理に関する重要
性を認識し、医療機関と委託先事業者との間での責任分界を明確にし、
認識の齟齬等が生じないよう、書面等により可視化し、適切に管理する
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
-
4.2.1の趣旨から新設
2.責任分界
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
ことを、企画管理者やシステム運用担当者に指示すること。
①
2.責任分界
② 取決めを行う責任分界のうち技術的な部分に関しては、その具体的な内容を検討するようシステ
ム運用担当者に指示を行い、その結果を責任分界の取決めに反映させること。
医療情報システムに関する情報システム・サービスの委託におい
て、技術的な対応の役割分担を検討するため、情報システム・サービ
3.責任分界
ス事業者(以下「事業者」という。)から必要な情報等の収集を行う
とともに、提供された情報の内容が正確であることを事業者に確認す
ること。
② 事業者と技術的な対応に関する責任分界を調整する際に、要求仕
2.責任分界
5.3
③ 責任分界を取り決める際には、あらかじめ必要な情報を収集した上で、医療機関等におけるリス
ク管理を踏まえた仕様の適合性に関する調整を委託先事業者等と行うこと。
3.責任分界
④ 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報システム・
サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
的な対応におけるリスク評価との間で齟齬が生じないことを確認し、
齟齬がある場合には、必要な調整を行うこと。
③ 通常時の運用や、非常時の運用において発生する技術的な対応に
責任分界管理
2.責任分界
様との適合性に関する確認を行い、医療機関等において実施する技術
3.責任分界
関する役割分担を、委託先である事業者との間で調整し、企画管理者
に対してその結果を報告すること。
④ サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に
3.責任分界
関して必要な役割について、事業者と調整し、その結果を企画管理者
に報告すること。
⑤ 委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医療機関等が直
2.責任分界
接責任分界を取り決める相手方を特定すること。また、関与する関係者への管理なども責任分界の取
決めに含めること。さらに、責任分界の取決めに際しては、委託先事業者間での役割分担なども含め
③
3.責任分界
通常時の運用や、非常時の運用において発生する技術的な対応に
関する役割分担を、委託先である事業者との間で調整し、企画管理者
に対してその結果を報告すること。
て、取決め内容に漏れがないよう留意すること。
④
3.責任分界
サイバー攻撃等が生じた場合に、技術的な対応や対外的な説明に
関して必要な役割について、事業者と調整し、その結果を企画管理者
に報告すること。