よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (16 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2.リスク評価を踏まえた管理
【遵守事項】
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を策定し、リスク管理方針(リスクの回避・
低減・移転・受容)を決定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理、対策として求められる体制、並びにルール等について、
の企画、整備、及び管理をについて、企画管理者に指示すること。
③ 経営層の方針及びリスク分析を踏まえ、具体的にシステム面からの最適なリスク管理措置を検討し、実装、
運用するようするよう、企画管理者に指示すること。
④
リスク評価を踏まえ、医療情報の重要性、及び医療の継続性、並びに経営資源の投入及び、リスク管理
対策の実施の継続可能性等にを鑑みて、リスク管理方針を決定すること。
④
⑤ リスク評価結果及びリスク管理方針に関する説明責任を果たすこと。
⑤
⑥ リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資産のセキュリ
ティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。
⑥
⑦ 医療機関等のリスク管理方針に基づき、システム関連事業者による適切なリスク管理を実施し、医療機関
等の要求仕様への適合性を確認し、管理すること。
2.1 医療情報システムにおけるリスク評価の実施
➢
医療情報システムは機微性の高い個人情報を取り扱い、かつ、効率的かつ正確に医療を提供するためにも有用
であるので、リスクを回避・低減するためには高度な水準の安全管理対策が求められる。
➢
リスク分析・評価は、医療機関等が医療情報システムを利用する上でのリスク管理の方針を決める基礎となるほ
か、医療機関等の特性や事情を加味して、実施可能な対策を選定するための資料にもなる。
➢
医療機関等が医療情報システムに関する各リスクに対してどのようなリスク管理方針(リスクの回避・低減・移転・
受容)を決定し、対策を講じるのかの判断を行う際には、
・医療機関等に求められる医療の提供を維持・継続等するために、どの程度の経営資源を投入し、どのような
対策を講じるか、
・各リスクに対して、選定したリスク管理方針に基づき、残存するリスクにどのような対策を講じるか(例えば、稼
働率を 100%に限りなく近づけることが困難な厳しい医療情報システムの場合には、一部紙媒体等での代替
方策で診療等を継続できるようにする等)
を判断することが求められる。
➢
リスク管理方針を検討するに際し、情報セキュリティの3要素である「機密性(Confidentiality)」、「完全性
(Integrity)」、「可用性(Availability)」のバランスを考慮することも重要である。
➢
企画管理者に、リスク分析を踏まえてリスク管理が必要な場面の整理や、対策を進める体制やルール等の整備、
-9-
【遵守事項】
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を策定し、リスク管理方針(リスクの回避・
低減・移転・受容)を決定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理、対策として求められる体制、並びにルール等について、
の企画、整備、及び管理をについて、企画管理者に指示すること。
③ 経営層の方針及びリスク分析を踏まえ、具体的にシステム面からの最適なリスク管理措置を検討し、実装、
運用するようするよう、企画管理者に指示すること。
④
リスク評価を踏まえ、医療情報の重要性、及び医療の継続性、並びに経営資源の投入及び、リスク管理
対策の実施の継続可能性等にを鑑みて、リスク管理方針を決定すること。
④
⑤ リスク評価結果及びリスク管理方針に関する説明責任を果たすこと。
⑤
⑥ リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資産のセキュリ
ティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。
⑥
⑦ 医療機関等のリスク管理方針に基づき、システム関連事業者による適切なリスク管理を実施し、医療機関
等の要求仕様への適合性を確認し、管理すること。
2.1 医療情報システムにおけるリスク評価の実施
➢
医療情報システムは機微性の高い個人情報を取り扱い、かつ、効率的かつ正確に医療を提供するためにも有用
であるので、リスクを回避・低減するためには高度な水準の安全管理対策が求められる。
➢
リスク分析・評価は、医療機関等が医療情報システムを利用する上でのリスク管理の方針を決める基礎となるほ
か、医療機関等の特性や事情を加味して、実施可能な対策を選定するための資料にもなる。
➢
医療機関等が医療情報システムに関する各リスクに対してどのようなリスク管理方針(リスクの回避・低減・移転・
受容)を決定し、対策を講じるのかの判断を行う際には、
・医療機関等に求められる医療の提供を維持・継続等するために、どの程度の経営資源を投入し、どのような
対策を講じるか、
・各リスクに対して、選定したリスク管理方針に基づき、残存するリスクにどのような対策を講じるか(例えば、稼
働率を 100%に限りなく近づけることが困難な厳しい医療情報システムの場合には、一部紙媒体等での代替
方策で診療等を継続できるようにする等)
を判断することが求められる。
➢
リスク管理方針を検討するに際し、情報セキュリティの3要素である「機密性(Confidentiality)」、「完全性
(Integrity)」、「可用性(Availability)」のバランスを考慮することも重要である。
➢
企画管理者に、リスク分析を踏まえてリスク管理が必要な場面の整理や、対策を進める体制やルール等の整備、
-9-