よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン第6.0版(令和5年5月)Q&A (15 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
本ガイドライン第 6.0 版ではこのような関係を踏まえて、電子保存 3 要件のうち、
情報セキュリティ 3 要素と重なる部分については、e-文書法令の対象だけではなく、医
療情報を取り扱う情報システム全般に適用し、情報セキュリティの 3 要素から、遵守事
項等を整理しました。
その上で、情報セキュリティ 3 要素だけでは満たせない内容については、別途遵守事
項として定め、システム運用編の別添に示しています。
概Q-8 SNS 等の Web サービスを利用して医療情報をやり取りする場合、考慮する
べきことはあるか。
A
SNS(Social Networking Service)等の Web サービスを利用して患者の医療情報
を取り扱う場合、当該サービスは医療情報システムに該当し、ガイドラインの基準を満
たす必要があります。
特に、SNS の場合、セキュリティが十分に確保されていないサービスもあることから、
一般社団法人保健医療福祉情報安全管理適合性評価協会(HISPRO)が公表している「医
療情報連携において、SNS を利用する際に気を付けるべき事項」4を参考に、適切な対策
を講じてください。
概Q-9 第5.2版では、付表で小規模病院、診療所などの対応について示されてい
たが、小規模の基準は病床数や職員数で決められているのか。また第6.0版では、小
規模病院等の対応について、同様の対応などが示されているのか。
A
「小規模」に、明確な数値基準はありません。
医療情報システムの安全対策におけるリスクを考える上で、医療機関等の規模は一つ
の視点となりますが、必ずしも規模だけでリスクやその対策が決まるわけではありませ
ん。例えば小規模医療機関等であっても、医療情報を取り扱うシステムを、医療機関等自
らがアプリケーションを使って開発し、運用している場合には、システム開発や運用に
関するリスクは必ずしも低くはなく、したがって適切な対策が求められます。
医療機関等においては、専任の情報システム運用担当がいない場合や、医療情報シス
テムを外部のクラウドサービスにするなどで、医療機関等の直接的な負担を軽減し、安
全な医療情報の取り扱いを図るため、外部の医療情報システム・サービス事業者に運用
等を委ねる場合があり、小規模医療機関等において、特にみられる傾向と言えます。
第6.0版では、このように医療機関等の規模の大小ではなく、医療機関等における体
制や、医療情報システムの構成に着目し、医療機関等に専任のシステム運用担当者が存
在しない場合や、利用する医療情報システムがクラウドサービスだけの場合には、本ガ
イドラインの一部については、参照を簡略化できることとしています。
4
https://hispro.or.jp/open/pdf/SNS_RiyouCheckJikou_20160126.pdf
f
14
情報セキュリティ 3 要素と重なる部分については、e-文書法令の対象だけではなく、医
療情報を取り扱う情報システム全般に適用し、情報セキュリティの 3 要素から、遵守事
項等を整理しました。
その上で、情報セキュリティ 3 要素だけでは満たせない内容については、別途遵守事
項として定め、システム運用編の別添に示しています。
概Q-8 SNS 等の Web サービスを利用して医療情報をやり取りする場合、考慮する
べきことはあるか。
A
SNS(Social Networking Service)等の Web サービスを利用して患者の医療情報
を取り扱う場合、当該サービスは医療情報システムに該当し、ガイドラインの基準を満
たす必要があります。
特に、SNS の場合、セキュリティが十分に確保されていないサービスもあることから、
一般社団法人保健医療福祉情報安全管理適合性評価協会(HISPRO)が公表している「医
療情報連携において、SNS を利用する際に気を付けるべき事項」4を参考に、適切な対策
を講じてください。
概Q-9 第5.2版では、付表で小規模病院、診療所などの対応について示されてい
たが、小規模の基準は病床数や職員数で決められているのか。また第6.0版では、小
規模病院等の対応について、同様の対応などが示されているのか。
A
「小規模」に、明確な数値基準はありません。
医療情報システムの安全対策におけるリスクを考える上で、医療機関等の規模は一つ
の視点となりますが、必ずしも規模だけでリスクやその対策が決まるわけではありませ
ん。例えば小規模医療機関等であっても、医療情報を取り扱うシステムを、医療機関等自
らがアプリケーションを使って開発し、運用している場合には、システム開発や運用に
関するリスクは必ずしも低くはなく、したがって適切な対策が求められます。
医療機関等においては、専任の情報システム運用担当がいない場合や、医療情報シス
テムを外部のクラウドサービスにするなどで、医療機関等の直接的な負担を軽減し、安
全な医療情報の取り扱いを図るため、外部の医療情報システム・サービス事業者に運用
等を委ねる場合があり、小規模医療機関等において、特にみられる傾向と言えます。
第6.0版では、このように医療機関等の規模の大小ではなく、医療機関等における体
制や、医療情報システムの構成に着目し、医療機関等に専任のシステム運用担当者が存
在しない場合や、利用する医療情報システムがクラウドサービスだけの場合には、本ガ
イドラインの一部については、参照を簡略化できることとしています。
4
https://hispro.or.jp/open/pdf/SNS_RiyouCheckJikou_20160126.pdf
f
14