よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 [564KB] (4 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
管理事
項番号
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
情報システムへのアク
B
・ID・パスワード、IC カード、生体
・管理規則に則ったハードウェア・ソフト
・ID・パスワードに用いるパスワードについて、認証方法に応じて適切に設定・運用すること。
セス制限の決定方針及
認証等により診療録データへの
び記録、点検等のアク
アクセスにおける識別と認証を
セス管理
行う
・監査ログサーバを設置し、アク
セスログの収集を行う
ウェアの設定を行う
・認証方法等に応じた適切なパスワード
設定・運用を行う
・システム管理者は、職務により定められた権限によるデータアクセス範囲を定め、必要に
応じてハードウェア・ソフトウェアの設定を行うこと。また、その内容に沿って、アクセス状況
の確認を行い、監査責任者に報告をすること。
・情報区分とアクセス権限に基づくアク
セスできる診療録等の範囲を定め、ア
クセス管理を行う
・誰が、いつ、誰の情報にアクセスした
かを記録し、定期的な記録の確認を行
う
C
(上記技術的対策が行えない場
合)
・システム操作業務日誌を備え、システ
ムを操作するものはシステム操作業
務日誌に操作者氏名、作業開始時
間、作業終了時間、作業内容、作業対
象を記載する
・システム管理者はシステム操作業務日誌を設置すること。
・利用者は、操作者氏名、作業開始時間、作業終了時間、作業内容、作業対象をシステム
操作業務日誌に記載すること。
・システム管理者は定期的にシステム操作業務日誌をチェックし、記載内容の正当性を評価
すること。
・システム管理者は定期的にシステム
操作業務日誌をチェックし、記載内容
の正当性を確認する
個人情報を含む記録媒
A
・保管、バックアップ作業を的確に行う
体の管理(保管・授受
・保管、バックアップの作業に当たる者は、手順に従って行い、その作業の記録を残し、シス
テム管理者の承認を得ること。
等)規程
個人情報を含む媒体の
A
廃棄の規程
・技術的に安全(再生不可)な方
式で破棄を行う
・情報種別ごとに破棄の手順を定める・
手順には破棄を行う条件、破棄を行う
・個人情報を記した媒体の廃棄に当たっては、安全かつ確実に行われることを、システム管
理者が作業前後に確認し、結果を記録に残すこと。
ことができる従事者の特定、具体的な
破棄の方法を含める
リスクに対する予防、
A
・情報に対する脅威を洗い出し、そのリ
発生時の対応方法
スク分析の結果に対し予防対策を行う
・リスク発生時の連絡網、対応、代替手
・システム管理者は、業務上において情報漏えい等のリスクが予想されるものに対し、運用
管理規程の見直しを行うこと。また、事故発生に対しては、速やかに運用責任者に報告し
利用者に周知すること。
段等を規定する
技術的と運用的対策の
A
・6 章全般に基づいて取られる技
・左記の項と対応する、運用事項
・例えば、「医療情報を取り扱う情報シ
・各システムは、その設計時及び運用開始時に、技術的対策と運用による対策を、基準適
分担を定めた文書の管
術的対策
理規程
例えば、「製造業者/サービス事
ステム・サービスの提供事業者におけ
・システムの保守時には、基準適合チェックリスト記載に従っていることを確認すること。
業者による医療情報セキュリテ
る安全管理ガイドライン」別紙に示す
・システム改造時は、最新の基準適合チェックリストに従って、技術的対策と運用による対策
「サービス仕様適合開示書」に基づ
-4-
合チェックリストに記載し、必要時には第三者への説明に使える状態で保存すること。
の分担を見直すこと。
項番号
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
情報システムへのアク
B
・ID・パスワード、IC カード、生体
・管理規則に則ったハードウェア・ソフト
・ID・パスワードに用いるパスワードについて、認証方法に応じて適切に設定・運用すること。
セス制限の決定方針及
認証等により診療録データへの
び記録、点検等のアク
アクセスにおける識別と認証を
セス管理
行う
・監査ログサーバを設置し、アク
セスログの収集を行う
ウェアの設定を行う
・認証方法等に応じた適切なパスワード
設定・運用を行う
・システム管理者は、職務により定められた権限によるデータアクセス範囲を定め、必要に
応じてハードウェア・ソフトウェアの設定を行うこと。また、その内容に沿って、アクセス状況
の確認を行い、監査責任者に報告をすること。
・情報区分とアクセス権限に基づくアク
セスできる診療録等の範囲を定め、ア
クセス管理を行う
・誰が、いつ、誰の情報にアクセスした
かを記録し、定期的な記録の確認を行
う
C
(上記技術的対策が行えない場
合)
・システム操作業務日誌を備え、システ
ムを操作するものはシステム操作業
務日誌に操作者氏名、作業開始時
間、作業終了時間、作業内容、作業対
象を記載する
・システム管理者はシステム操作業務日誌を設置すること。
・利用者は、操作者氏名、作業開始時間、作業終了時間、作業内容、作業対象をシステム
操作業務日誌に記載すること。
・システム管理者は定期的にシステム操作業務日誌をチェックし、記載内容の正当性を評価
すること。
・システム管理者は定期的にシステム
操作業務日誌をチェックし、記載内容
の正当性を確認する
個人情報を含む記録媒
A
・保管、バックアップ作業を的確に行う
体の管理(保管・授受
・保管、バックアップの作業に当たる者は、手順に従って行い、その作業の記録を残し、シス
テム管理者の承認を得ること。
等)規程
個人情報を含む媒体の
A
廃棄の規程
・技術的に安全(再生不可)な方
式で破棄を行う
・情報種別ごとに破棄の手順を定める・
手順には破棄を行う条件、破棄を行う
・個人情報を記した媒体の廃棄に当たっては、安全かつ確実に行われることを、システム管
理者が作業前後に確認し、結果を記録に残すこと。
ことができる従事者の特定、具体的な
破棄の方法を含める
リスクに対する予防、
A
・情報に対する脅威を洗い出し、そのリ
発生時の対応方法
スク分析の結果に対し予防対策を行う
・リスク発生時の連絡網、対応、代替手
・システム管理者は、業務上において情報漏えい等のリスクが予想されるものに対し、運用
管理規程の見直しを行うこと。また、事故発生に対しては、速やかに運用責任者に報告し
利用者に周知すること。
段等を規定する
技術的と運用的対策の
A
・6 章全般に基づいて取られる技
・左記の項と対応する、運用事項
・例えば、「医療情報を取り扱う情報シ
・各システムは、その設計時及び運用開始時に、技術的対策と運用による対策を、基準適
分担を定めた文書の管
術的対策
理規程
例えば、「製造業者/サービス事
ステム・サービスの提供事業者におけ
・システムの保守時には、基準適合チェックリスト記載に従っていることを確認すること。
業者による医療情報セキュリテ
る安全管理ガイドライン」別紙に示す
・システム改造時は、最新の基準適合チェックリストに従って、技術的対策と運用による対策
「サービス仕様適合開示書」に基づ
-4-
合チェックリストに記載し、必要時には第三者への説明に使える状態で保存すること。
の分担を見直すこと。