よむ、つかう、まなぶ。
提出された意見一覧及び意見に対する両省の考え方 (5 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
No.
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
35 亀田医療情報 株式会社
団体
02GL
31
5.1.5
36 亀田医療情報 株式会社
団体
02GL
33
5.1.5
37 亀田医療情報 株式会社
団体
02GL
35
5.1.6
38 亀田医療情報 株式会社
団体
02GL
36
1.1.3
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P31
5.1.5. リスク対応策の設計・評価
(1)リスク対応策の設計
(ア)基本的な考え方
修正案
「医療情報安全管理ガイドライン(第 5 版)」
「医療情報安全管理ガイドライン」
(追記)
「本ガイドラインが対象とする医療情報と事業者に関しては、
別紙2-1「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドラインFAQ」の「1.ガイドライン
の対象範囲」に示す例も参照すること。」
ご意見を踏まえて、「医療情報安全管理ガイドライン」に修正いたしました。
「医療情報安全管理ガイドライン(第5版)」とあるが、現行の第5.2版が正しいのではないか、又は、第
6版が正式に発効された場合どのようになるのか。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P33
5.1.5.リスク対応策の設計・評価
6 事業継続計画の策定における考慮事項
事業継続計画の策定においては、医療機関等が想定する医療の継続性の観点を入れるこ
とを必須としていますので、原案通りとさせていただきます。
医療情報システムを提供する医療機関等の事情がそれぞれ異なる毎に計画の策定をすることは、事業者の
負担が大きいため、必須であるかのような表現ではなく、「可能な範囲で医療機関等が想定する医療の継
続性の観点に配慮した計画にすることが望ましい。」等の表現へ変更していただきたい。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P35
5.1.6.リスクコミュニケーション
昨今のサイバー攻撃による被害を防ぐためのリスクコミュニケーションとして、合意形
(1)医療機関等とのリスクコミュニケーションの実施
成を「図る」のみではなく、合意形成を「する」ことが必要と考えられますので、原案
通りとさせていただきます。
「合意形成を行う行為」は必要だが、合意に至るまでには、双方がベースとなる環境、技術的部分等の共
通理解がなければ合意に至ることは難しく、また、一方だけが情報提供するべきものでもない。医療情報
システムの提供後も合意形成に努めていくことを前提に、従来通り「図る」がよい。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P35
【コラム:リスクコミュニケーション不足がサイバー攻撃による被害発生の一因となった例】
本ガイドラインにおいて具体例が不足しているとの御意見があったことから、具体例と
所轄官庁から発出するガイドラインは、特定の事案に誘導することなく、広く公平に国民全体、且つ、対
してより分かりやすく示すため、報告書が公表されており、かつ、様々な場で取り上げ
象となる業界団体、企業などへ伝達する必要がある、行政が発行する指針であるという認識である。
られている「徳島県つるぎ町立半田病院」の事例を記載したコラムを新設いたしまし
「事例」として、多々発生している事案があるにも関わらず、特定の事案、特定の固有名詞「徳島県つる
た。そのため、原案通りとさせていただきます。
ぎ町立半田病院」を記載することで、取り上げられた事例のみに誘導する記載は、ガイドライン(付属資
料含む)で記載するべきではない。
コラムが必要であるならば、医療機関等、事業者を責任の主体とするのではなく、その行動に至る原因と
なる制度、啓発活動がどうであったかを論点とし、固有名詞を省いてQA、読本に記載するべきである。
ページ: 6
39 個人
40 個人
41 個人
個人
個人
個人
02GL
02GL
02GL
6
6
22
2.1
原文: 本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報システム等を提
供する事業者9(以下、「対象事業者」という。)である10。ただし、医療機関等と直接的な契約関係に
「医療情報システムに対する現地保守サービスおよびリモート保守サービス」を提供す
なくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者や、患者等の
る事業者は、「医療機関等に提供する医療情報システム等に必要な資源や役務を提供す
指示に基づいて医療機関等から医療情報を受領する事業者は本ガイドラインにおける対象事業者11とな
る事業者」に該当するため、本ガイドラインの対象となります。なお、FAQ 1.1に記載
る。
のとおり、製品やソフトウェアの提供者で、製品保証としてセキュリティパッチの提供
等のみを行っている事業者については、本ガイドラインの対象範囲外となります。
意見/理由: 医療情報システムや機器等を売買契約により医療機関に販売した場合に、付帯するこれらの
医療情報システムに対する現地保守サービスおよびリモート保守サービスがガイドラインの対象として該
当するのかどうかが不明確のため、明記を頂きたい。なお、現地保守サービスおよびリモート保守サービ
スの提供の際に、医療情報を積極的に取得する場面はないもの、見えてしまうなどの場面は想定される。
2.1
本編のP6 2.1. 本ガイドラインが対象とする医療情報と事業者において、対象事業者について、FAQで記
載されている具体的な事例を本編で記載したほうがより周知されるので検討して頂けないでしょうか?ま ご意見を踏まえて修正いたしました。
た、記載が難しい場合は、FAQの参照箇所へ誘導するような記載があればよいと存じます。
表4-1
本編P22 表 4-1 医療機関等へ情報提供すべき項目で「国内法の適用を受けること…。」とありますが、
国内法の適用を受けることを確認することとありますが、
国外における個別のケースについて判断できませんが、法やガイドラインの趣旨に則っ
・国外に機器等があっても国内法が適用できれば問題ないとの理解でよろしいでしょうか?
て、各医療機関や事業者が円滑に事故調査に対応できる体制で医療情報システム等をご
・海外事業者の医療情報に関するサービス(分析など)を海外の機器等を介して利用する場合、例えば、 利用いただくことを求めております。
契約等で国内法の適用が担保できれば確認が取れたことになりますでしょうか?
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
35 亀田医療情報 株式会社
団体
02GL
31
5.1.5
36 亀田医療情報 株式会社
団体
02GL
33
5.1.5
37 亀田医療情報 株式会社
団体
02GL
35
5.1.6
38 亀田医療情報 株式会社
団体
02GL
36
1.1.3
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P31
5.1.5. リスク対応策の設計・評価
(1)リスク対応策の設計
(ア)基本的な考え方
修正案
「医療情報安全管理ガイドライン(第 5 版)」
「医療情報安全管理ガイドライン」
(追記)
「本ガイドラインが対象とする医療情報と事業者に関しては、
別紙2-1「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドラインFAQ」の「1.ガイドライン
の対象範囲」に示す例も参照すること。」
ご意見を踏まえて、「医療情報安全管理ガイドライン」に修正いたしました。
「医療情報安全管理ガイドライン(第5版)」とあるが、現行の第5.2版が正しいのではないか、又は、第
6版が正式に発効された場合どのようになるのか。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P33
5.1.5.リスク対応策の設計・評価
6 事業継続計画の策定における考慮事項
事業継続計画の策定においては、医療機関等が想定する医療の継続性の観点を入れるこ
とを必須としていますので、原案通りとさせていただきます。
医療情報システムを提供する医療機関等の事情がそれぞれ異なる毎に計画の策定をすることは、事業者の
負担が大きいため、必須であるかのような表現ではなく、「可能な範囲で医療機関等が想定する医療の継
続性の観点に配慮した計画にすることが望ましい。」等の表現へ変更していただきたい。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P35
5.1.6.リスクコミュニケーション
昨今のサイバー攻撃による被害を防ぐためのリスクコミュニケーションとして、合意形
(1)医療機関等とのリスクコミュニケーションの実施
成を「図る」のみではなく、合意形成を「する」ことが必要と考えられますので、原案
通りとさせていただきます。
「合意形成を行う行為」は必要だが、合意に至るまでには、双方がベースとなる環境、技術的部分等の共
通理解がなければ合意に至ることは難しく、また、一方だけが情報提供するべきものでもない。医療情報
システムの提供後も合意形成に努めていくことを前提に、従来通り「図る」がよい。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版
(案)」P35
【コラム:リスクコミュニケーション不足がサイバー攻撃による被害発生の一因となった例】
本ガイドラインにおいて具体例が不足しているとの御意見があったことから、具体例と
所轄官庁から発出するガイドラインは、特定の事案に誘導することなく、広く公平に国民全体、且つ、対
してより分かりやすく示すため、報告書が公表されており、かつ、様々な場で取り上げ
象となる業界団体、企業などへ伝達する必要がある、行政が発行する指針であるという認識である。
られている「徳島県つるぎ町立半田病院」の事例を記載したコラムを新設いたしまし
「事例」として、多々発生している事案があるにも関わらず、特定の事案、特定の固有名詞「徳島県つる
た。そのため、原案通りとさせていただきます。
ぎ町立半田病院」を記載することで、取り上げられた事例のみに誘導する記載は、ガイドライン(付属資
料含む)で記載するべきではない。
コラムが必要であるならば、医療機関等、事業者を責任の主体とするのではなく、その行動に至る原因と
なる制度、啓発活動がどうであったかを論点とし、固有名詞を省いてQA、読本に記載するべきである。
ページ: 6
39 個人
40 個人
41 個人
個人
個人
個人
02GL
02GL
02GL
6
6
22
2.1
原文: 本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報システム等を提
供する事業者9(以下、「対象事業者」という。)である10。ただし、医療機関等と直接的な契約関係に
「医療情報システムに対する現地保守サービスおよびリモート保守サービス」を提供す
なくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者や、患者等の
る事業者は、「医療機関等に提供する医療情報システム等に必要な資源や役務を提供す
指示に基づいて医療機関等から医療情報を受領する事業者は本ガイドラインにおける対象事業者11とな
る事業者」に該当するため、本ガイドラインの対象となります。なお、FAQ 1.1に記載
る。
のとおり、製品やソフトウェアの提供者で、製品保証としてセキュリティパッチの提供
等のみを行っている事業者については、本ガイドラインの対象範囲外となります。
意見/理由: 医療情報システムや機器等を売買契約により医療機関に販売した場合に、付帯するこれらの
医療情報システムに対する現地保守サービスおよびリモート保守サービスがガイドラインの対象として該
当するのかどうかが不明確のため、明記を頂きたい。なお、現地保守サービスおよびリモート保守サービ
スの提供の際に、医療情報を積極的に取得する場面はないもの、見えてしまうなどの場面は想定される。
2.1
本編のP6 2.1. 本ガイドラインが対象とする医療情報と事業者において、対象事業者について、FAQで記
載されている具体的な事例を本編で記載したほうがより周知されるので検討して頂けないでしょうか?ま ご意見を踏まえて修正いたしました。
た、記載が難しい場合は、FAQの参照箇所へ誘導するような記載があればよいと存じます。
表4-1
本編P22 表 4-1 医療機関等へ情報提供すべき項目で「国内法の適用を受けること…。」とありますが、
国内法の適用を受けることを確認することとありますが、
国外における個別のケースについて判断できませんが、法やガイドラインの趣旨に則っ
・国外に機器等があっても国内法が適用できれば問題ないとの理解でよろしいでしょうか?
て、各医療機関や事業者が円滑に事故調査に対応できる体制で医療情報システム等をご
・海外事業者の医療情報に関するサービス(分析など)を海外の機器等を介して利用する場合、例えば、 利用いただくことを求めております。
契約等で国内法の適用が担保できれば確認が取れたことになりますでしょうか?