よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (29 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
選定することとされている(「個人情報の保護に関する法律についてのガイドライン(個人情報保護法ガイドライン
通則編)」P553)。また、医療情報を医療機関等の外部に委託して保存する場合には、「診療録等の保存を
行う場所について」(平成 14 年3月 29 日付け医政発第 0329003 号・保発第 0329001 号厚生労働省
医政局長、保険局長連名通知。平成 25 年3月 25 日最終改正。)により、本ガイドライン及び「医療情報を
取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(総務省・経済産業省)」を遵守
しているシステム関連事業者であることが必要とされている。
5.1.2 事業者選定の基準
➢ 外部委託においては、医療情報の取扱いに関する内容が含まれることから、委託先事業者においても、個人情報
保護等に関する対応の安全性が確保されていることが求められる。
➢ 個人情報保護に関しては「JIS Q 15001 個人情報保護マネジメントシステム」(P プライバシーマーク制度と呼
ばれる)があり、情報の安全管理に関しては「JIS Q 27001 情報セキュリティマネジメントシステム」(ISMS と
呼ばれる)などの規格の認証により、システム関連事業者における情報管理等の安全性を確認することができる。
4
➢ 医療情報の取扱いに関する委託先事業者を選定する際には、これらの認証を取得しているシステム関連事業者
から選定することが求められる。委託する内容に応じて、適宜、第三者認証などを活用して、システム関連事業者
に対する信頼性を確認した上で選定することがも望ましい。
➢ システム運用編においては、物理的安全管理、技術的安全管理の観点から求められる対策が示されており、医
療機関等では、これらの対応を行うために、システムやサービスの選定を行うことになる。例えば二要素認証に対応
したシステムは、原則、令和 9 年度時点で対応したものを選定することとしている。経営層においても、これらの趣
旨を理解し、適切に事業者選定を行うことを指示することが求められる。
➢ システム運用編においては、物理的安全管理、技術的安全管理の観点から求められる対策が示されており、医
療機関等では、これらの対応を行うために、システムやサービスの選定を行うことになる。例えば二要素認証に対応
したシステムは、原則、令和 9 年度時点で対応したものを選定することとしている。経営層においても、これらの趣
旨を理解し、適切に事業者選定を行うことを指示することが求められる。
➢ パスワードの使い回しや推測が容易なパスワードの設定が、内部での不正利用やサイバー攻撃による被害の主要
な要因のひとつとなっている。これらのリスクを最小限とするため、パスワードに加えて別の要素を組み合わせる二要
素認証を採用に可能な限り迅速に対応すること。
5.2 事業者管理
5.2.1 契約管理
➢ 外部委託先事業者との契約においては、委託業務の内容や責任分界、委託先事業者の体制、委託先事業者
との責任分界などについて示すほか、委託先、事業者における医療情報の取扱いの状況を把握できを明確にする
ことが重要である。委託先事業者の個人情報の取扱いに関する遵守義務や、委託先事業者の業務に従事する
4
特に、プライバシーマーク認定を取得している事業者であることが望ましい。また ISMS 認証については、情報システム管理が適正
になされていることを認証するものであり、安全対策の有効性までを認証するものではないことに留意する必要がある。そのため、
ISMS 認証のみを取得している事業者については、事業者における具体的な管理方法の説明等、有効性を示す資料の提供を求めること
が望ましい。
- 22 -
通則編)」P553)。また、医療情報を医療機関等の外部に委託して保存する場合には、「診療録等の保存を
行う場所について」(平成 14 年3月 29 日付け医政発第 0329003 号・保発第 0329001 号厚生労働省
医政局長、保険局長連名通知。平成 25 年3月 25 日最終改正。)により、本ガイドライン及び「医療情報を
取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(総務省・経済産業省)」を遵守
しているシステム関連事業者であることが必要とされている。
5.1.2 事業者選定の基準
➢ 外部委託においては、医療情報の取扱いに関する内容が含まれることから、委託先事業者においても、個人情報
保護等に関する対応の安全性が確保されていることが求められる。
➢ 個人情報保護に関しては「JIS Q 15001 個人情報保護マネジメントシステム」(P プライバシーマーク制度と呼
ばれる)があり、情報の安全管理に関しては「JIS Q 27001 情報セキュリティマネジメントシステム」(ISMS と
呼ばれる)などの規格の認証により、システム関連事業者における情報管理等の安全性を確認することができる。
4
➢ 医療情報の取扱いに関する委託先事業者を選定する際には、これらの認証を取得しているシステム関連事業者
から選定することが求められる。委託する内容に応じて、適宜、第三者認証などを活用して、システム関連事業者
に対する信頼性を確認した上で選定することがも望ましい。
➢ システム運用編においては、物理的安全管理、技術的安全管理の観点から求められる対策が示されており、医
療機関等では、これらの対応を行うために、システムやサービスの選定を行うことになる。例えば二要素認証に対応
したシステムは、原則、令和 9 年度時点で対応したものを選定することとしている。経営層においても、これらの趣
旨を理解し、適切に事業者選定を行うことを指示することが求められる。
➢ システム運用編においては、物理的安全管理、技術的安全管理の観点から求められる対策が示されており、医
療機関等では、これらの対応を行うために、システムやサービスの選定を行うことになる。例えば二要素認証に対応
したシステムは、原則、令和 9 年度時点で対応したものを選定することとしている。経営層においても、これらの趣
旨を理解し、適切に事業者選定を行うことを指示することが求められる。
➢ パスワードの使い回しや推測が容易なパスワードの設定が、内部での不正利用やサイバー攻撃による被害の主要
な要因のひとつとなっている。これらのリスクを最小限とするため、パスワードに加えて別の要素を組み合わせる二要
素認証を採用に可能な限り迅速に対応すること。
5.2 事業者管理
5.2.1 契約管理
➢ 外部委託先事業者との契約においては、委託業務の内容や責任分界、委託先事業者の体制、委託先事業者
との責任分界などについて示すほか、委託先、事業者における医療情報の取扱いの状況を把握できを明確にする
ことが重要である。委託先事業者の個人情報の取扱いに関する遵守義務や、委託先事業者の業務に従事する
4
特に、プライバシーマーク認定を取得している事業者であることが望ましい。また ISMS 認証については、情報システム管理が適正
になされていることを認証するものであり、安全対策の有効性までを認証するものではないことに留意する必要がある。そのため、
ISMS 認証のみを取得している事業者については、事業者における具体的な管理方法の説明等、有効性を示す資料の提供を求めること
が望ましい。
- 22 -