よむ、つかう、まなぶ。
【資料2-1】概説編(案) (15 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
理も求められる。
4.5 リスク評価とリスク管理
➢
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因となる「脅
威」を 識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、システム障害などの環境要
因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
➢
また、これらの脅威によって生じる被害等が発生する可能性がを「 スク」として表される呼ぶ。
➢
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提供が停止する
といった影響が生じることも考えられる。各医療機関等においては、自
にとっての脅威を特定し、その スクを
評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻撃、システム障害などについては、被
害の影響がより大規模となる可能性が高いため、高度な スク評価を踏まえた対策を要するが求められる。
➢
なお、医療情報システムの安全管理上の スク評価、 スク管理を実施するに当たっては、医療情報システム・サ
ービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経済産業省が定めてい
る「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」における「サービス仕
適合開示書」や一般社団法人日本画像医療システム工業会(JIRA)の工業会規格(JESRA
Japanese Engineering Standards of Radiological Apparatus)及び一般社団法人保健医療福祉
情報システム工業会(JAHIS)の JAHIS 標準となっている厚生労働省標準規格となっている「『製造業者/サ
ービス事業者による医療情報
テ 開示書(略称 M S/S S Manufacturer / Service Provider
isclosure Statement for Medical Information Security)』ガイド」で示されているチェック スト1や2
省ガイドラインにおける「サービス仕
適合開示書」等を参考に、当該事業者から情報の提供していただく等により
を受け、当該事業者と医療情報システムの安全管理上の スクについて共通の理解を得た上で、 スク管理に関
する合意形成( スクコミ ニケーション)を図ることが求められる。
➢
また、合意した内容を
書や SLA(Service Level Agreement サービス品質保証、サービスレベ 合意
書)等の形で双方の合意文書として
らかにした上で、具体的な
分界を踏まえた運用を行うことが求められ
る。
4.6 医療情報システムにおける認証・認可
証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く存 する。医療情
報システムも
に、利用者や利用範囲を適切に管理することが求められ、そのためにシステム利用等において
証・
可の対策を講じる必要がある。
➢
医療情報システムでは、医療機関等が
として情報システムの利用権限を
めた利用者に対して、設定した
利用範囲内で適切に利用することを保証するために、利用者の 証・ 可を行うことになる。
➢
情報システムの 証では、 証に際しては、利用者を特定するための識別 (I
ることを
など)と、利用者が本人であ
するための符号(パスワードや指紋 証 ータなど)が必要である。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が
められていないものがある。加えて、患
者の医療情報が流出したり、 正に利用されたりした場合には、患者の生命や心身の安全に影響を及ぼす可能
1
厚生労働省標準規格 HS040。なおこれに対応し、一般社団法人日本画像医療システム工業会(JIRA)の工業会規格
(JESRA
Japanese Engineering Standards of Radiological Apparatus)及び一般社団法人保健医療福祉情報システ
ム工業会(JAHIS)の JAHIS 標準として M S/S S のチェック ストが提供されている。最新のものを参照すること。
- 10 -
4.5 リスク評価とリスク管理
➢
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因となる「脅
威」を 識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、システム障害などの環境要
因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
➢
また、これらの脅威によって生じる被害等が発生する可能性がを「 スク」として表される呼ぶ。
➢
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提供が停止する
といった影響が生じることも考えられる。各医療機関等においては、自
にとっての脅威を特定し、その スクを
評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻撃、システム障害などについては、被
害の影響がより大規模となる可能性が高いため、高度な スク評価を踏まえた対策を要するが求められる。
➢
なお、医療情報システムの安全管理上の スク評価、 スク管理を実施するに当たっては、医療情報システム・サ
ービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経済産業省が定めてい
る「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」における「サービス仕
適合開示書」や一般社団法人日本画像医療システム工業会(JIRA)の工業会規格(JESRA
Japanese Engineering Standards of Radiological Apparatus)及び一般社団法人保健医療福祉
情報システム工業会(JAHIS)の JAHIS 標準となっている厚生労働省標準規格となっている「『製造業者/サ
ービス事業者による医療情報
テ 開示書(略称 M S/S S Manufacturer / Service Provider
isclosure Statement for Medical Information Security)』ガイド」で示されているチェック スト1や2
省ガイドラインにおける「サービス仕
適合開示書」等を参考に、当該事業者から情報の提供していただく等により
を受け、当該事業者と医療情報システムの安全管理上の スクについて共通の理解を得た上で、 スク管理に関
する合意形成( スクコミ ニケーション)を図ることが求められる。
➢
また、合意した内容を
書や SLA(Service Level Agreement サービス品質保証、サービスレベ 合意
書)等の形で双方の合意文書として
らかにした上で、具体的な
分界を踏まえた運用を行うことが求められ
る。
4.6 医療情報システムにおける認証・認可
証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く存 する。医療情
報システムも
に、利用者や利用範囲を適切に管理することが求められ、そのためにシステム利用等において
証・
可の対策を講じる必要がある。
➢
医療情報システムでは、医療機関等が
として情報システムの利用権限を
めた利用者に対して、設定した
利用範囲内で適切に利用することを保証するために、利用者の 証・ 可を行うことになる。
➢
情報システムの 証では、 証に際しては、利用者を特定するための識別 (I
ることを
など)と、利用者が本人であ
するための符号(パスワードや指紋 証 ータなど)が必要である。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が
められていないものがある。加えて、患
者の医療情報が流出したり、 正に利用されたりした場合には、患者の生命や心身の安全に影響を及ぼす可能
1
厚生労働省標準規格 HS040。なおこれに対応し、一般社団法人日本画像医療システム工業会(JIRA)の工業会規格
(JESRA
Japanese Engineering Standards of Radiological Apparatus)及び一般社団法人保健医療福祉情報システ
ム工業会(JAHIS)の JAHIS 標準として M S/S S のチェック ストが提供されている。最新のものを参照すること。
- 10 -