よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (21 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
事業者との間での責任分界管理に関する考え方を示す。)
➢ 情報セキュリティ対策に関する統制が適切に機能していることを確認することは、リスク管理方針や情報セキュリティ
対策の見直しの観点からも重要である。そのため、情報セキュリティ対策に関する業務や措置の実行記録や行動
証跡類を確保することも求められる。
3.1.2 医療情報システムにおける統制上の留意点
➢ 医療情報を取り扱う医療情報システムの情報セキュリティを確保するためには、組織全体として適切な統制がなさ
れていることが重要であり、統制の実効性確保に当たっては、医療機関等の規模や組織構成、特性等に応じて
留意すべき点が存在する。例えば、小規模の医療機関等や「個人経営」の医療機関等では、担当する業務ごと
に区分された組織(部署)がなく、組織運営のための計画等がない場合があることも多い。このような場合、情報
セキュリティ対策に係る過度に詳細な計画や規程類を策定したとしても、実効性が伴わず、単に医療機関等の負
担が増大し実効性が伴わないてしまうことにつながるため、リスクがある。こうした規程類の策定に当たっては、医療
機関等の組織や規模等に鑑みてリスク評価を行い、そのうえで必要な内容を定めることが必要である。
また、また、実際の統制が患者等に対する説明や情報セキュリティインシデントが生じた場合の関係者への適切
な報告として必要十分な内容となっているか、システム関連事業者に対する適切な管理を行うために必要十分な
資料等が確保されているか、といった観点など、医療機関等において情報セキュリティ対策に関する説明責任や管
理責任を果たしながら業務を運用できているかどうか可能かも念頭に置きながら、医療機関等の規模や組織構成、
特性等を踏まえた上で実効性のある統制の内容を考える必要がある。実際の統制には、例えば下記の観点も含
まれる。
・患者等への情報セキュリティ対策に関する説明
・インシデントが生じた場合の関係者への報告
・システム関連事業者の管理を行うための資料の確保
➢ 医医療機関等において、情報セキュリティ対策に関する統制の実効性を確保するために、安全管理を直接実行
する医療情報システム安全管理責任者及び企画管理者を設置する必要がある。企画管理者のが把握していな
い、シャドーIT を通じた攻撃を防ぐためにも、セキュリティ委員会や、情報医療情報システム管理委員会等の組織
を設置することで定期的に調達情報等を部門間で共有することが非常に重要である。経営層が企画管理者等の
職務を兼務することは妨げられない。
また、医療情報システム安全管理責任者は、経営層が担うことを想定しているが、企画管理者が医療情報シ
ステム安全管理責任者を兼務することも妨げない。
➢ 医療機関等の組織構成によっては、例えばにおいては、人事権が各部局に帰属し、各部局でそれぞれ情報セキュ
リティ対策に係る組織編成を行っているような組織構成となっている場合がある。一方で、が、情報セキュリティ対策
に関する統制は組織全体の問題であり、組織横断的に実現されることが求められるため、。情報セキュリティ対策
に係る組織編成においては、人事権の帰属先を越えて、組織横断的な実働ができているかどうかに留意が必要で
ある対応を要する。一方でセキュリティに関する統制は、システム管理責任者のみで実現するのではなく、セキュリテ
ィ責任者を各部門に配置するなど、他部門と協力して医療機関等全体のガバナンスを効かせることも重要である。
➢ 情報セキュリティ対策に関する統制は、医療機関等に直接雇用されている職員だけではなく、医療情報システムに
関係するシステム関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も対象に含み、
行われる必要がある。
- 14 -
➢ 情報セキュリティ対策に関する統制が適切に機能していることを確認することは、リスク管理方針や情報セキュリティ
対策の見直しの観点からも重要である。そのため、情報セキュリティ対策に関する業務や措置の実行記録や行動
証跡類を確保することも求められる。
3.1.2 医療情報システムにおける統制上の留意点
➢ 医療情報を取り扱う医療情報システムの情報セキュリティを確保するためには、組織全体として適切な統制がなさ
れていることが重要であり、統制の実効性確保に当たっては、医療機関等の規模や組織構成、特性等に応じて
留意すべき点が存在する。例えば、小規模の医療機関等や「個人経営」の医療機関等では、担当する業務ごと
に区分された組織(部署)がなく、組織運営のための計画等がない場合があることも多い。このような場合、情報
セキュリティ対策に係る過度に詳細な計画や規程類を策定したとしても、実効性が伴わず、単に医療機関等の負
担が増大し実効性が伴わないてしまうことにつながるため、リスクがある。こうした規程類の策定に当たっては、医療
機関等の組織や規模等に鑑みてリスク評価を行い、そのうえで必要な内容を定めることが必要である。
また、また、実際の統制が患者等に対する説明や情報セキュリティインシデントが生じた場合の関係者への適切
な報告として必要十分な内容となっているか、システム関連事業者に対する適切な管理を行うために必要十分な
資料等が確保されているか、といった観点など、医療機関等において情報セキュリティ対策に関する説明責任や管
理責任を果たしながら業務を運用できているかどうか可能かも念頭に置きながら、医療機関等の規模や組織構成、
特性等を踏まえた上で実効性のある統制の内容を考える必要がある。実際の統制には、例えば下記の観点も含
まれる。
・患者等への情報セキュリティ対策に関する説明
・インシデントが生じた場合の関係者への報告
・システム関連事業者の管理を行うための資料の確保
➢ 医医療機関等において、情報セキュリティ対策に関する統制の実効性を確保するために、安全管理を直接実行
する医療情報システム安全管理責任者及び企画管理者を設置する必要がある。企画管理者のが把握していな
い、シャドーIT を通じた攻撃を防ぐためにも、セキュリティ委員会や、情報医療情報システム管理委員会等の組織
を設置することで定期的に調達情報等を部門間で共有することが非常に重要である。経営層が企画管理者等の
職務を兼務することは妨げられない。
また、医療情報システム安全管理責任者は、経営層が担うことを想定しているが、企画管理者が医療情報シ
ステム安全管理責任者を兼務することも妨げない。
➢ 医療機関等の組織構成によっては、例えばにおいては、人事権が各部局に帰属し、各部局でそれぞれ情報セキュ
リティ対策に係る組織編成を行っているような組織構成となっている場合がある。一方で、が、情報セキュリティ対策
に関する統制は組織全体の問題であり、組織横断的に実現されることが求められるため、。情報セキュリティ対策
に係る組織編成においては、人事権の帰属先を越えて、組織横断的な実働ができているかどうかに留意が必要で
ある対応を要する。一方でセキュリティに関する統制は、システム管理責任者のみで実現するのではなく、セキュリテ
ィ責任者を各部門に配置するなど、他部門と協力して医療機関等全体のガバナンスを効かせることも重要である。
➢ 情報セキュリティ対策に関する統制は、医療機関等に直接雇用されている職員だけではなく、医療情報システムに
関係するシステム関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も対象に含み、
行われる必要がある。
- 14 -