よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 [564KB] (16 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
管理事
運用管理項目
実施項目
対象
技術的対策
運用的対策
外部保存を受託する事
A
・受託する機関との間で、改ざん
・付表2の保存性確保と同じ技術的対
業者での保存確認機
されることのないデータとして保
策・運用的対策がとられていることの
能
存されたことを確認できる機能、
確認
運用管理規程文例
項番号
⑤
保存性確保
例えばネットワークを介したスト
・受託先での保存が確認された時点ま
レージへの保管確認機能、ある
で委託元でのデータ削除を行わない
いは保存を委託する機関への
旨の規定の確認
・システム管理者は、XX における保存性対策が適切であることを確認する。監査者は必要
に応じて XX の設備を監査する。
保管内容送信機能(1 時間~1
日単位)
標準的なデータ形式及
A
び転送プロトコルの採
・DICOM、HL7、標準コードの使
用あるいはこれらへの変換機能
用
データ形式及び転送プ
A
・継続性の保証契約を交わす
ロトコルのバージョン管
・【契約事項として】当院と XX は、互いに各自のシステム変更に当たって、相互にデータ通
信の継続性に配慮し、変更内容が外部保存の障害にならないように協議をする。
理と継続性確保
⑥
診療録等の個人情
秘匿性の確保のため
報を電気通信回線
の適切な暗号化
A
・メッセージの暗号化が可能な通
信手段
で伝送する間の個
・暗号の強度は、電子署名法令
人情報保護策
に準じる
通信の起点・終点識別
A
のための認証
・TLS あるいは相互認証付き
VPN の使用
・認証局を使う場合は、両機関間でお互 ・システム管理者は、記録による動作の監査において、委託する機関、受託する機関双方
いに相手方の証明書を認証可能な認
が正当であることを確認する。
証局を選定する
・暗号の強度は、電子署名法令
に準じる
⑦
外部保存を受託す
外部保存を受託する事
る事業者内での個
業者における個人情報
人情報保護策
保護
A
・双方が合意すれば、特に独立した第
三者の認証局である必要性はない
・受託する機関と受託する機関側にお
ける業務従事者への教育、守秘義務
・監査者は必要に応じて XX を監査する。
【契約事項として】①XX は当院から受けた保管委託を再委託してはならない。②XX は「診
療記録」の保管業務に従事する従業員に対して「個人情報保護の重要性」の教育を年 1
回行う。また、その業務を離れた後も有効な守秘契約を当該従業員と交わす。
外部保存を受託する事
A
・アクセス制御機能とアクセスロ
業者における診療情報
グ機能、監査目的に耐えるログ
へのアクセス禁止
保存期間である
外部保存を受託する事
A
・アクセス制御機能とアクセスロ
・委託する機関によるアクセスログの監
査
・監査者は、XX における保管された「診療記録」及びアクセスログへのアクセス記録を監査
する。
・アクセス許可、秘密保持に関する契約
・【契約事項として】XX においては正当な理由なく、保管した「診療記録」及びアクセスログに
業者における障害対策
グ機能、監査目的に耐えるログ
と委託する機関によるアクセスログの
アクセスしてはならない。できる限り事前に当院の許可を得ることとし、やむを得ない事情
時のアクセス通知
保存期間である
監査
により許可を得ずアクセスした場合は、遅滞無く当院に報告するものとする。また、目的外
に利用してはならないし、正当で明確な目的がないのに他の媒体等に保管してはならな
い。
- 16 -
運用管理項目
実施項目
対象
技術的対策
運用的対策
外部保存を受託する事
A
・受託する機関との間で、改ざん
・付表2の保存性確保と同じ技術的対
業者での保存確認機
されることのないデータとして保
策・運用的対策がとられていることの
能
存されたことを確認できる機能、
確認
運用管理規程文例
項番号
⑤
保存性確保
例えばネットワークを介したスト
・受託先での保存が確認された時点ま
レージへの保管確認機能、ある
で委託元でのデータ削除を行わない
いは保存を委託する機関への
旨の規定の確認
・システム管理者は、XX における保存性対策が適切であることを確認する。監査者は必要
に応じて XX の設備を監査する。
保管内容送信機能(1 時間~1
日単位)
標準的なデータ形式及
A
び転送プロトコルの採
・DICOM、HL7、標準コードの使
用あるいはこれらへの変換機能
用
データ形式及び転送プ
A
・継続性の保証契約を交わす
ロトコルのバージョン管
・【契約事項として】当院と XX は、互いに各自のシステム変更に当たって、相互にデータ通
信の継続性に配慮し、変更内容が外部保存の障害にならないように協議をする。
理と継続性確保
⑥
診療録等の個人情
秘匿性の確保のため
報を電気通信回線
の適切な暗号化
A
・メッセージの暗号化が可能な通
信手段
で伝送する間の個
・暗号の強度は、電子署名法令
人情報保護策
に準じる
通信の起点・終点識別
A
のための認証
・TLS あるいは相互認証付き
VPN の使用
・認証局を使う場合は、両機関間でお互 ・システム管理者は、記録による動作の監査において、委託する機関、受託する機関双方
いに相手方の証明書を認証可能な認
が正当であることを確認する。
証局を選定する
・暗号の強度は、電子署名法令
に準じる
⑦
外部保存を受託す
外部保存を受託する事
る事業者内での個
業者における個人情報
人情報保護策
保護
A
・双方が合意すれば、特に独立した第
三者の認証局である必要性はない
・受託する機関と受託する機関側にお
ける業務従事者への教育、守秘義務
・監査者は必要に応じて XX を監査する。
【契約事項として】①XX は当院から受けた保管委託を再委託してはならない。②XX は「診
療記録」の保管業務に従事する従業員に対して「個人情報保護の重要性」の教育を年 1
回行う。また、その業務を離れた後も有効な守秘契約を当該従業員と交わす。
外部保存を受託する事
A
・アクセス制御機能とアクセスロ
業者における診療情報
グ機能、監査目的に耐えるログ
へのアクセス禁止
保存期間である
外部保存を受託する事
A
・アクセス制御機能とアクセスロ
・委託する機関によるアクセスログの監
査
・監査者は、XX における保管された「診療記録」及びアクセスログへのアクセス記録を監査
する。
・アクセス許可、秘密保持に関する契約
・【契約事項として】XX においては正当な理由なく、保管した「診療記録」及びアクセスログに
業者における障害対策
グ機能、監査目的に耐えるログ
と委託する機関によるアクセスログの
アクセスしてはならない。できる限り事前に当院の許可を得ることとし、やむを得ない事情
時のアクセス通知
保存期間である
監査
により許可を得ずアクセスした場合は、遅滞無く当院に報告するものとする。また、目的外
に利用してはならないし、正当で明確な目的がないのに他の媒体等に保管してはならな
い。
- 16 -