よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 [564KB] (5 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
管理事
項番号
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
ィ開示書(JIRA/ JAHIS によ
き、運用的対策が必要な事項への対
・技術的対策内容は「医療情報を取り扱う情報システム・サービスの提供事業者における安
る)」技術的対策項目
応の実施。なお具体化のために、「製
全管理ガイドライン」別紙に示す「サービス仕様適合開示書」等で確認をすること。
造業者/サービス事業者による医療情
報セキュリティ開示書
( JIRA/JAHIS)」が参考になる。
IoT 機器利用に関する
・サイバーセキュリティに関して製 ・患者への機器貸し出しに関して、リス
事項
造販売事業者の情報提供文書
ク等の注意事項、不具合時の連絡先
・製造販売事業者提供の文書を運用実施手順書に含めること。
を、組み込んだ実施
等の情報を提供する
・購入後に発見された脆弱性対策に実施においても同様とすること。
・購入後に発見された脆弱性対
策に実施
・機器・システムの動作状態の監
・機器の管理台帳の作成により、使用
終了機器・不具合未対応機器の再利
用を防止する
A
項
・ステルスモード、ANY 接続拒否
設定、不正アクセス対策、暗号
化を行う
電子署名・タイムスタン
A
プに関する規程
・電子証明書による電子署名環
境
・タイムスタンプ付与環境
・電子署名の検証環境
・患者への機器貸し出しに関して、リスク等の注意事項、不具合時の連絡等の情報を提供
すること。
・機器の管理台帳により、使用終了機器・不具合未対応機器の再利用を防止すること。
視を実施
無線 LAN に関する事
・IoT 機器の利用において、サイバーセキュリティに関して対策を行うこと。
・機器・システムの状態や通信状態を収集・把握し、ログを適切に記録すること。
・利用者への規則の説明を行う
・システム管理者は、無線 LAN アクセスポイントの設定状態を適宜確認すること。
・電波発生機器の利用に当たっての規
・システム管理者は、無線 LAN 利用規則を院内関係者及び利用可能性のある入院患者へ
則を定める
説明をすること。
・利用する電子証明書が、ガイドライン
が求める信用性を有していることを記
載した文書の作成
・システム管理者は、電子署名、タイムスタンプに関する作業手順を定めること。
・システム管理者は、電子的に受領した文書に電子署名がある場合の、署名検証手順を定
めること。
・署名が必要な文書に電子署名がある
ことの確認手順の作成
・タイムスタンプを付与する作業手順の
作成
・電子的な受領文書の電子署名検証手
順の作成
⑤
業務委託の安全管
委託契約における安全
理措置
管理・守秘条項
再委託の場合の安全
A
A
・包括的な委託先の罰則を定めた就業
・業務を当院外の所属者に委託する場合は、守秘事項を含む業務委託契約を結ぶこと。契
規則等で裏付けられた守秘契約を締
約の署名者は、その部門の長とする。また、各担当者は委託作業内容が個人情報保護の
結する
観点から適正に、かつ安全に行われていることを確認すること。
・委託先事業者が再委託を行うか否か
管理措置事項
・業務委託の契約書には、再委託での安全管理に関する事項を含むこと。
を明確にし、再委託を行う場合は委託
先と同等の個人情報保護に関する対
策及び契約がなされていることを条件
とする
システム改造及び保守
での医療機関等関係
A
・保守要員用のアカウントを設定
する
・保守要員用のアカウントを確認する
・保守作業等の情報システムに直接ア
-5-
・システム管理者は、保守会社における保守作業に関し、その作業者及び作業内容につき
報告を求め適切であることを確認すること。必要と認めた場合は適時監査を行うこと。
項番号
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
ィ開示書(JIRA/ JAHIS によ
き、運用的対策が必要な事項への対
・技術的対策内容は「医療情報を取り扱う情報システム・サービスの提供事業者における安
る)」技術的対策項目
応の実施。なお具体化のために、「製
全管理ガイドライン」別紙に示す「サービス仕様適合開示書」等で確認をすること。
造業者/サービス事業者による医療情
報セキュリティ開示書
( JIRA/JAHIS)」が参考になる。
IoT 機器利用に関する
・サイバーセキュリティに関して製 ・患者への機器貸し出しに関して、リス
事項
造販売事業者の情報提供文書
ク等の注意事項、不具合時の連絡先
・製造販売事業者提供の文書を運用実施手順書に含めること。
を、組み込んだ実施
等の情報を提供する
・購入後に発見された脆弱性対策に実施においても同様とすること。
・購入後に発見された脆弱性対
策に実施
・機器・システムの動作状態の監
・機器の管理台帳の作成により、使用
終了機器・不具合未対応機器の再利
用を防止する
A
項
・ステルスモード、ANY 接続拒否
設定、不正アクセス対策、暗号
化を行う
電子署名・タイムスタン
A
プに関する規程
・電子証明書による電子署名環
境
・タイムスタンプ付与環境
・電子署名の検証環境
・患者への機器貸し出しに関して、リスク等の注意事項、不具合時の連絡等の情報を提供
すること。
・機器の管理台帳により、使用終了機器・不具合未対応機器の再利用を防止すること。
視を実施
無線 LAN に関する事
・IoT 機器の利用において、サイバーセキュリティに関して対策を行うこと。
・機器・システムの状態や通信状態を収集・把握し、ログを適切に記録すること。
・利用者への規則の説明を行う
・システム管理者は、無線 LAN アクセスポイントの設定状態を適宜確認すること。
・電波発生機器の利用に当たっての規
・システム管理者は、無線 LAN 利用規則を院内関係者及び利用可能性のある入院患者へ
則を定める
説明をすること。
・利用する電子証明書が、ガイドライン
が求める信用性を有していることを記
載した文書の作成
・システム管理者は、電子署名、タイムスタンプに関する作業手順を定めること。
・システム管理者は、電子的に受領した文書に電子署名がある場合の、署名検証手順を定
めること。
・署名が必要な文書に電子署名がある
ことの確認手順の作成
・タイムスタンプを付与する作業手順の
作成
・電子的な受領文書の電子署名検証手
順の作成
⑤
業務委託の安全管
委託契約における安全
理措置
管理・守秘条項
再委託の場合の安全
A
A
・包括的な委託先の罰則を定めた就業
・業務を当院外の所属者に委託する場合は、守秘事項を含む業務委託契約を結ぶこと。契
規則等で裏付けられた守秘契約を締
約の署名者は、その部門の長とする。また、各担当者は委託作業内容が個人情報保護の
結する
観点から適正に、かつ安全に行われていることを確認すること。
・委託先事業者が再委託を行うか否か
管理措置事項
・業務委託の契約書には、再委託での安全管理に関する事項を含むこと。
を明確にし、再委託を行う場合は委託
先と同等の個人情報保護に関する対
策及び契約がなされていることを条件
とする
システム改造及び保守
での医療機関等関係
A
・保守要員用のアカウントを設定
する
・保守要員用のアカウントを確認する
・保守作業等の情報システムに直接ア
-5-
・システム管理者は、保守会社における保守作業に関し、その作業者及び作業内容につき
報告を求め適切であることを確認すること。必要と認めた場合は適時監査を行うこと。