よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)ガイドライン改定の経緯に関する年表 (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
個人情報保護法及びその関連法令等
e-文書法及びその関連法令等
総務省・経済産業省ガイドライン(3省4ガイドライン→3省3ガイドライン→3省2ガイドライン)
外部保存通知
年度
法改正・政府の動き等
安全管理ガイドライン策定のための会議体での検討
医療情報システムの安全管理に関するガイドライン(安全管理ガイドライン)の改定
2017(平成29)年
2017(平成29)年5月
第5版公開
改正個人情報保護法等への対応
●1章:本ガイドラインの対象に、病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業
2017(平成29)年
者、医療情報連携ネットワーク運営事業者等における電子的な医療情報の取扱いに係る責任者が含まれることを明確化
改正個人情報保護法施行
●3章:1章を踏まえて、介護事業者が取り扱う文書で7章及び9章の対象となる文書を列挙
●4章「4.2.2 第三者提供における責任分界」:改正個人情報保護法で新たに規定された義務について関係資料を参照
4.2版公表以降に追加された標準規格等への対応
●5章:厚生労働省標準規格・JAHIS標準規約を追加。日本 IHE 協会の「地域医療連携における情報連
携基盤技術仕様」について記述を新設
2017(平成29)年
●6章:「6.1 方針の制定と公表」及び「6.2 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実
「個人情報の保護に関する法律についてのガイドライン(通則編)」(通則ガイドラ
践」において所要の改定
イン)施行
新たなセキュリティリスクへの対応
2017(平成29)年度
医療情報ネットワーク基盤検討会検討事項
第5版
(1)「医療情報システムの安全管理に関するガイドライン」の改定について
●6章
・6.2 章:「『製造業者による医療情報セキュリティ開示書』ガイド」に関する記述の追加
・「6.5 技術的安全対策」:できるだけ早期に二要素認証を実装することを求め、かつパスワード要件について追記、
「(6)医療等分野における IoT 機器の利用」を新設
・「6.6 人的安全対策」及び「6.10 災害、サイバー攻撃等の非常時の対応(改題)」:サイバー攻撃等への事前及び事後
2017(平成29)年4月
の対応や連絡先等について規定を新設
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」
・「6.9 情報及び情報機器の持ち出しについて」:公衆無線LAN、BYODについて追記
・「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」:オープンなネットワークを介した SSL/TLS 接続
における遵守事項や留意点を追記
その他
●「6.12 法令で定められた記名・押印を電子署名で行うことについて」:国家資格の証明が求められる文書に対する考え
方や取扱いについて追記
2017(平成29)年5月
●「7.1 真正性の確保について」:電子カルテ等の入力における関係者の役割や責任をより明確にするとともに、代行入
平成27年改正個人情報保護法施行
力を行う場合の記録確定に当たって遵守すべき事項を追記
●「7.3 保存性の確保について」において、医療機関等が文書を保存する際の将来の互換性の確保について、規定を設け
た。
●10章他、上記に合わせた修正
2018(平成30年)年
2018(平成30年)年7月
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2
版)」改定
(初版策定は2014年(平成26)年4月)
2018(平成30年)年7月
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイド
ライン」
(「クラウド事業者ガイドライン」)(総務省の2ガイドラインを統合)
ASP・SaaS セキュリティガイドラインにおける医療情報に関する内容と ASP・SaaS 事
業者ガイドラインの内容を 1 つのガイドラインに統合するとともに、ガイドラインの
対象を ASP・SaaS 事業者だけではなく PaaS や IaaS 等のクラウドサービス事業者も
対象とする
2019(平成31年/令和
健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ
元年)
検討事項
2020(令和2)年
・保健医療情報を全国の医療機関等で確認できる仕組み及び標準的な医療
2020(令和2)年8月
情報システムについて
総務省・経済産業省「医療等情報を取り扱う情報システム・サービスの提供事業者に
・電子処方箋について
おける安全管理ガイドライン」(2省ガイドライン)策定
第5.1版
・医療情報システムの安全管理に関するガイドライン改定素案について
2021(令和3)年
令和3年1月
第5.1版公開
サイバー攻撃の多様化・巧妙化への対応
●6章:以下の追記
・「6.2.3 リスク分析」(管理されていない機器やソフトウェア、サービス等の利用等のリスク)
・「6.5 技術的安全対策」及び「6. 11 外部と個人情報を含む医療情報を交換する場合の安全管理」(ネットワークの監視等
の措置やネットワークの構築のあり方、外部からのデータ取り込みにおける対応措置等の必要性)
・「6.5 技術的安全対策」(二要素認証導入を促す方針をさらに進めるため、B、 C 項の改定、暗号鍵の管理に関する内容も新規に規
定)
・「6.10 災害、サイバー攻撃等の非常時の対応」(非常時の体制構築)
新技術への対応(スマホの普及、クラウドサービス、ネットワークサービス)
●4章:クラウドサービスの概要を示すとともに、「4.3 例示による責任分界点の考え方の整理」に追記
●「8.1.2 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準」:行政機関等又は民間事業者が設置するデータセン
ターに関する選定の在り方、受託事業者の選定(Cookie 等の取扱いに関する事項、受託事業者に対する国内法の適用、求められる認
証や提供すべきセキュリティ情報)について追記
関連ガイドライン等との整合
●関連法規の改正に伴う部分の修正
健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ
検討事項
2021(令和3)年4月
総務省告示「時刻認証業務の認定に関する規程(令和3年総務省告示第146号)」
→タイムスタンプ認定制度開始
・データヘルス集中改革プラン等の主な論点と検討の方向性について
・データヘルス改革に関する工程表について
・医療情報ネットワークの基盤に関するワーキンググループの設置について
・医療情報システムの安全管理に関するガイドラインについて
・電子処方箋の仕組みの構築について
・民間PHR事業者による健診等情報の取扱いに関する基本的指針について
2022(令和4)年
2022(令和4)年3月
第5.2版公開
本編と別冊編に分離
●本ガイドラインについての理解をより促す観点から、安全対策として実施すべき内容に直接関係する部分と、安全対策を行う上での
2022(令和4)年3月
背景となる考え方や例示などの部分を分けて記述
「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」一部
第5.2版
改正
ランサムウェアに代表される攻撃への対策
●6.2章医療情報システムに関する全体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業
者等含む)を整備する旨追記
●6.10 章:サイバー攻撃対応としてのバックアップのあり方等の対策を示す
関連する制度等の状況の反映
●6.12章:電子署名が求められる文書の長期保存に必要なタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修
正、JIS から ISO に参照規格を変更、リモート署名や立会人型電子署名など新たな利用形態が普及しつつあることを踏まえて、電子署
2022(令和4)年4月
改正個人情報保護法施行
名に関する 6.12 章の記載を整理
●8.3章:2省ガイドラインとの整合(外部保存を行う際の事業者の選定)
その他
●6.9章:BYOD利用時の安全な環境について追記
●全体的な表現の修正
e-文書法及びその関連法令等
総務省・経済産業省ガイドライン(3省4ガイドライン→3省3ガイドライン→3省2ガイドライン)
外部保存通知
年度
法改正・政府の動き等
安全管理ガイドライン策定のための会議体での検討
医療情報システムの安全管理に関するガイドライン(安全管理ガイドライン)の改定
2017(平成29)年
2017(平成29)年5月
第5版公開
改正個人情報保護法等への対応
●1章:本ガイドラインの対象に、病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業
2017(平成29)年
者、医療情報連携ネットワーク運営事業者等における電子的な医療情報の取扱いに係る責任者が含まれることを明確化
改正個人情報保護法施行
●3章:1章を踏まえて、介護事業者が取り扱う文書で7章及び9章の対象となる文書を列挙
●4章「4.2.2 第三者提供における責任分界」:改正個人情報保護法で新たに規定された義務について関係資料を参照
4.2版公表以降に追加された標準規格等への対応
●5章:厚生労働省標準規格・JAHIS標準規約を追加。日本 IHE 協会の「地域医療連携における情報連
携基盤技術仕様」について記述を新設
2017(平成29)年
●6章:「6.1 方針の制定と公表」及び「6.2 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実
「個人情報の保護に関する法律についてのガイドライン(通則編)」(通則ガイドラ
践」において所要の改定
イン)施行
新たなセキュリティリスクへの対応
2017(平成29)年度
医療情報ネットワーク基盤検討会検討事項
第5版
(1)「医療情報システムの安全管理に関するガイドライン」の改定について
●6章
・6.2 章:「『製造業者による医療情報セキュリティ開示書』ガイド」に関する記述の追加
・「6.5 技術的安全対策」:できるだけ早期に二要素認証を実装することを求め、かつパスワード要件について追記、
「(6)医療等分野における IoT 機器の利用」を新設
・「6.6 人的安全対策」及び「6.10 災害、サイバー攻撃等の非常時の対応(改題)」:サイバー攻撃等への事前及び事後
2017(平成29)年4月
の対応や連絡先等について規定を新設
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」
・「6.9 情報及び情報機器の持ち出しについて」:公衆無線LAN、BYODについて追記
・「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」:オープンなネットワークを介した SSL/TLS 接続
における遵守事項や留意点を追記
その他
●「6.12 法令で定められた記名・押印を電子署名で行うことについて」:国家資格の証明が求められる文書に対する考え
方や取扱いについて追記
2017(平成29)年5月
●「7.1 真正性の確保について」:電子カルテ等の入力における関係者の役割や責任をより明確にするとともに、代行入
平成27年改正個人情報保護法施行
力を行う場合の記録確定に当たって遵守すべき事項を追記
●「7.3 保存性の確保について」において、医療機関等が文書を保存する際の将来の互換性の確保について、規定を設け
た。
●10章他、上記に合わせた修正
2018(平成30年)年
2018(平成30年)年7月
総務省「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2
版)」改定
(初版策定は2014年(平成26)年4月)
2018(平成30年)年7月
総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイド
ライン」
(「クラウド事業者ガイドライン」)(総務省の2ガイドラインを統合)
ASP・SaaS セキュリティガイドラインにおける医療情報に関する内容と ASP・SaaS 事
業者ガイドラインの内容を 1 つのガイドラインに統合するとともに、ガイドラインの
対象を ASP・SaaS 事業者だけではなく PaaS や IaaS 等のクラウドサービス事業者も
対象とする
2019(平成31年/令和
健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ
元年)
検討事項
2020(令和2)年
・保健医療情報を全国の医療機関等で確認できる仕組み及び標準的な医療
2020(令和2)年8月
情報システムについて
総務省・経済産業省「医療等情報を取り扱う情報システム・サービスの提供事業者に
・電子処方箋について
おける安全管理ガイドライン」(2省ガイドライン)策定
第5.1版
・医療情報システムの安全管理に関するガイドライン改定素案について
2021(令和3)年
令和3年1月
第5.1版公開
サイバー攻撃の多様化・巧妙化への対応
●6章:以下の追記
・「6.2.3 リスク分析」(管理されていない機器やソフトウェア、サービス等の利用等のリスク)
・「6.5 技術的安全対策」及び「6. 11 外部と個人情報を含む医療情報を交換する場合の安全管理」(ネットワークの監視等
の措置やネットワークの構築のあり方、外部からのデータ取り込みにおける対応措置等の必要性)
・「6.5 技術的安全対策」(二要素認証導入を促す方針をさらに進めるため、B、 C 項の改定、暗号鍵の管理に関する内容も新規に規
定)
・「6.10 災害、サイバー攻撃等の非常時の対応」(非常時の体制構築)
新技術への対応(スマホの普及、クラウドサービス、ネットワークサービス)
●4章:クラウドサービスの概要を示すとともに、「4.3 例示による責任分界点の考え方の整理」に追記
●「8.1.2 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準」:行政機関等又は民間事業者が設置するデータセン
ターに関する選定の在り方、受託事業者の選定(Cookie 等の取扱いに関する事項、受託事業者に対する国内法の適用、求められる認
証や提供すべきセキュリティ情報)について追記
関連ガイドライン等との整合
●関連法規の改正に伴う部分の修正
健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ
検討事項
2021(令和3)年4月
総務省告示「時刻認証業務の認定に関する規程(令和3年総務省告示第146号)」
→タイムスタンプ認定制度開始
・データヘルス集中改革プラン等の主な論点と検討の方向性について
・データヘルス改革に関する工程表について
・医療情報ネットワークの基盤に関するワーキンググループの設置について
・医療情報システムの安全管理に関するガイドラインについて
・電子処方箋の仕組みの構築について
・民間PHR事業者による健診等情報の取扱いに関する基本的指針について
2022(令和4)年
2022(令和4)年3月
第5.2版公開
本編と別冊編に分離
●本ガイドラインについての理解をより促す観点から、安全対策として実施すべき内容に直接関係する部分と、安全対策を行う上での
2022(令和4)年3月
背景となる考え方や例示などの部分を分けて記述
「医療・ 介護関係事業者における個人情報の適切な取扱いのためのガイダンス」一部
第5.2版
改正
ランサムウェアに代表される攻撃への対策
●6.2章医療情報システムに関する全体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業
者等含む)を整備する旨追記
●6.10 章:サイバー攻撃対応としてのバックアップのあり方等の対策を示す
関連する制度等の状況の反映
●6.12章:電子署名が求められる文書の長期保存に必要なタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修
正、JIS から ISO に参照規格を変更、リモート署名や立会人型電子署名など新たな利用形態が普及しつつあることを踏まえて、電子署
2022(令和4)年4月
改正個人情報保護法施行
名に関する 6.12 章の記載を整理
●8.3章:2省ガイドラインとの整合(外部保存を行う際の事業者の選定)
その他
●6.9章:BYOD利用時の安全な環境について追記
●全体的な表現の修正