よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (28 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
5.医療情報システム・サービス事業者との協働
【遵守事項】
①
委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステム関連事業
者を選定するよう指示すること。
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又はこれと同等の規格の認証を受け
ているシステム関連事業者を選定するよう指示すること。
③ 医療機関等で導入する医療情報システムは、システム運用編で求める内容のものを要件を満たすシステムを
選定するよう指示すること。例えば認証に関しては、二要素認証を必要とするシステム等については、に対応す
る事業者システムを選定するよう指示することとが必要となる。
①
②医療機関で導入する医療情報システムは、システム運用編で求める内容のものを選定するよう指示すること。
例えば二要素認証を必要とするシステム等については、対応する事業者を選定するよう指示すること。
②④ 委託契約において、委託業務の内容やシステム関連事業者の体制、システム関連事業者との責任分
界、システム関連事業者における情報の取扱い等、医療機関等が負う医療情報システムの管理に関して、協
働する上で認識の齟齬等が生じないように、適切な契約の締結や管理を行うよう企画管理者に指示すること。
③⑤
委託する先システム関連事業者が、に対して、業務実行体制を明確にし、医療情報の取扱い及び医
療情報システムの管理に関して再委託を行う場合には、事前に医療機関等に情報を提供し、協議・合意形
成を経た上で承認を得ること等を契約の内容に含めるよう、企画管理者に指示すること。
④ システム関連事業者に委託を行う際の責任分界の管理に関する重要性を認識し、医療機関と委託先事業
者との間での責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理するこ
とを、企画管理者やシステム運用担当者に指示すること。
⑥
5.1 事業者選定
5.1.1 事業者選定
➢ 医療機関等が外部委託により提供される情報システム・サービスを活用して、医療情報システムの安全管理を行
うためには、実際に活用適切なする情報システム・サービスが適切なものであることが重要であるを選定することが
求められる。情報システム・サービスの選定に際しては、それらの機能や仕様等が、医療機関等が要求・想定する
内容と合致することが必要であるが、のみならず、併せてそれらの情報セキュリティの観点からも十分な対策が講じら
れていることが求められるの確認が必要である。
➢ システムの情報セキュリティ対策に関する機能や仕様等だけでなく、については、システム関連事業者からの情報提
供などにより、その安全性を確認する必要もあるが、併せてシステム関連事業者自体の評価を行うことも重要であ
る。り、情報セキュリティ対策は情報システム・サービスにおける情報セキュリティ機能等だけではなく、システム関連
事業者の組織としての情報セキュリティマネジメントが適を適切に講じられている必要もあるためである。ていることが
求められる。
➢ 個人情報保護法では委託先の監督が、個人情報取扱事業者の義務とされているが(同法第 25 条)、「個人
情報の保護に関する法律についてのガイドライン」(個人情報保護委員会)同法ガイドラインにおいては、適切な
委託先の選定を行うことがその義務に含まれているとされており、安全管理措置が適切に行われている委託先を
- 21 -
【遵守事項】
①
委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステム関連事業
者を選定するよう指示すること。
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又はこれと同等の規格の認証を受け
ているシステム関連事業者を選定するよう指示すること。
③ 医療機関等で導入する医療情報システムは、システム運用編で求める内容のものを要件を満たすシステムを
選定するよう指示すること。例えば認証に関しては、二要素認証を必要とするシステム等については、に対応す
る事業者システムを選定するよう指示することとが必要となる。
①
②医療機関で導入する医療情報システムは、システム運用編で求める内容のものを選定するよう指示すること。
例えば二要素認証を必要とするシステム等については、対応する事業者を選定するよう指示すること。
②④ 委託契約において、委託業務の内容やシステム関連事業者の体制、システム関連事業者との責任分
界、システム関連事業者における情報の取扱い等、医療機関等が負う医療情報システムの管理に関して、協
働する上で認識の齟齬等が生じないように、適切な契約の締結や管理を行うよう企画管理者に指示すること。
③⑤
委託する先システム関連事業者が、に対して、業務実行体制を明確にし、医療情報の取扱い及び医
療情報システムの管理に関して再委託を行う場合には、事前に医療機関等に情報を提供し、協議・合意形
成を経た上で承認を得ること等を契約の内容に含めるよう、企画管理者に指示すること。
④ システム関連事業者に委託を行う際の責任分界の管理に関する重要性を認識し、医療機関と委託先事業
者との間での責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理するこ
とを、企画管理者やシステム運用担当者に指示すること。
⑥
5.1 事業者選定
5.1.1 事業者選定
➢ 医療機関等が外部委託により提供される情報システム・サービスを活用して、医療情報システムの安全管理を行
うためには、実際に活用適切なする情報システム・サービスが適切なものであることが重要であるを選定することが
求められる。情報システム・サービスの選定に際しては、それらの機能や仕様等が、医療機関等が要求・想定する
内容と合致することが必要であるが、のみならず、併せてそれらの情報セキュリティの観点からも十分な対策が講じら
れていることが求められるの確認が必要である。
➢ システムの情報セキュリティ対策に関する機能や仕様等だけでなく、については、システム関連事業者からの情報提
供などにより、その安全性を確認する必要もあるが、併せてシステム関連事業者自体の評価を行うことも重要であ
る。り、情報セキュリティ対策は情報システム・サービスにおける情報セキュリティ機能等だけではなく、システム関連
事業者の組織としての情報セキュリティマネジメントが適を適切に講じられている必要もあるためである。ていることが
求められる。
➢ 個人情報保護法では委託先の監督が、個人情報取扱事業者の義務とされているが(同法第 25 条)、「個人
情報の保護に関する法律についてのガイドライン」(個人情報保護委員会)同法ガイドラインにおいては、適切な
委託先の選定を行うことがその義務に含まれているとされており、安全管理措置が適切に行われている委託先を
- 21 -