よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(別冊)(令和4年3月)[2,057KB] (77 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
保証が必要である。
ただし、外部保存を受託する事業者に暗号鍵を預託する場合においては、暗号鍵の使
用について厳重な管理が必要である。
外部保存を受託する事業者による暗号鍵の不正利用を防止するため、暗号鍵の使用に
ついて運用管理規程を策定し、使用を非常時に限定しなければならない。また、実行時
に暗号鍵を使用した証跡が残る暗号手法等を利用し、医療情報システムにおける証跡管
理等を適切に実施することで、
暗号鍵が不正利用されていないかを確認する必要がある。
3. 情報の提供
① 病院、診療所、医療法人等が適切に管理する場所に保存する場合
情報を保存している機関に患者がアクセスし、自らの記録を閲覧するような仕組みを
提供する場合は、情報の保存を受託した病院、診療所、医療法人等は適切なアクセス権
限を規定し、情報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又は患者に
見せてはいけない情報が見えてしまう等)が起こらないように配慮しなくてはならない。
また、それら情報の提供は、原則、患者が受診している医療機関等と患者間の同意で
実施されるものであり、情報の保存を受託した病院、診療所、医療法人等が患者から何
らの同意も得ずに実施してはならない。
② 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
いかなる形態であっても、保存された情報の外部保存を受託する事業者が独自に保存
主体の医療機関等以外に提供してはならない。匿名化された情報であっても同様である。
なお医療機関等が管理する端末等を用いて、医療機関等又は患者が患者情報に関する
サービスを利用する場合に、受託する事業者において Cookie を取得することがある。
Cookie は直ちに個人を特定するものではないため、患者情報には当たらないとされうる
ものの、第三者提供することにより、患者等が特定されるリスクがあるため、受託する
事業者において第三者に提供することは許されない。
外部保存を受託する事業者を通じて保存された情報を保存主体の医療機関等以外にも
提供する場合は、あくまで医療機関等同士の合意で実施されなくてはならず、当然、個
人情報保護法に則り、患者の同意も得た上で実施する必要がある。
このような場合において、外部保存を受託する事業者がアクセス権の設定を受託して
いるときは、医療機関等又は医療機関等に対して同意した患者の求めに応じて適切な権
限を設定する等して、情報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又
は患者に見せてはいけない情報が見えてしまう等)が起こらないようにしなくてはなら
ない。
したがって、このような形態で外部に診療録等を保存しようとする医療機関等は、外
部保存を受託する事業者に対して、契約書等でこれらの情報提供についても規定しなく
75
ただし、外部保存を受託する事業者に暗号鍵を預託する場合においては、暗号鍵の使
用について厳重な管理が必要である。
外部保存を受託する事業者による暗号鍵の不正利用を防止するため、暗号鍵の使用に
ついて運用管理規程を策定し、使用を非常時に限定しなければならない。また、実行時
に暗号鍵を使用した証跡が残る暗号手法等を利用し、医療情報システムにおける証跡管
理等を適切に実施することで、
暗号鍵が不正利用されていないかを確認する必要がある。
3. 情報の提供
① 病院、診療所、医療法人等が適切に管理する場所に保存する場合
情報を保存している機関に患者がアクセスし、自らの記録を閲覧するような仕組みを
提供する場合は、情報の保存を受託した病院、診療所、医療法人等は適切なアクセス権
限を規定し、情報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又は患者に
見せてはいけない情報が見えてしまう等)が起こらないように配慮しなくてはならない。
また、それら情報の提供は、原則、患者が受診している医療機関等と患者間の同意で
実施されるものであり、情報の保存を受託した病院、診療所、医療法人等が患者から何
らの同意も得ずに実施してはならない。
② 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合
いかなる形態であっても、保存された情報の外部保存を受託する事業者が独自に保存
主体の医療機関等以外に提供してはならない。匿名化された情報であっても同様である。
なお医療機関等が管理する端末等を用いて、医療機関等又は患者が患者情報に関する
サービスを利用する場合に、受託する事業者において Cookie を取得することがある。
Cookie は直ちに個人を特定するものではないため、患者情報には当たらないとされうる
ものの、第三者提供することにより、患者等が特定されるリスクがあるため、受託する
事業者において第三者に提供することは許されない。
外部保存を受託する事業者を通じて保存された情報を保存主体の医療機関等以外にも
提供する場合は、あくまで医療機関等同士の合意で実施されなくてはならず、当然、個
人情報保護法に則り、患者の同意も得た上で実施する必要がある。
このような場合において、外部保存を受託する事業者がアクセス権の設定を受託して
いるときは、医療機関等又は医療機関等に対して同意した患者の求めに応じて適切な権
限を設定する等して、情報漏えいや、誤った閲覧(異なる患者の情報を見せてしまう又
は患者に見せてはいけない情報が見えてしまう等)が起こらないようにしなくてはなら
ない。
したがって、このような形態で外部に診療録等を保存しようとする医療機関等は、外
部保存を受託する事業者に対して、契約書等でこれらの情報提供についても規定しなく
75