よむ、つかう、まなぶ。
提出された意見一覧及び意見に対する両省の考え方 (2 ページ)
出典
公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
No.
氏名・名称
9 個人
10 個人
属性
個人
個人
資料
FAQ
02GL
ページ
パート
2
11
1.2
2.2.3
意見
修正内容
方針・コメント
P2 本文
一読して分かり難いので、下記の表現してはどうでしょうか。
(修正前)・・・、既に他のPHR が格納されているPHR サービスに取り込む場合、全体として本ガイドラ
ご意見を踏まえて記載を見直しました。
インの対象となります。
(修正後)・・・、既に他のPHR が格納されているPHR サービスに取り込む場合、データを取り込んだ
PHRサービス全体が本ガイドラインの対象となります。
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1 版(案)
のp.11(17 of 64)に記載のある、脚注12に関する意見です。
原案
修正案
「受け取ったデータを、既に他のPHR が格納されているPHR
サービスに取り込む場合、全体として本ガイドラインの対象と
なります。」
「受け取った医療情報を、既に他のPHRが格納されているPHR
サービスに取り込む場合、医療情報を取り込んだPHRサービ
ス全体が本ガイドラインの対象となります。」
図2-6を見る限り、事業者Bはインフラを提供する事業者(IaaS)であり、PACS(画像システム)を提供するこ
「2.2.3.医療機関等が複数事業者と契約するケース」の本文、図及び脚注は、あくまで
とは無いかと思います。
も当該ケースを例示するためのものです。そのため、インフラを提供する事業者が、実
際にPACSを提供することがあるかについて判断しているものではありません。
IaaSは仮想化技術を利用してハードウェアリソース(CPU/メモリ/ストレージ)などのデジタルインフ
ラをインターネット経由で提供するサービスと理解しています。
ご検討のほど宜しくお願い致します。
2000文字の文字制限のため、分割して提出します。1つめ
11 個人
個人
01全般
0
全般
12 個人
個人
02GL
0
全般
13 個人
個人
02GL
2
1.1.2
14 個人
15 個人
個人
個人
02GL
別紙2
2
0
1.配布されるPDFの文書は、最低でもしおり付きPDFにして、可能でしたらWordの原ファイル(変更履歴付
き)を公開することでレビューの質の向上、効率向上が期待できます。また、英国などでは政府が国民の
ためにPDFを公開することを禁止していると認識しています。ともかく見られて改竄されにくく、アナロ
グ(紙)の延長であるPDFでの安易な提供に関して、本当に国民のための方法になっているかを個々の行政 今後の検討にあたっての参考とさせていただきます。
機関でも考えていって欲しいと思います。国民の1人としての意見として、しおり無しのPDFは最低で
あり、Wordでの検索機能、変更履歴表示機能など非常に効果的、効率的、高品質でのレビューが可能で
す。利活用にあたり、資料作成するのにPDFからのコピーペーストをして体裁を整えてなど非常に非効
率な作業を実施しています。
本当は、NativeなHTML又はXML+Readerなどの構成もいいのではないかと思います。
2.「もしくは」の使い方
図2-2他で「もしくは」と使用している箇所が散見される。しかし、法文、公用文、契約書、JIS等におい
て、1階層の場合は「又は」を使用し、「“又は”を用いて並列した項目、条件などの中を、更に小さく
選択する項目、条件などを併記する場合には、その接続に“若しくは”を用いる。」ルールになってい
る。本書は公用文、法文でないため、厳格には従うことが必須ではないが、できるだけ誤解を招かないた
めに、さらに、特別な合理的な理由がない限りは、そのルールに従うことが望ましいと考えます。漢字を
使うかひらがなを使うかは、それ以外の漢字、ひらがなのバランスで適切に使い分けていいのではないか
と思います。
また、助詞の「や」は、「及び」又は「又は」のどちらを表すか不明確になりやすいためJISでは使用を
禁止している。本書はJISではないが、不明確になりやすい部分をできるだけ減らすため、合理的な理由
がない限り、そのルールに準じたほうがいいかと思います。
ご指摘を踏まえて修正いたしました。
(1)P25図5-1内 2箇所
(2)P27 表5-1内 「?不正に書き換える、もしくは破壊する。」
(3)P38 (ケ) 「?資料の提供もしくは、医療機関等に代わり?」
(4)P38 (コ) 「監査の方針や内容もしくは、監査に代替する対応?」
助詞の「や」は「及び」又は「又は」のどちらを表すか不明確になりやすいため使用をさける。
(変更案) 「監査の方針及び内容又は、監査に代替する対応?」
(5)P45 「契約終了フェーズにおける情報流の特定例」の表内の「廃棄もしくは移管する」
(6)P46 「契約終了フェーズにおける情報流の特定例」の表内の「廃棄もしくは移管する」
(7)P47 「契約終了フェーズにおける情報流の特定例」の表内の「廃棄もしくは移管する」
(7)P54 「用語集」の「IoT」の説明内に2箇所
3.P2 1.1.2医療法との関係
「また、医療情報安全管理ガイドラインは、健康保険法等に基づく健康保険制度の保険診療点数表におい
て引用されており、保険医療機関としても遵守が求められている。」と記載されている。2023年3月10日
付けで医療法施行規則第14条2項が新設され、病院、診療所又は助産所の管理者 が遵守すべき事項とし
て、 医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必 医療機関等の医療情報安全管理ガイドライン遵守の必要性については、「1.1.2 医療
要な措置を講じることを追加され、4月1日から施行されることが告示された。また、病院、診療所及び助 情報安全管理ガイドライン」に記載しておりますので、原案通りとさせていただきま
産所におかれては、規則第1 4条第2項に規定する「必要な措置」として、最新の「医療情報システムの す。
安全管理に関するガイドライン」(以下「安全管理ガイドライン」という。)を参照の上、サイバー攻撃
に対する対策を含めセキュリティ対策全般について 適切な対応を行うこととされた。このような観点で
も医療機関等が医療情報安全管理ガイドラインを遵守する必要があることを明記したらどうかと思いま
す。
1.1.3
595223026000000009の続き
2つ目
4.P2 1.1.3医療情報システム・サービス
「医療情報を取り扱う情報システムやサービス(以下、「医療情報システム等」という。)を提供する事
業者」と記載されていますが、非常に誤解を招く表現になってしまっていると思われます。まず、助詞の
「や」はJISでは、「及び」又は「又は」のどちらを表すのかが不明確になるため使用を禁止していま
す。また、本書のタイトルである医療情報を取り扱う情報システム・サービスの提供事業者の中点「・」
も非常にわかりにくいと思われます。前回のパブコメでの回答では「医療情報を受託する情報処理事業者
「医療情報を取り扱う情報システムやサービス(以下、「医療情報システム等」とい
の安全管理ガイドライン改定検討会で議論されたもの」とのことで変更がなされませんでした。タイトル
う。)を提供する事業者」という表現につきましては、本ガイドライン統合時の検討会
の変更は、関係者が多く簡単に変更できないことは理解できますが、1.1.3の記載に関しては、もう少し
にて議論されたものであるため原案通りとさせていただきますが、頂いたご意見は今後
誤解をうけない表現にすべきではないでしょうか。
の検討にあたっての参考とさせていただきます。
(1) 情報システムを提供し、サービスを提供しない事業者は対象外
(2) 情報システムを提供し、サービスを提供する事業者は対象
(3) 情報システムを提供しないが、サービスを提供する事業者は対象
さらに、下記の変更案によって、現在のタイトルでの誤解を招く表現であることも、タイトルの変更なし
に改善できるのではないかと思います。
(変更案)
「医療情報を取り扱う情報システムを用いたサービスを提供する事業者」(以下、「医療情報を取り扱う
情報システム・サービスの提供事業者」という。)
全般
5.P5 1. 3別紙2旧ガイドラインにおける対策項目一覧と医療情報安全管理ガイドラインの対応表
前版においては、この記載で問題ないとは思いますが、今回の版では「旧ガイドライン」が2世代前のガ
イドラインを指すので、最新のガイドラインを読む読者にとってはわかりにくいと思われます。また、医
療情報安全管理ガイドラインも改訂されているため、対応も正確性を欠いているのではないかと思いま ご意見を踏まえて、別紙2について、医療情報安全管理ガイドライン第6.0版に対応し
た内容に修正の上、名称を「別紙2統合前ガイドラインにおける対策項目一覧と医療情
す。
提案として、別紙2のタイトルを「対策項目の具体的一例の一覧と医療情報安全管理ガイドラインの対応 報安全管理ガイドライン6.0版の対応表」に変更しております。
表」と変更し、最新の医療情報安全管理ガイドラインと、陳腐化してしまっている具体的対策を改訂する
のがいいのではと思います。特に安全管理ガイドライン第6版においては、4編構成になりC項、D項がなく
なっているため、別紙2を適切に更新できるように厚労省とも連携して欲しい。
(記述を修正)
氏名・名称
9 個人
10 個人
属性
個人
個人
資料
FAQ
02GL
ページ
パート
2
11
1.2
2.2.3
意見
修正内容
方針・コメント
P2 本文
一読して分かり難いので、下記の表現してはどうでしょうか。
(修正前)・・・、既に他のPHR が格納されているPHR サービスに取り込む場合、全体として本ガイドラ
ご意見を踏まえて記載を見直しました。
インの対象となります。
(修正後)・・・、既に他のPHR が格納されているPHR サービスに取り込む場合、データを取り込んだ
PHRサービス全体が本ガイドラインの対象となります。
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1 版(案)
のp.11(17 of 64)に記載のある、脚注12に関する意見です。
原案
修正案
「受け取ったデータを、既に他のPHR が格納されているPHR
サービスに取り込む場合、全体として本ガイドラインの対象と
なります。」
「受け取った医療情報を、既に他のPHRが格納されているPHR
サービスに取り込む場合、医療情報を取り込んだPHRサービ
ス全体が本ガイドラインの対象となります。」
図2-6を見る限り、事業者Bはインフラを提供する事業者(IaaS)であり、PACS(画像システム)を提供するこ
「2.2.3.医療機関等が複数事業者と契約するケース」の本文、図及び脚注は、あくまで
とは無いかと思います。
も当該ケースを例示するためのものです。そのため、インフラを提供する事業者が、実
際にPACSを提供することがあるかについて判断しているものではありません。
IaaSは仮想化技術を利用してハードウェアリソース(CPU/メモリ/ストレージ)などのデジタルインフ
ラをインターネット経由で提供するサービスと理解しています。
ご検討のほど宜しくお願い致します。
2000文字の文字制限のため、分割して提出します。1つめ
11 個人
個人
01全般
0
全般
12 個人
個人
02GL
0
全般
13 個人
個人
02GL
2
1.1.2
14 個人
15 個人
個人
個人
02GL
別紙2
2
0
1.配布されるPDFの文書は、最低でもしおり付きPDFにして、可能でしたらWordの原ファイル(変更履歴付
き)を公開することでレビューの質の向上、効率向上が期待できます。また、英国などでは政府が国民の
ためにPDFを公開することを禁止していると認識しています。ともかく見られて改竄されにくく、アナロ
グ(紙)の延長であるPDFでの安易な提供に関して、本当に国民のための方法になっているかを個々の行政 今後の検討にあたっての参考とさせていただきます。
機関でも考えていって欲しいと思います。国民の1人としての意見として、しおり無しのPDFは最低で
あり、Wordでの検索機能、変更履歴表示機能など非常に効果的、効率的、高品質でのレビューが可能で
す。利活用にあたり、資料作成するのにPDFからのコピーペーストをして体裁を整えてなど非常に非効
率な作業を実施しています。
本当は、NativeなHTML又はXML+Readerなどの構成もいいのではないかと思います。
2.「もしくは」の使い方
図2-2他で「もしくは」と使用している箇所が散見される。しかし、法文、公用文、契約書、JIS等におい
て、1階層の場合は「又は」を使用し、「“又は”を用いて並列した項目、条件などの中を、更に小さく
選択する項目、条件などを併記する場合には、その接続に“若しくは”を用いる。」ルールになってい
る。本書は公用文、法文でないため、厳格には従うことが必須ではないが、できるだけ誤解を招かないた
めに、さらに、特別な合理的な理由がない限りは、そのルールに従うことが望ましいと考えます。漢字を
使うかひらがなを使うかは、それ以外の漢字、ひらがなのバランスで適切に使い分けていいのではないか
と思います。
また、助詞の「や」は、「及び」又は「又は」のどちらを表すか不明確になりやすいためJISでは使用を
禁止している。本書はJISではないが、不明確になりやすい部分をできるだけ減らすため、合理的な理由
がない限り、そのルールに準じたほうがいいかと思います。
ご指摘を踏まえて修正いたしました。
(1)P25図5-1内 2箇所
(2)P27 表5-1内 「?不正に書き換える、もしくは破壊する。」
(3)P38 (ケ) 「?資料の提供もしくは、医療機関等に代わり?」
(4)P38 (コ) 「監査の方針や内容もしくは、監査に代替する対応?」
助詞の「や」は「及び」又は「又は」のどちらを表すか不明確になりやすいため使用をさける。
(変更案) 「監査の方針及び内容又は、監査に代替する対応?」
(5)P45 「契約終了フェーズにおける情報流の特定例」の表内の「廃棄もしくは移管する」
(6)P46 「契約終了フェーズにおける情報流の特定例」の表内の「廃棄もしくは移管する」
(7)P47 「契約終了フェーズにおける情報流の特定例」の表内の「廃棄もしくは移管する」
(7)P54 「用語集」の「IoT」の説明内に2箇所
3.P2 1.1.2医療法との関係
「また、医療情報安全管理ガイドラインは、健康保険法等に基づく健康保険制度の保険診療点数表におい
て引用されており、保険医療機関としても遵守が求められている。」と記載されている。2023年3月10日
付けで医療法施行規則第14条2項が新設され、病院、診療所又は助産所の管理者 が遵守すべき事項とし
て、 医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必 医療機関等の医療情報安全管理ガイドライン遵守の必要性については、「1.1.2 医療
要な措置を講じることを追加され、4月1日から施行されることが告示された。また、病院、診療所及び助 情報安全管理ガイドライン」に記載しておりますので、原案通りとさせていただきま
産所におかれては、規則第1 4条第2項に規定する「必要な措置」として、最新の「医療情報システムの す。
安全管理に関するガイドライン」(以下「安全管理ガイドライン」という。)を参照の上、サイバー攻撃
に対する対策を含めセキュリティ対策全般について 適切な対応を行うこととされた。このような観点で
も医療機関等が医療情報安全管理ガイドラインを遵守する必要があることを明記したらどうかと思いま
す。
1.1.3
595223026000000009の続き
2つ目
4.P2 1.1.3医療情報システム・サービス
「医療情報を取り扱う情報システムやサービス(以下、「医療情報システム等」という。)を提供する事
業者」と記載されていますが、非常に誤解を招く表現になってしまっていると思われます。まず、助詞の
「や」はJISでは、「及び」又は「又は」のどちらを表すのかが不明確になるため使用を禁止していま
す。また、本書のタイトルである医療情報を取り扱う情報システム・サービスの提供事業者の中点「・」
も非常にわかりにくいと思われます。前回のパブコメでの回答では「医療情報を受託する情報処理事業者
「医療情報を取り扱う情報システムやサービス(以下、「医療情報システム等」とい
の安全管理ガイドライン改定検討会で議論されたもの」とのことで変更がなされませんでした。タイトル
う。)を提供する事業者」という表現につきましては、本ガイドライン統合時の検討会
の変更は、関係者が多く簡単に変更できないことは理解できますが、1.1.3の記載に関しては、もう少し
にて議論されたものであるため原案通りとさせていただきますが、頂いたご意見は今後
誤解をうけない表現にすべきではないでしょうか。
の検討にあたっての参考とさせていただきます。
(1) 情報システムを提供し、サービスを提供しない事業者は対象外
(2) 情報システムを提供し、サービスを提供する事業者は対象
(3) 情報システムを提供しないが、サービスを提供する事業者は対象
さらに、下記の変更案によって、現在のタイトルでの誤解を招く表現であることも、タイトルの変更なし
に改善できるのではないかと思います。
(変更案)
「医療情報を取り扱う情報システムを用いたサービスを提供する事業者」(以下、「医療情報を取り扱う
情報システム・サービスの提供事業者」という。)
全般
5.P5 1. 3別紙2旧ガイドラインにおける対策項目一覧と医療情報安全管理ガイドラインの対応表
前版においては、この記載で問題ないとは思いますが、今回の版では「旧ガイドライン」が2世代前のガ
イドラインを指すので、最新のガイドラインを読む読者にとってはわかりにくいと思われます。また、医
療情報安全管理ガイドラインも改訂されているため、対応も正確性を欠いているのではないかと思いま ご意見を踏まえて、別紙2について、医療情報安全管理ガイドライン第6.0版に対応し
た内容に修正の上、名称を「別紙2統合前ガイドラインにおける対策項目一覧と医療情
す。
提案として、別紙2のタイトルを「対策項目の具体的一例の一覧と医療情報安全管理ガイドラインの対応 報安全管理ガイドライン6.0版の対応表」に変更しております。
表」と変更し、最新の医療情報安全管理ガイドラインと、陳腐化してしまっている具体的対策を改訂する
のがいいのではと思います。特に安全管理ガイドライン第6版においては、4編構成になりC項、D項がなく
なっているため、別紙2を適切に更新できるように厚労省とも連携して欲しい。
(記述を修正)