よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (22 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.2 設計
3.2.1 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備
➢ 情報セキュリティ方針は、リスク評価及びリスク管理方針に基づいて策定されるものであり、情報セキュリティ方針に
基づき、医療機関等は医療情報システムに対する情報セキュリティ対策を実装する。
➢ 具体的な情報セキュリティ対策の検討や設計等は、企画管理者やシステム運用担当者が実施するが、経営層に
おいても、情報セキュリティ対策の整備に関する理解は必要である。
➢ 具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用可能な内容
を整備することが求められる。例えば、他の医療機関等で策定された運用管理規程やアクセス管理規程等をその
まま自医療機関等の規程等に転用したとしても、当該機関の運用実態と合致しての不一致によりいない場合、
情報セキュリティ対策の運用ルールが適切に示されていないことになり適切な運用がなされず、かえって却って情報
セキュリティリスクが増大する危険性が生じるリスクおそれがある。また、極端に厳格な内容の規程類を整備しても、
実際の運用が困難である場合には、実質的には死文化してしまうこととなり、有効な対策とはならない可能性があ
る。
➢ また重要インフラとなる医療機関等においては、厚生労働省、医療機関等、サプライチェーンに関わる事業者等の
関係主体を網羅的かつ具体的に記載し、セキュリティ対策に関するそれぞれの役割を明記することが求められる。
その際、経営層の取組についても記載すること。
➢ 規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図ることが求められ、り、実際に運
用可能なものであって、かつ適切な内容が記載されたものを整備する必要があるを記載すること。
3.2.2 情報セキュリティ対策を踏まえた訓練・教育
➢ 規程類が適切に整備されてい、また、必要な情報セキュリティ対策が医療情報システム上で実装されているる場
合でもとしても、その内容が医療情報システムの利用者をはじめ、関係者に認知されておらず、適切な対策が実行
されていなければ、当該規程類が遵守されていないことと同義であり、る。情報セキュリティ対策の水準向上を望む
ことはできない。このような場合、また災害、サイバー攻撃またはシステム障害に起因する等の非常時の対策につい
ても、実際の状況下で事態が発生した際にも適切に実行できない可能性が高い。
➢ このため、整備した規程類及び情報セキュリティ対策については、関係者が認知しし、その上で遵守することができ
るよう、通常時から定期的に教育・訓練することが重要である。この教育・訓練については、医療情報システムに関
係する者全員に対して行うことが重要である。
➢ 教育・訓練は、過度の負担にならない範囲で定期的に実施することが求められる。、医療情報システムを取り巻く
情報セキュリティに関する脅威が日々変化していることも踏まえると、その対策も随時更新されるものであるため、更
新内容に応じた教育・訓練の実施が重要である。
3.3 安全管理対策の管理
3.3.1 安全管理状況の自己点検
➢ 情報セキュリティ対策の実効性を担保するためには、医療情報システムに関する安全管理対策が適切に実施され
ていることを確認し、その結果を把握・分析する必要がある。、具体的には、規程類に基づく医療機関等内の運
用状況のほか、規程類を踏まえた医療情報システム・サービスの機能の実装状況、運用状況、利用者における遵
守状況等を内部で点検することが必要である。
- 15 -
3.2.1 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備
➢ 情報セキュリティ方針は、リスク評価及びリスク管理方針に基づいて策定されるものであり、情報セキュリティ方針に
基づき、医療機関等は医療情報システムに対する情報セキュリティ対策を実装する。
➢ 具体的な情報セキュリティ対策の検討や設計等は、企画管理者やシステム運用担当者が実施するが、経営層に
おいても、情報セキュリティ対策の整備に関する理解は必要である。
➢ 具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用可能な内容
を整備することが求められる。例えば、他の医療機関等で策定された運用管理規程やアクセス管理規程等をその
まま自医療機関等の規程等に転用したとしても、当該機関の運用実態と合致しての不一致によりいない場合、
情報セキュリティ対策の運用ルールが適切に示されていないことになり適切な運用がなされず、かえって却って情報
セキュリティリスクが増大する危険性が生じるリスクおそれがある。また、極端に厳格な内容の規程類を整備しても、
実際の運用が困難である場合には、実質的には死文化してしまうこととなり、有効な対策とはならない可能性があ
る。
➢ また重要インフラとなる医療機関等においては、厚生労働省、医療機関等、サプライチェーンに関わる事業者等の
関係主体を網羅的かつ具体的に記載し、セキュリティ対策に関するそれぞれの役割を明記することが求められる。
その際、経営層の取組についても記載すること。
➢ 規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図ることが求められ、り、実際に運
用可能なものであって、かつ適切な内容が記載されたものを整備する必要があるを記載すること。
3.2.2 情報セキュリティ対策を踏まえた訓練・教育
➢ 規程類が適切に整備されてい、また、必要な情報セキュリティ対策が医療情報システム上で実装されているる場
合でもとしても、その内容が医療情報システムの利用者をはじめ、関係者に認知されておらず、適切な対策が実行
されていなければ、当該規程類が遵守されていないことと同義であり、る。情報セキュリティ対策の水準向上を望む
ことはできない。このような場合、また災害、サイバー攻撃またはシステム障害に起因する等の非常時の対策につい
ても、実際の状況下で事態が発生した際にも適切に実行できない可能性が高い。
➢ このため、整備した規程類及び情報セキュリティ対策については、関係者が認知しし、その上で遵守することができ
るよう、通常時から定期的に教育・訓練することが重要である。この教育・訓練については、医療情報システムに関
係する者全員に対して行うことが重要である。
➢ 教育・訓練は、過度の負担にならない範囲で定期的に実施することが求められる。、医療情報システムを取り巻く
情報セキュリティに関する脅威が日々変化していることも踏まえると、その対策も随時更新されるものであるため、更
新内容に応じた教育・訓練の実施が重要である。
3.3 安全管理対策の管理
3.3.1 安全管理状況の自己点検
➢ 情報セキュリティ対策の実効性を担保するためには、医療情報システムに関する安全管理対策が適切に実施され
ていることを確認し、その結果を把握・分析する必要がある。、具体的には、規程類に基づく医療機関等内の運
用状況のほか、規程類を踏まえた医療情報システム・サービスの機能の実装状況、運用状況、利用者における遵
守状況等を内部で点検することが必要である。
- 15 -