よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (27 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.安全管理のための体制と責任・権限
【遵守事項】
① 医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確にし、その内
容について経営層の承認を得ること。
①②① 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営に関す
る規程等を策定し、経営層の承認を得ること。委員会等が設置されない場合も、情報システムの導入や変更
に当たっては、経営層や医療情報システム安全管理責任者等の承認を必要とする仕組みを構築すること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を明確に
し、経営層の承認を得ること。
②④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において発生した
情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者(CISO)や CSIRT などの
要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を得ること。
③⑤ 法律上の対応を含め医療情報の漏洩漏えい等が生じた際の必要な体制の構築や手順の策定等の必要
な措置を講じ、その結果を経営層に報告し、承認を得ること。
④⑥ 医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育や訓練
を講じるための体制を整備すること。
⑤⑦ 医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する体制を整
備すること。
⑥⑧ 医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
⑦⑨ 患者等からの相談や苦情への対応を行うための体制を構築すること。
⑧ 医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確にし、その内
容について経営層の承認を得ること。
⑨ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を明確に
し、経営層の承認を得ること。
⑩ ①~⑨までの対応においては、整備した内容を可視化できるようにすること。
3.1 医療情報システムの安全管理体制の構築
3.1.1 医療情報システムの安全管理のための企画管理者の設置
➢
企画管理者とは、医療情報システムの安全管理を行うために必要な運用管理の管理責任者を指す。ここでいう
「運用管理」には、安全管理のうち「組織的な対応」と「技術的な対応」のいずれをも含んだものである。
3.1.25 非常時の体制・CSIRT 等の整備
➢
医療機関等で情報セキュリティインシデントが発生した場合、この非常時対応として、迅速な判断や対応を要す
る。これに対応するための体制整備も必要であり、特にサイバー攻撃を受けた場合には、初動対応等専門的な
対応が可能な体制を要する。企画管理者は、こうした体制の構築について、通常時からその内容について検討し、
必要な措置を講じること。
➢
ここでいう非常時の体制における対応としては、
・影響範囲や損害の特定
・被害拡大防止を図るための初動対応
- 16 -
【遵守事項】
① 医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確にし、その内
容について経営層の承認を得ること。
①②① 情報システム管理委員会等の組織が構成されている場合には、その業務内容、権限等の運営に関す
る規程等を策定し、経営層の承認を得ること。委員会等が設置されない場合も、情報システムの導入や変更
に当たっては、経営層や医療情報システム安全管理責任者等の承認を必要とする仕組みを構築すること。
③ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を明確に
し、経営層の承認を得ること。
②④ 非常時の対応を想定して、安全管理に必要な体制を構築すること。特に医療機関等において発生した
情報セキュリティインシデントに対処するための体制として情報セキュリティ責任者(CISO)や CSIRT などの
要否を検討し、必要な措置を講じ、その結果を経営層に報告し、承認を得ること。
③⑤ 法律上の対応を含め医療情報の漏洩漏えい等が生じた際の必要な体制の構築や手順の策定等の必要
な措置を講じ、その結果を経営層に報告し、承認を得ること。
④⑥ 医療機関等内における医療従事者や職員等に対して、医療情報の安全な取扱いに必要な教育や訓練
を講じるための体制を整備すること。
⑤⑦ 医療情報の取扱いに関して委託等を行う場合には、委託先事業者を含めた安全管理に関する体制を整
備すること。
⑥⑧ 医療情報の取扱いの安全性が確保できるよう、内部検査及び監査等の体制を構築すること。
⑦⑨ 患者等からの相談や苦情への対応を行うための体制を構築すること。
⑧ 医療情報システムの安全管理の責任を担う者としての位置付け、その業務範囲と権限を明確にし、その内
容について経営層の承認を得ること。
⑨ 安全管理に関する技術的な対応を行う担当者を任命し、その業務内容、権限、業務上の義務等を明確に
し、経営層の承認を得ること。
⑩ ①~⑨までの対応においては、整備した内容を可視化できるようにすること。
3.1 医療情報システムの安全管理体制の構築
3.1.1 医療情報システムの安全管理のための企画管理者の設置
➢
企画管理者とは、医療情報システムの安全管理を行うために必要な運用管理の管理責任者を指す。ここでいう
「運用管理」には、安全管理のうち「組織的な対応」と「技術的な対応」のいずれをも含んだものである。
3.1.25 非常時の体制・CSIRT 等の整備
➢
医療機関等で情報セキュリティインシデントが発生した場合、この非常時対応として、迅速な判断や対応を要す
る。これに対応するための体制整備も必要であり、特にサイバー攻撃を受けた場合には、初動対応等専門的な
対応が可能な体制を要する。企画管理者は、こうした体制の構築について、通常時からその内容について検討し、
必要な措置を講じること。
➢
ここでいう非常時の体制における対応としては、
・影響範囲や損害の特定
・被害拡大防止を図るための初動対応
- 16 -