よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (35 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.リスクマネジメント(リスク管理)
【遵守事項】
① 医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を経営層に報告する
こと。また、リスクマネジメントに不備がある場合には、改善策を検討して必要な措置を講じること。
② 医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、常に最新の状態で管理する
こと。
③ 医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて速やかに確認で
きる状態で管理すること。
④ 安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連する情報の安
全管理上の重要度を分類すること。
⑤ ②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
⑥ リスク評価を踏まえ、経営層がリスク判断をする際に必要な資料を整理すること。
⑦ リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が説明責任を果
たすために必要な対応を行うこと。
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて安全管理対策を講じること。
⑨ PDCA(Plan-Do-Check-Act) モ デ ル に 基 づ く ISMS(Information Security Management
System:情報セキュリティマネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されて
いることを確認し、経営層にその状況を報告すること。
⑩ PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策を講じ、経営
層に報告し、承認を得ること。
6.1 運用管理におけるリスクマネジメント
6.1.1 リスクマネジメントの役割
➢
医療情報システムにおける情報セキュリティ対策を講じるにあたっては、組織としてのマネジメントが必要なため、運
用管理としてリスクマネジメントを適切に行うことが求められる。
➢
リスクマネジメントとしては、リスク分析とリスク評価、そしてこれらを踏まえたリスク管理を行う必要があるところ、運用
管理において、この一連のリスクマネジメントサイクルが適切に行われるよう管理を行うことが求められる。
➢
リスク分析とリスク評価については、医療機関等における情報資産の状況などを把握しながら、医療機関等で利
用する医療情報システム・サービスを踏まえて行うことから、情報システムの技術担当者などとも協働して行うことに
なる。その上で、リスクに対する判断は最終的には経営層に委ねられることになるが、運用管理上は、企画管理
者において経営層による判断に必要な資料の整理などを行うことが求められる。
➢
サイバー攻撃など日々新しい形態の脅威が発生することから、医療情報システムにおけるリスク分析やリスク評価
なども定期的に行うことが求められ、これら一連のマネジメントサイクルが適切に実施されるよう管理することが運用
管理において求められる。
➢
企画管理者は、経営層に対して、医療機関等内でリスクマネジメントが適切に実施されているかどうかを報告し、
不備があれば改善策を講じることも求められる。
- 24 -
【遵守事項】
① 医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を経営層に報告する
こと。また、リスクマネジメントに不備がある場合には、改善策を検討して必要な措置を講じること。
② 医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、常に最新の状態で管理する
こと。
③ 医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて速やかに確認で
きる状態で管理すること。
④ 安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連する情報の安
全管理上の重要度を分類すること。
⑤ ②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
⑥ リスク評価を踏まえ、経営層がリスク判断をする際に必要な資料を整理すること。
⑦ リスク評価の結果、リスク管理の方針に関する説明責任に関する資料等を整理し、経営層が説明責任を果
たすために必要な対応を行うこと。
⑧ リスク評価の結果を経営層に報告し、承認を得ること。また承認を踏まえて安全管理対策を講じること。
⑨ PDCA(Plan-Do-Check-Act) モ デ ル に 基 づ く ISMS(Information Security Management
System:情報セキュリティマネジメントシステム)を構築し、管理すること。また、ISMS が適切に実施されて
いることを確認し、経営層にその状況を報告すること。
⑩ PDCA モデルの実施において不備等が認められる場合には、その原因を確認した上で改善策を講じ、経営
層に報告し、承認を得ること。
6.1 運用管理におけるリスクマネジメント
6.1.1 リスクマネジメントの役割
➢
医療情報システムにおける情報セキュリティ対策を講じるにあたっては、組織としてのマネジメントが必要なため、運
用管理としてリスクマネジメントを適切に行うことが求められる。
➢
リスクマネジメントとしては、リスク分析とリスク評価、そしてこれらを踏まえたリスク管理を行う必要があるところ、運用
管理において、この一連のリスクマネジメントサイクルが適切に行われるよう管理を行うことが求められる。
➢
リスク分析とリスク評価については、医療機関等における情報資産の状況などを把握しながら、医療機関等で利
用する医療情報システム・サービスを踏まえて行うことから、情報システムの技術担当者などとも協働して行うことに
なる。その上で、リスクに対する判断は最終的には経営層に委ねられることになるが、運用管理上は、企画管理
者において経営層による判断に必要な資料の整理などを行うことが求められる。
➢
サイバー攻撃など日々新しい形態の脅威が発生することから、医療情報システムにおけるリスク分析やリスク評価
なども定期的に行うことが求められ、これら一連のマネジメントサイクルが適切に実施されるよう管理することが運用
管理において求められる。
➢
企画管理者は、経営層に対して、医療機関等内でリスクマネジメントが適切に実施されているかどうかを報告し、
不備があれば改善策を講じることも求められる。
- 24 -