よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
➢
「再発防止策を講ずる責任」とは、究明された発生原因に対して、同様の事象が再び発生しないよう必要な防
止策を講じる責任である。医療機関等のみでは具体的な再発防止策の検討が困難な場合もあるため、適宜シ
ステム関連事業者や外部有識者などと連携して進めること。
➢
「再発防止策を講ずる責任」とは、究明された情報セキュリティインシデントの発生原因に対して、同様の事象が
再び発生しないよう必要な防止策を講じる責任である。具体的な再発防止策の検討に際しては、医療機関等
のみでは具体的な再発防止策の検討が困難な容易でない場合もあるため、適宜、システム関連事業者や外部
有識者などと連携して進めることが求められる。
➢
1.3 委託における責任
1.3.1 委託(第三者委託)における責任
➢
医療情報システムの安全管理について、システム関連事業者に委託する場合は、医療機関等には委託先事業
者を監督する責任がある。個人情報保護法第 25 条では、「個人情報取扱事業者は、個人データの取扱いの
全部又は一部を委託する場合1は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受け
た者に対する必要かつ適切な監督を行わなければならない。」と規定されており、具体的内容については、「医療・
介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務
等 7.安全管理措置、従業者の監督及び委託先の監督(法第 23 条~第 25 条)」において示されてい
る。
➢
委託先事業者における医療情報システムの管理も、医療機関等の管理責任に含まれる。
➢
委託先事業者の過失による情報セキュリティインシデントについても医療機関等が責任を免れることはできず、医
療機関等が患者等に対する責任を負うため、適切なシステム関連事業者の選定が求められる。一方で、情報セ
キュリティインシデントが生じた際、具体的な運用や技術的要因などの分析や対応は、契約内容に基づき、委託
先事業者が実施することになる。
1.3.2 委託(第三者委託)における責任分界
➢
契約等の取決めを踏まえて業務等を委託する際には、以下の点に留意しながら、システム関連事業者と認識の
齟齬等が生じないよう協議を行うすることが求められる。
・ 医療機関等が委託先事業者との間で締結する委託契約では、委託する内容や分担する役割を明確にし、
その責任の所在を明確にした上で、契約書等に示す必要がある。特に複数のシステム関連事業者が関係する
場合もあるため、医療機関等が負う責任をきちんと果たせるよう、医療機関等と各システム関連事業者におけ
る責任の内容を整理し、適切に管理する必要があること。
・ 責任分界には、「法律上の責任の範囲を明確にする責任分界」「具体的な運用及び対応の範囲を明確にす
る責任分界」等が想定される。法律上の責任範囲を示す一般的な契約書などでは、具体的な対応の詳細ま
で記述することがなじまない場合があるが、情報セキュリティインシデントが生じた場合のインシデント発生時にお
1
対象事業者がクラウドサービスを提供する事業者であって、当該事業者が個人データを取り扱わないこととなっている場合(契約条項によって当該事業
者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等)には、医療機関等は個人データを「提
供」したことにならず(「個人情報の保護に関する法律についての法ガイドライン」に関する Q&A FAQ A7-53 参照)、個人情報保護法 25 条に基づ
きクラウドサービス事業者を監督する義務はない。一方で、医療機関等は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必
要があ本ガイドラインに従ってクラウドサービス提供事業者を適切に監督する必要があり、クラウドサービス事業者に対して適切な安全管理措置を講ずること
を求める必要がある。
-6-
「再発防止策を講ずる責任」とは、究明された発生原因に対して、同様の事象が再び発生しないよう必要な防
止策を講じる責任である。医療機関等のみでは具体的な再発防止策の検討が困難な場合もあるため、適宜シ
ステム関連事業者や外部有識者などと連携して進めること。
➢
「再発防止策を講ずる責任」とは、究明された情報セキュリティインシデントの発生原因に対して、同様の事象が
再び発生しないよう必要な防止策を講じる責任である。具体的な再発防止策の検討に際しては、医療機関等
のみでは具体的な再発防止策の検討が困難な容易でない場合もあるため、適宜、システム関連事業者や外部
有識者などと連携して進めることが求められる。
➢
1.3 委託における責任
1.3.1 委託(第三者委託)における責任
➢
医療情報システムの安全管理について、システム関連事業者に委託する場合は、医療機関等には委託先事業
者を監督する責任がある。個人情報保護法第 25 条では、「個人情報取扱事業者は、個人データの取扱いの
全部又は一部を委託する場合1は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受け
た者に対する必要かつ適切な監督を行わなければならない。」と規定されており、具体的内容については、「医療・
介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務
等 7.安全管理措置、従業者の監督及び委託先の監督(法第 23 条~第 25 条)」において示されてい
る。
➢
委託先事業者における医療情報システムの管理も、医療機関等の管理責任に含まれる。
➢
委託先事業者の過失による情報セキュリティインシデントについても医療機関等が責任を免れることはできず、医
療機関等が患者等に対する責任を負うため、適切なシステム関連事業者の選定が求められる。一方で、情報セ
キュリティインシデントが生じた際、具体的な運用や技術的要因などの分析や対応は、契約内容に基づき、委託
先事業者が実施することになる。
1.3.2 委託(第三者委託)における責任分界
➢
契約等の取決めを踏まえて業務等を委託する際には、以下の点に留意しながら、システム関連事業者と認識の
齟齬等が生じないよう協議を行うすることが求められる。
・ 医療機関等が委託先事業者との間で締結する委託契約では、委託する内容や分担する役割を明確にし、
その責任の所在を明確にした上で、契約書等に示す必要がある。特に複数のシステム関連事業者が関係する
場合もあるため、医療機関等が負う責任をきちんと果たせるよう、医療機関等と各システム関連事業者におけ
る責任の内容を整理し、適切に管理する必要があること。
・ 責任分界には、「法律上の責任の範囲を明確にする責任分界」「具体的な運用及び対応の範囲を明確にす
る責任分界」等が想定される。法律上の責任範囲を示す一般的な契約書などでは、具体的な対応の詳細ま
で記述することがなじまない場合があるが、情報セキュリティインシデントが生じた場合のインシデント発生時にお
1
対象事業者がクラウドサービスを提供する事業者であって、当該事業者が個人データを取り扱わないこととなっている場合(契約条項によって当該事業
者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等)には、医療機関等は個人データを「提
供」したことにならず(「個人情報の保護に関する法律についての法ガイドライン」に関する Q&A FAQ A7-53 参照)、個人情報保護法 25 条に基づ
きクラウドサービス事業者を監督する義務はない。一方で、医療機関等は、自ら果たすべき安全管理措置の一環として、適切な安全管理措置を講じる必
要があ本ガイドラインに従ってクラウドサービス提供事業者を適切に監督する必要があり、クラウドサービス事業者に対して適切な安全管理措置を講ずること
を求める必要がある。
-6-