よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)各編間相関表 (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2.リスク評価を踏まえた管理
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③
経営層の方針及びリスク分析を踏まえ、具体的にシステム面からの
最適なリスク管理措置を検討し、実装、運用するよう、企画管理者に指 6.2C4
示すること。
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
②
医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整合
性を確認して対応方針を策定すること。
⑥
経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
①
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
②
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
①
①
リスク評価を踏まえ、医療情報の重要性及び医療の継続性並びに経
営資源の投入及びリスク管理対策の実施の継続可能性等を鑑みて、リス 6.2C4
ク管理方針を決定すること。
2.2.1
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
リスク評価を踏まえ
②
たリスク管理
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
②
2.2リスク評価を踏まえた判断
リスク評価結果及びリスク管理方針に関する説明責任を果たすこ
と。
2.2.2
情報セキュリティマ
ネ ジ メ ン ト シ ス テ ム ( ISMS :
Information Security Management
System)の実践
①
リスク分析を踏まえ
た要求仕様適合性の管理
リスク管理方針を踏まえ、医療情報及び医療情報システムといった
医療機関等における情報資産のセキュリティに関する管理を、通常業務 -
の一環として整え、ISMS を策定し、実施すること。
①
2.2.3
6.2C4
リスク分析を踏まえた対
応について新設
5.2版6.2.1の趣旨を踏まえ
て新設
6.リスクマネジメント
-
6.リスクマネジメント
6.リスクマネジメント
6.リスクマネジメント
統制の体系を理解し、医療機関等における情報セキュリティ対策に
関する統制の実効性を確保するために必要な規程類、管理体制等を整備
するとともに、適切に統制が機能されているかを確認すること。
6.3C5
統制についての記述は新
第10章
設
責任を果たすために必要な対応を行うこと。
PDCA モデルに基づくISMS(Information Security Management System:情報セキュリティマ
ネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されていることを確認
し、経営層にその状況を報告すること。
し、管理すること。
①
リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が説明
⑨
医療機関等のリスク管理方針に基づき、システム関連事業者による
適切なリスク管理を実施し、医療機関等の要求仕様への適合性を確認 6.2.3C4
⑦
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
⑩
PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策を
講じ、経営層に報告し、承認を得ること。
④
1.管理体系
医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理するこ
と。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反映する
こと。
1.管理体系
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
⑥
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
3.医療機関等における安全
管理のための体制と責任・権
⑩
①~⑨までの対応においては、整備した内容を可視化できるようにすること。
限
3.1.1
情報セキュリティ対
4.医療情報の安全管理にお
策のための統制
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
①
3.1.統制
医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討 6.3C1
すること。
②
医療機関等において安全管理を直接実行する医療情報システム安全
管理責任者及び企画管理者を設置すること。
付表
3.医療機関等における安全
6.3C1
管理のための体制と責任・権
限
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
医療情報システムに
おける統制上の留意点
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整備を
担当者に指示し、確認すること。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者に指
示し、整備状況を確認の上、経営層に報告すること。
①
医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確に
し、その内容について経営層の承認を得ること。
② 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営に関
する規程等を策定し、経営層の承認を得ること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を
明確にし、経営層の承認を得ること。
3.医療機関等における安全
④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において発生
管理のための体制と責任・権
した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者(CISO)
限
やCSIRTなどの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を得ること。
3.医療機関等における安全
管理のための体制と責任・権
限
③
程等の整備を行い、経営層の承認を取ること。
-
3.医療機関等における安全
3.1.2
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要な規
⑤
法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要な措
置を講じ、その結果を経営層に報告し、承認を得ること。
情報セキュリティ対策に関する統制は、医療機関等内の組織や人事
等の統制とは区別し、医療機関等全体における統制の一つと位置付け -
統制の趣旨を踏まえ新設
て、組織横断的に実施すること。
④
7.安全管理のための人的管
情報セキュリティ対策に関する統制の対象には、医療機関等に直接
雇用されている職員だけでなく、システム関連事業者の担当者や派遣社 -
員など、医療機関等が直接雇用していない者も含むこと。
①
3.2.1
情報セキュリティ方
を整備すること。
針を踏まえた情報セキュリティ対 ②
策の整備
リスク評価及びリスク管理方針を踏まえて、情報セキュリティ方針
統制と6.6の趣旨を踏まえ 理 ( 従 業 者 管 理 、 委 託 先 管
②
新設
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
10C1(1)a
ー
実施可能な内容で、実効性のある、適切な情報セキュリティ対策を整備 -
設計
①
整備した規程類を適切に利用し、情報セキュリティ方針を遵守した
対策が実施できるよう、通常時から情報セキュリティ対策に関する統制
3.2.2
情報セキュリティ対
対象者すべてに対して定期的な教育・訓練を実施すること。
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
7.安全管理のための人的管
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、
6.3の趣旨を踏まえ新設
するよう、企画管理者に指示し、管理すること。
3.2
理、教育・訓練、委託先選
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理(従業者管理、委託先管
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守
理、教育・訓練、委託先選
秘・非開示に関する条項を含める等の安全管理対策を実施すること。
定・契約)
6.6C1(2)
6.10C2
3.医療機関等における安全
ー
管理のための体制と責任・権
限
⑥
医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育や訓
練を講じるための体制を整備すること。
7.安全管理のための人的管
策を踏まえた訓練・教育
理(従業者管理、委託先管
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理、教育・訓練、委託先選
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
①
①
定期的にログを確認すること。アクセスログは、少なくとも利用者の
医療機関等において医療情報システムに関する安全管理対策が適切
に実施されていることを確認するため、企画管理者やシステム運用担当
者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に
利用者のアクセスについて、アクセスログを記録するとともに、
10C1(2)c
ー
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
備について必要な対応を行うこと。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
応じて改善に向けた対応を指示すること。
録機能があることが前提であるが、ない場合は、業務日誌等により操
17.証跡のレビュー・システ
作者、操作内容等を記録すること。
② アクセスログへのアクセス制限を行い、アクセスログの不当な削
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③ アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
① 利用者のアクセスについて、アクセスログを記録するとともに、
定期的にログを確認すること。アクセスログは、少なくとも利用者の
3.3.1
安全管理状況の自己
点検
5.安全管理におけるエビデ
② 証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものとする
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
ことに留意すること。また証跡の改ざん等を防止する措置を講じること。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
録機能があることが前提であるが、ない場合は、業務日誌等により操
17.証跡のレビュー・システ
作者、操作内容等を記録すること。
② アクセスログへのアクセス制限を行い、アクセスログの不当な削
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③ アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
3.3
安全管理対策の管理
①
医療機関等内で、企画管理者及びシステム運用担当者から独立した
組織による内部監査、または医療機関等とは異なる機関による外部監査 -
を実施し、管理責任を果たすこと。
3.3.2
査
情報セキュリティ監
4.1(1) の 趣 旨 を 踏 ま え て
新設
5.安全管理におけるエビデ
③ 収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必要が
ンスの考え方
あれば証跡の整備に関する改善を行うこと。
5.安全管理におけるエビデ
④ 法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるように
ンスの考え方
管理すること。
8.情報管理(管理、持出
⑩
し、破棄等)
と。
医療情報の持ち出し状況について定期的なレビューを行い、持ち出し状況の適切な管理を行うこ
3.医療機関等における安全
管理のための体制と責任・権
限
⑧
医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
③
経営層の方針及びリスク分析を踏まえ、具体的にシステム面からの
最適なリスク管理措置を検討し、実装、運用するよう、企画管理者に指 6.2C4
示すること。
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
②
医療機関等が定める非常時の定義やBCP(Business Continuity Plan:事業継続計画)との整合
性を確認して対応方針を策定すること。
⑥
経営層がリスク評価を踏まえたリスク判断をする際に必要な資料を整理すること。
①
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
②
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
①
①
リスク評価を踏まえ、医療情報の重要性及び医療の継続性並びに経
営資源の投入及びリスク管理対策の実施の継続可能性等を鑑みて、リス 6.2C4
ク管理方針を決定すること。
2.2.1
リスク分析を踏まえた対
応について新設
6.リスクマネジメント
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
リスク評価を踏まえ
②
たリスク管理
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済
4.リスクアセスメントを踏ま
産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
えた安全対策の設計
における安全管理ガイドライン」 における「サービス仕様適合開示書」を
利用することが考えられる。
②
2.2リスク評価を踏まえた判断
リスク評価結果及びリスク管理方針に関する説明責任を果たすこ
と。
2.2.2
情報セキュリティマ
ネ ジ メ ン ト シ ス テ ム ( ISMS :
Information Security Management
System)の実践
①
リスク分析を踏まえ
た要求仕様適合性の管理
リスク管理方針を踏まえ、医療情報及び医療情報システムといった
医療機関等における情報資産のセキュリティに関する管理を、通常業務 -
の一環として整え、ISMS を策定し、実施すること。
①
2.2.3
6.2C4
リスク分析を踏まえた対
応について新設
5.2版6.2.1の趣旨を踏まえ
て新設
6.リスクマネジメント
-
6.リスクマネジメント
6.リスクマネジメント
6.リスクマネジメント
統制の体系を理解し、医療機関等における情報セキュリティ対策に
関する統制の実効性を確保するために必要な規程類、管理体制等を整備
するとともに、適切に統制が機能されているかを確認すること。
6.3C5
統制についての記述は新
第10章
設
責任を果たすために必要な対応を行うこと。
PDCA モデルに基づくISMS(Information Security Management System:情報セキュリティマ
ネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されていることを確認
し、経営層にその状況を報告すること。
し、管理すること。
①
リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が説明
⑨
医療機関等のリスク管理方針に基づき、システム関連事業者による
適切なリスク管理を実施し、医療機関等の要求仕様への適合性を確認 6.2.3C4
⑦
⑧
リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて各安全管理対策を講
じること。
⑩
PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策を
講じ、経営層に報告し、承認を得ること。
④
1.管理体系
医療情報システムの安全管理に係る法令等が求める内容を把握した上で、対応策を整理するこ
と。必要に応じて、システム運用担当者と具体的な対策について検討を求めて、その結果を反映する
こと。
1.管理体系
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
⑥
⑤で経営層の承認を得た方針を実行するために必要な体制、規程、技術的措置等の整備を行うこ
と。またこれらが適切に運用されているか確認すること。
3.医療機関等における安全
管理のための体制と責任・権
⑩
①~⑨までの対応においては、整備した内容を可視化できるようにすること。
限
3.1.1
情報セキュリティ対
4.医療情報の安全管理にお
策のための統制
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
4.医療情報の安全管理にお
いて必要な規程・文書類の整
備
①
3.1.統制
医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討 6.3C1
すること。
②
医療機関等において安全管理を直接実行する医療情報システム安全
管理責任者及び企画管理者を設置すること。
付表
3.医療機関等における安全
6.3C1
管理のための体制と責任・権
限
管理のための体制と責任・権
限
3.医療機関等における安全
管理のための体制と責任・権
限
医療情報システムに
おける統制上の留意点
② 規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うために必要な規則
類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
③ 医療情報システムの構築、運用における通常時の対応に必要なマニュアル類や各種資料の整備を
担当者に指示し、確認すること。
④ 非常時における医療情報システムの運用等に関するマニュアル類や各種資料の整備を担当者に指
示し、整備状況を確認の上、経営層に報告すること。
①
医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確に
し、その内容について経営層の承認を得ること。
② 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営に関
する規程等を策定し、経営層の承認を得ること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を
明確にし、経営層の承認を得ること。
3.医療機関等における安全
④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において発生
管理のための体制と責任・権
した情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者(CISO)
限
やCSIRTなどの要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を得ること。
3.医療機関等における安全
管理のための体制と責任・権
限
③
程等の整備を行い、経営層の承認を取ること。
-
3.医療機関等における安全
3.1.2
① 医療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するために必要な規
⑤
法律上の対応を含め医療情報の漏洩等が生じた際の必要な体制の構築や手順の策定等の必要な措
置を講じ、その結果を経営層に報告し、承認を得ること。
情報セキュリティ対策に関する統制は、医療機関等内の組織や人事
等の統制とは区別し、医療機関等全体における統制の一つと位置付け -
統制の趣旨を踏まえ新設
て、組織横断的に実施すること。
④
7.安全管理のための人的管
情報セキュリティ対策に関する統制の対象には、医療機関等に直接
雇用されている職員だけでなく、システム関連事業者の担当者や派遣社 -
員など、医療機関等が直接雇用していない者も含むこと。
①
3.2.1
情報セキュリティ方
を整備すること。
針を踏まえた情報セキュリティ対 ②
策の整備
リスク評価及びリスク管理方針を踏まえて、情報セキュリティ方針
統制と6.6の趣旨を踏まえ 理 ( 従 業 者 管 理 、 委 託 先 管
②
新設
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
10C1(1)a
ー
実施可能な内容で、実効性のある、適切な情報セキュリティ対策を整備 -
設計
①
整備した規程類を適切に利用し、情報セキュリティ方針を遵守した
対策が実施できるよう、通常時から情報セキュリティ対策に関する統制
3.2.2
情報セキュリティ対
対象者すべてに対して定期的な教育・訓練を実施すること。
1.管理体系
⑤ 組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医療情報システ
ムの安全管理に関する方針を策定し、経営層の承認を得ること。
7.安全管理のための人的管
情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、
6.3の趣旨を踏まえ新設
するよう、企画管理者に指示し、管理すること。
3.2
理、教育・訓練、委託先選
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理(従業者管理、委託先管
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守
理、教育・訓練、委託先選
秘・非開示に関する条項を含める等の安全管理対策を実施すること。
定・契約)
6.6C1(2)
6.10C2
3.医療機関等における安全
ー
管理のための体制と責任・権
限
⑥
医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育や訓
練を講じるための体制を整備すること。
7.安全管理のための人的管
策を踏まえた訓練・教育
理(従業者管理、委託先管
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、
理、教育・訓練、委託先選
教育・訓練の実施状況について定期的に経営層に報告すること。
定・契約)
①
①
定期的にログを確認すること。アクセスログは、少なくとも利用者の
医療機関等において医療情報システムに関する安全管理対策が適切
に実施されていることを確認するため、企画管理者やシステム運用担当
者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に
利用者のアクセスについて、アクセスログを記録するとともに、
10C1(2)c
ー
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
備について必要な対応を行うこと。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
応じて改善に向けた対応を指示すること。
録機能があることが前提であるが、ない場合は、業務日誌等により操
17.証跡のレビュー・システ
作者、操作内容等を記録すること。
② アクセスログへのアクセス制限を行い、アクセスログの不当な削
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③ アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
① 利用者のアクセスについて、アクセスログを記録するとともに、
定期的にログを確認すること。アクセスログは、少なくとも利用者の
3.3.1
安全管理状況の自己
点検
5.安全管理におけるエビデ
② 証跡の整備に当たっては、証跡により管理する安全管理の対象の目的や特性に応じたものとする
17.証跡のレビュー・システ
ログイン時刻、アクセス時間及びログイン中に操作した医療情報が特
ンスの考え方
ことに留意すること。また証跡の改ざん等を防止する措置を講じること。
ム監査
定できるように記録すること。医療情報システムにアクセスログの記
録機能があることが前提であるが、ない場合は、業務日誌等により操
17.証跡のレビュー・システ
作者、操作内容等を記録すること。
② アクセスログへのアクセス制限を行い、アクセスログの不当な削
ム監査
除/改ざん/追加等を防止する対策を実施すること。
③ アクセスログの記録に用いる時刻情報は、信頼できるものを利用
17.証跡のレビュー・システ
すること。利用する時刻情報は、医療機関等の内部で同期させるとと
ム監査
もに、標準時刻と定期的に一致させる等の手段で診療事実の記録とし
て問題のない範囲の精度を保つ必要がある。
3.3
安全管理対策の管理
①
医療機関等内で、企画管理者及びシステム運用担当者から独立した
組織による内部監査、または医療機関等とは異なる機関による外部監査 -
を実施し、管理責任を果たすこと。
3.3.2
査
情報セキュリティ監
4.1(1) の 趣 旨 を 踏 ま え て
新設
5.安全管理におけるエビデ
③ 収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把握し、必要が
ンスの考え方
あれば証跡の整備に関する改善を行うこと。
5.安全管理におけるエビデ
④ 法令で求められる医療情報の管理に関する証跡を、必要に応じて、説明責任等を果たせるように
ンスの考え方
管理すること。
8.情報管理(管理、持出
⑩
し、破棄等)
と。
医療情報の持ち出し状況について定期的なレビューを行い、持ち出し状況の適切な管理を行うこ
3.医療機関等における安全
管理のための体制と責任・権
限
⑧
医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。