よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (22 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
(3)定期的な見直し、必要な改善を行う責任
医療機関等において定期的な見直しを実施し、必要な改善を行う責任は、基本的には医療機関等が自ら負う
➢
ものである。ただし、医療情報システム・サービスを委託している場合には、委託先事業者から、適宜、情報提供
や提案等を求め、医療機関等における見直しの参考とすることなどが想定される。
また、サイバーセキュリティ対策の観点から、委託先事業者に対して、委託している医療情報システム・サービスに
➢
関して、自発的な見直し対応を求めることも想定される。企画管理者は、委託先事業者に対して、委託している
サービスの特徴に応じて、必要であれば自発的な対策の見直しを求める項目などを、SLA 等に含めるなどの対応
を行うことが求められる。
2.1.3 非常時における責任
医療機関が負う非常時における責任としては、
➢
・情報セキュリティインシデントの原因・対策等に関する説明責任
・善後策を講ずる責任
が挙げられる。
(1)情報セキュリティインシデントの原因・対策等に関する説明責任
医療情報に関して、例えばサイバー攻撃などで、医療情報が破壊されたり、漏洩漏えいしたりした場合には、対策
➢
を講じるために、原因を特定し、その上で対策の検討、それらに関する対外的説明などを行う必要がある。
対外的な説明に関しても、専門的な見地からの対応が求められることもあるため、医療機関等とシステム関連事
➢
業者との間での分担等の取決めを行うことが求められる。
➢
企画管理者は、対外的説明の範囲や内容などをあらかじめシステム関連事業者と取り決めておく必要がある。
(2)善後策を講ずる責任
➢
医療機関等が果たすべき善後策を講ずる責任の中には、「情報セキュリティインシデントの原因を究明する責任」、
「再発防止策を講ずる責任」がある。
➢
医療情報システム・サービスを委託している場合には、情報セキュリティインシデントの原因が直ちに判明しない場
合が想定されることから、医療機関等と委託先事業者とで協力して対応する必要があり、これらの責任分界につ
いても医療機関等と委託先事業者とであらかじめ取り決めておく必要がある。具体的には、情報セキュリティインシ
デント発生後から収束に至るまでの期間の対応における分担や協力の内容に関して、あらかじめ委託先事業者と
取り決めておくことで、的確かつ迅速な原因究明が可能となるとともに、究明された原因に応じた再発防止策を講
じる際の分担や協力についても取り決めておくことで、情報セキュリティインシデントの発生後、システム関連事業者
への医療情報システム・サービスの委託を継続する場合に、再発防止策を含むインシデントを踏まえた委託内容
の更新を的確かつ迅速に行うことが可能となる。
➢
以上のとおり、企画管理者はこれらの責任を適切に果たすことができるよう、システム関連事業者との間での役割
分担を含む責任分界を定める必要がある。
2.1.4 リスク分析を踏まえた要求仕様適合性の確認への対応
➢
医療機関等とシステム関連事業者との間で、役割分担、当該事業者が受容したリスクの内容等について合意形
成を図るため、医療情報システムについて、医療機関等におけるリスクアセスメントを踏まえた医療機関等の要求
仕様への適合性を確認する必要がある。
- 11 -
医療機関等において定期的な見直しを実施し、必要な改善を行う責任は、基本的には医療機関等が自ら負う
➢
ものである。ただし、医療情報システム・サービスを委託している場合には、委託先事業者から、適宜、情報提供
や提案等を求め、医療機関等における見直しの参考とすることなどが想定される。
また、サイバーセキュリティ対策の観点から、委託先事業者に対して、委託している医療情報システム・サービスに
➢
関して、自発的な見直し対応を求めることも想定される。企画管理者は、委託先事業者に対して、委託している
サービスの特徴に応じて、必要であれば自発的な対策の見直しを求める項目などを、SLA 等に含めるなどの対応
を行うことが求められる。
2.1.3 非常時における責任
医療機関が負う非常時における責任としては、
➢
・情報セキュリティインシデントの原因・対策等に関する説明責任
・善後策を講ずる責任
が挙げられる。
(1)情報セキュリティインシデントの原因・対策等に関する説明責任
医療情報に関して、例えばサイバー攻撃などで、医療情報が破壊されたり、漏洩漏えいしたりした場合には、対策
➢
を講じるために、原因を特定し、その上で対策の検討、それらに関する対外的説明などを行う必要がある。
対外的な説明に関しても、専門的な見地からの対応が求められることもあるため、医療機関等とシステム関連事
➢
業者との間での分担等の取決めを行うことが求められる。
➢
企画管理者は、対外的説明の範囲や内容などをあらかじめシステム関連事業者と取り決めておく必要がある。
(2)善後策を講ずる責任
➢
医療機関等が果たすべき善後策を講ずる責任の中には、「情報セキュリティインシデントの原因を究明する責任」、
「再発防止策を講ずる責任」がある。
➢
医療情報システム・サービスを委託している場合には、情報セキュリティインシデントの原因が直ちに判明しない場
合が想定されることから、医療機関等と委託先事業者とで協力して対応する必要があり、これらの責任分界につ
いても医療機関等と委託先事業者とであらかじめ取り決めておく必要がある。具体的には、情報セキュリティインシ
デント発生後から収束に至るまでの期間の対応における分担や協力の内容に関して、あらかじめ委託先事業者と
取り決めておくことで、的確かつ迅速な原因究明が可能となるとともに、究明された原因に応じた再発防止策を講
じる際の分担や協力についても取り決めておくことで、情報セキュリティインシデントの発生後、システム関連事業者
への医療情報システム・サービスの委託を継続する場合に、再発防止策を含むインシデントを踏まえた委託内容
の更新を的確かつ迅速に行うことが可能となる。
➢
以上のとおり、企画管理者はこれらの責任を適切に果たすことができるよう、システム関連事業者との間での役割
分担を含む責任分界を定める必要がある。
2.1.4 リスク分析を踏まえた要求仕様適合性の確認への対応
➢
医療機関等とシステム関連事業者との間で、役割分担、当該事業者が受容したリスクの内容等について合意形
成を図るため、医療情報システムについて、医療機関等におけるリスクアセスメントを踏まえた医療機関等の要求
仕様への適合性を確認する必要がある。
- 11 -