よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 [564KB] (15 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
管理事
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
項番号
責任の明確化
A
・通常運用における責任、事後責任の
・運用責任者は、定められた責任体制が維持されていることを確認する。
分界点を定める
動作の監査
B
・委託する機関での送信記録、受 ・委託する機関での送信記録、受託す
託する機関での受信記録の保
る機関での受信記録の合致監査
持
C
(監査目的に耐える記録レベル、
保存期間である)
不都合な事態への対
A
・システム管理者は、XX から「診療記録」の受信記録を受け取り、送信した「診療記録」との
合致を確認する。また、確認した旨の作業記録を残す。異常の発見時には直ちに運用責
任者に報告するとともに、XX と契約の責任分担に基づき対処に着手する。
・監査(上記を含む全て)を第三者へ委
・運用責任者は、監督を委託した△△から、『XX からの「診療記録」の受信記録、送信した
託した場合は、定期的報告(6 ヶ月程
「診療記録」との合致を確認した』旨の報告を受け、確認後に報告内容の保管を行う。ま
度)を受ける
た、異常発生時には直ちに報告を受け、△△とともに対処に着手する。
・受託する機関との間で、不都合な事態 ・運用責任者は「診療記録」流出の危険があると判断した時には、直ちに外部保存の運用を
処
(異常の可能性も含む。)の責任対処
停止する。
作業範囲を定める
②
外部保存契約終了
A
・保管データの破棄契約と管理者によ
時の処理
る確認、守秘義務契約
・【契約事項として】当院と XX との契約終了時には、それまでに保管を受託した全ての「診
療記録」を当院に戻す(あるいは、利用不可能な形で廃棄する)こととし、その結果につい
て当院の監査を受けるものとする。また、XX が受託期間中に異常への対応等で「診療記
録」の内容にアクセスした場合、その内容についての守秘義務は、本保管委託契約終了後
も有効である。
③
真正性確保
相互認証機能の採用
A
・TLS あるいは相互認証付き
VPN の使用
・認証局を使う場合は、両機関間でお互 ・システム管理者は、記録による動作の監査において、委託する機関、受託する機関双方
いに相手方の証明書を認証可能な認
のなりすましがないことを確認する。
証局を選定する
・双方が合意すれば、特に独立した第
三者の認証局である必要性はない
通信上で「改ざんされ
A
ていない」ことの保証
・TLS あるいはメッセージ認証付
きの VPN の使用
・認証局を使う場合は、両機関間でお互 ・システム管理者は、記録による動作の確認において、通信上の改ざんの発見に努める。
いに相手方の証明書を認証可能な認
証局を選定する
・双方が合意すれば、特に独立した第
三者の認証局である必要性はない
④
見読性確保
情報の所在管理
A
・付表2の見読性確保と同じ技術的対
見読化手段の管理
策・運用的対策がとられていることの
見読目的に応じた応答
確認
時間とスループット
システム障害対策
- 15 -
・システム管理者は、XX における見読性対策が適切であることを確認する。監査者は必要
に応じて XX の設備を監査する。
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
項番号
責任の明確化
A
・通常運用における責任、事後責任の
・運用責任者は、定められた責任体制が維持されていることを確認する。
分界点を定める
動作の監査
B
・委託する機関での送信記録、受 ・委託する機関での送信記録、受託す
託する機関での受信記録の保
る機関での受信記録の合致監査
持
C
(監査目的に耐える記録レベル、
保存期間である)
不都合な事態への対
A
・システム管理者は、XX から「診療記録」の受信記録を受け取り、送信した「診療記録」との
合致を確認する。また、確認した旨の作業記録を残す。異常の発見時には直ちに運用責
任者に報告するとともに、XX と契約の責任分担に基づき対処に着手する。
・監査(上記を含む全て)を第三者へ委
・運用責任者は、監督を委託した△△から、『XX からの「診療記録」の受信記録、送信した
託した場合は、定期的報告(6 ヶ月程
「診療記録」との合致を確認した』旨の報告を受け、確認後に報告内容の保管を行う。ま
度)を受ける
た、異常発生時には直ちに報告を受け、△△とともに対処に着手する。
・受託する機関との間で、不都合な事態 ・運用責任者は「診療記録」流出の危険があると判断した時には、直ちに外部保存の運用を
処
(異常の可能性も含む。)の責任対処
停止する。
作業範囲を定める
②
外部保存契約終了
A
・保管データの破棄契約と管理者によ
時の処理
る確認、守秘義務契約
・【契約事項として】当院と XX との契約終了時には、それまでに保管を受託した全ての「診
療記録」を当院に戻す(あるいは、利用不可能な形で廃棄する)こととし、その結果につい
て当院の監査を受けるものとする。また、XX が受託期間中に異常への対応等で「診療記
録」の内容にアクセスした場合、その内容についての守秘義務は、本保管委託契約終了後
も有効である。
③
真正性確保
相互認証機能の採用
A
・TLS あるいは相互認証付き
VPN の使用
・認証局を使う場合は、両機関間でお互 ・システム管理者は、記録による動作の監査において、委託する機関、受託する機関双方
いに相手方の証明書を認証可能な認
のなりすましがないことを確認する。
証局を選定する
・双方が合意すれば、特に独立した第
三者の認証局である必要性はない
通信上で「改ざんされ
A
ていない」ことの保証
・TLS あるいはメッセージ認証付
きの VPN の使用
・認証局を使う場合は、両機関間でお互 ・システム管理者は、記録による動作の確認において、通信上の改ざんの発見に努める。
いに相手方の証明書を認証可能な認
証局を選定する
・双方が合意すれば、特に独立した第
三者の認証局である必要性はない
④
見読性確保
情報の所在管理
A
・付表2の見読性確保と同じ技術的対
見読化手段の管理
策・運用的対策がとられていることの
見読目的に応じた応答
確認
時間とスループット
システム障害対策
- 15 -
・システム管理者は、XX における見読性対策が適切であることを確認する。監査者は必要
に応じて XX の設備を監査する。