よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (23 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
➢ 当該点検は、医療機関等の各システム運用担当者が自ら行うことが想定される(「自己点検」)。この自己点
検により、医療機関等における医療従事者や職員等が自らの役割に応じて実施すべきた適切な対策事項を実
際に実施しているか否かを確認することができ、る。日常業務における個々の情報セキュリティ対策の妥当性を確
認することですることができるため、組織全体の情報セキュリティ対策の水準の適切性の確認に資することも期待さ
れる。
➢ 経営層においては、企画管理者やシステム運用担当者に定期的に自己点検を実施するよう指示し、その点検結
果を把握した上で、必要に応じて、改善に向けた対応を指示することが重要である。
3.3.2 情報セキュリティ監査
➢ 医療機関等における主な説明責任の1つとして、医療情報システムの運用等が適切に行われていることを患者
等に説明できるようにすることがあげられる。この説明責任を果たすために、医療情報システムの仕様や運用方法
を明確に文書化し、が、情報セキュリティ方針に基づき、いて機能・運用されしているかどうかを定期的に監査し、そ
の結果を文書で整理することが必要である。
➢ 監査は、結果の信頼性という観点から、例えば、企画管理者や医療情報システムの運用担当者から独立した組
織による内部監査や、外部機関による監査など、独立性を有する者により実施される必要があることが望ましい。
➢ 監査の結果で課題や問題点が明らかになった場合は、経営層や情報セキュリティに関する最高責任者においては、
安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示し、必要な対応を講じさせるとと
もに、その対応結果を適切にフォローすることが重要である。
3.4 情報セキュリティインシデントへの対策と対応
3.4.1 事業継続計画(BCP:Business Continuity Plan)の整備と訓練
➢ 情報セキュリティインシデントが発生し、医療情報システムの稼働(可用性)が損なわれるような非常時に備事態
に備えて、通常時から、非常時における医療情報システムの運用に関する対応を整理することが重要である。この
際、し、業務継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロセスを検討した上で、
BCP 等を整備することが求められる。例えば、電子カルテシステムが止まっている間、紙運用で診療業務を継続す
るのか等、経営層はその対応内容について、BCP に応じて判断しなければならない。また、上記の非常時に至る
主な原因としては、災害、サイバー攻撃、システム障害等が想定され、るが、これらの原因の違いに応じたて、適切
な対応をとることが求められる。企画管理編及びシステム運用編では、事象発生原因に応じた必要な対応例につ
いて記載しており、必要に応じて参照すること。
➢ 医療情報システムの情報システム面において、非常時の対応として重要なことは、稼働が損なわれた情報システム
を非常時発生前の状態に適切に復旧できることである。そのためには情報システムやデータ等のバックアップを適切
に確保・保管することが重要である。
➢ また、非常時において、医療情報システムの利用が困難な場合の対応や復旧に至るまでの対応についても、通常
時から明らかにしておく必要がある。例えば、電子カルテシステムが止まっている間、紙運用で診療業務を継続する
のか等、経営層はその対応内容について、BCP に応じて判断しなければならない。
➢ 情報セキュリティインシデントによってり、医療機関等内の医療情報システムの全部又は一部に影響が生じる場合
に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指示するとと
もに、当該復旧手順について、情報システムの更新・改変時等、随時自己点検を行うよう指示した上で、その結
- 16 -
検により、医療機関等における医療従事者や職員等が自らの役割に応じて実施すべきた適切な対策事項を実
際に実施しているか否かを確認することができ、る。日常業務における個々の情報セキュリティ対策の妥当性を確
認することですることができるため、組織全体の情報セキュリティ対策の水準の適切性の確認に資することも期待さ
れる。
➢ 経営層においては、企画管理者やシステム運用担当者に定期的に自己点検を実施するよう指示し、その点検結
果を把握した上で、必要に応じて、改善に向けた対応を指示することが重要である。
3.3.2 情報セキュリティ監査
➢ 医療機関等における主な説明責任の1つとして、医療情報システムの運用等が適切に行われていることを患者
等に説明できるようにすることがあげられる。この説明責任を果たすために、医療情報システムの仕様や運用方法
を明確に文書化し、が、情報セキュリティ方針に基づき、いて機能・運用されしているかどうかを定期的に監査し、そ
の結果を文書で整理することが必要である。
➢ 監査は、結果の信頼性という観点から、例えば、企画管理者や医療情報システムの運用担当者から独立した組
織による内部監査や、外部機関による監査など、独立性を有する者により実施される必要があることが望ましい。
➢ 監査の結果で課題や問題点が明らかになった場合は、経営層や情報セキュリティに関する最高責任者においては、
安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示し、必要な対応を講じさせるとと
もに、その対応結果を適切にフォローすることが重要である。
3.4 情報セキュリティインシデントへの対策と対応
3.4.1 事業継続計画(BCP:Business Continuity Plan)の整備と訓練
➢ 情報セキュリティインシデントが発生し、医療情報システムの稼働(可用性)が損なわれるような非常時に備事態
に備えて、通常時から、非常時における医療情報システムの運用に関する対応を整理することが重要である。この
際、し、業務継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロセスを検討した上で、
BCP 等を整備することが求められる。例えば、電子カルテシステムが止まっている間、紙運用で診療業務を継続す
るのか等、経営層はその対応内容について、BCP に応じて判断しなければならない。また、上記の非常時に至る
主な原因としては、災害、サイバー攻撃、システム障害等が想定され、るが、これらの原因の違いに応じたて、適切
な対応をとることが求められる。企画管理編及びシステム運用編では、事象発生原因に応じた必要な対応例につ
いて記載しており、必要に応じて参照すること。
➢ 医療情報システムの情報システム面において、非常時の対応として重要なことは、稼働が損なわれた情報システム
を非常時発生前の状態に適切に復旧できることである。そのためには情報システムやデータ等のバックアップを適切
に確保・保管することが重要である。
➢ また、非常時において、医療情報システムの利用が困難な場合の対応や復旧に至るまでの対応についても、通常
時から明らかにしておく必要がある。例えば、電子カルテシステムが止まっている間、紙運用で診療業務を継続する
のか等、経営層はその対応内容について、BCP に応じて判断しなければならない。
➢ 情報セキュリティインシデントによってり、医療機関等内の医療情報システムの全部又は一部に影響が生じる場合
に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指示するとと
もに、当該復旧手順について、情報システムの更新・改変時等、随時自己点検を行うよう指示した上で、その結
- 16 -