よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (10 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
状況の変化に対する改定の必要性
本ガイドラインは令和 2 年 8 月に公表されて以降、令和 4 年 8 月に改正個人情報保護法
への形式的対応などの小規模な改定が行われたものの、内容に関しては大きな変更は行わ
れてこなかった。本ガイドライン第 1 版の公表以降、医療情報安全管理ガイドラインは、
令和 3 年 1 月に第 5.1 版、令和 4 年 3 月に第 5.2 版の改定を経て、令和 5 年 5 月には第 6.0
版に改定されている。改定の背景として、巧妙化するサイバー攻撃、特にランサムウェア
などへの対応の必要性の高まりや、医療情報システムの普及に伴う医療情報システム提供
事業者への委託等の増大とこれに基づく責任分界の明確化の要請などに対応することなど
が挙げられる。
本ガイドラインにおいても、これらの観点は第 1 版の策定において踏まえたものである
が、公表後、その傾向は一層強くなっており、改めて医療情報システム等の提供事業者に
おいて対応すべき内容を検討することが求められている。
今般、これらの検討を踏まえて第 1.1 版として改定し、公表することとした。
1.2.
本ガイドラインの策定方針
本ガイドライン第 1 版では、クラウド事業者ガイドラインと情報処理事業者ガイドライ
ンとが求める要件を以下の方針に従い整理・統合した。
⚫
他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの遵
守と同等の安全管理水準が確保されるようにする。
⚫
医療情報システム等の特性に応じた必要十分な対策を設計するために、一律に要求事
項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロ
セス7を定義する。
⚫
セキュリティ対策の妥当性と限界について正しい共通理解と明示的な合意 8のもと医
療情報システム等を運用するために、リスクコミュニケーションを重視する。
⚫
医療情報システム等に関連する法令の求めに対して対策の抜け漏れを防止するために、
医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする。
以上の方針に従ってガイドラインを理解しやすくすることにより、確実な対策の実施を
図るとともに、医療情報の効果的・効率的な安全管理の実現を目指す。
7
本ガイドラインにおけるリスクマネジメントのプロセスは JIS Q 31000:2019(ISO 31000:2018)や JIS Q
27001:2014 (ISO/IEC 27001:2013)等のリスクマネジメントの標準的なプロセスを参考としている。
8 「共通理解(Common understanding)
」と「明示的な合意(Explicit agreement)
」については、変化に
対応して情報システム・サービスを継続的に提供するための指針である Open Systems Dependability
(OSD)の考えに基づく国際標準 IEC 62853 における用語を参考としている。
4
本ガイドラインは令和 2 年 8 月に公表されて以降、令和 4 年 8 月に改正個人情報保護法
への形式的対応などの小規模な改定が行われたものの、内容に関しては大きな変更は行わ
れてこなかった。本ガイドライン第 1 版の公表以降、医療情報安全管理ガイドラインは、
令和 3 年 1 月に第 5.1 版、令和 4 年 3 月に第 5.2 版の改定を経て、令和 5 年 5 月には第 6.0
版に改定されている。改定の背景として、巧妙化するサイバー攻撃、特にランサムウェア
などへの対応の必要性の高まりや、医療情報システムの普及に伴う医療情報システム提供
事業者への委託等の増大とこれに基づく責任分界の明確化の要請などに対応することなど
が挙げられる。
本ガイドラインにおいても、これらの観点は第 1 版の策定において踏まえたものである
が、公表後、その傾向は一層強くなっており、改めて医療情報システム等の提供事業者に
おいて対応すべき内容を検討することが求められている。
今般、これらの検討を踏まえて第 1.1 版として改定し、公表することとした。
1.2.
本ガイドラインの策定方針
本ガイドライン第 1 版では、クラウド事業者ガイドラインと情報処理事業者ガイドライ
ンとが求める要件を以下の方針に従い整理・統合した。
⚫
他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの遵
守と同等の安全管理水準が確保されるようにする。
⚫
医療情報システム等の特性に応じた必要十分な対策を設計するために、一律に要求事
項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロ
セス7を定義する。
⚫
セキュリティ対策の妥当性と限界について正しい共通理解と明示的な合意 8のもと医
療情報システム等を運用するために、リスクコミュニケーションを重視する。
⚫
医療情報システム等に関連する法令の求めに対して対策の抜け漏れを防止するために、
医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする。
以上の方針に従ってガイドラインを理解しやすくすることにより、確実な対策の実施を
図るとともに、医療情報の効果的・効率的な安全管理の実現を目指す。
7
本ガイドラインにおけるリスクマネジメントのプロセスは JIS Q 31000:2019(ISO 31000:2018)や JIS Q
27001:2014 (ISO/IEC 27001:2013)等のリスクマネジメントの標準的なプロセスを参考としている。
8 「共通理解(Common understanding)
」と「明示的な合意(Explicit agreement)
」については、変化に
対応して情報システム・サービスを継続的に提供するための指針である Open Systems Dependability
(OSD)の考えに基づく国際標準 IEC 62853 における用語を参考としている。
4