よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (36 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
6.1.2 リスクアセスメント(リスク分析、リスク評価)の役割
➢
リスクアセスメントは、企画管理者と情報システムの技術担当者とで協働して実施することになるが、運用管理上
は、特に取り扱う情報の把握とこれに対するリスク評価を担当者と行うことが求められる。
➢
取り扱う情報の把握は、医療機関等において取り扱う医療情報と、医療情報システムで扱う医療情報及び関連
する情報を全てリストアップし、安全管理上の重要度に応じて分類し、常に最新の状態が維持されていることを確
認することである。そのため、取り扱う情報等に関するリストを作成し、企画管理者が必要に応じて速やかに確認
できる状態で管理することが求められる。近年では、医療情報システムに係る外部委託先や製品供給などとのサ
プライチェーンに関するリスクも大きく、リスク分析の対象とすることが求められる。
➢
安全管理上の重要度は、安全性が損なわれた場合の影響の大きさに応じて決める。少なくとも患者等の視点か
らみた影響の大きさと、業務継続の視点からみた影響の大きさを考慮する必要がある。このほかにも、医療機関
等の経営上の視点、人事管理上の視点等の必要な視点を加えて重要度を分類する。例えば、医療情報の安
全性に問題が生じた場合、患者等に極めて深刻な影響を与える可能性があるため、医療情報は最も重要度の
高い情報として分類される。また、医療情報システムについても、医療サービスの提供継続性への影響の観点から
重要度を判断して分類し、管理状況を把握する必要がある。
➢
リスク評価は、リスクの発現率と影響の大きさから算定することになる。そのため、リスクの影響の大きさに関する判
断は企画管理者が行い、リスクの発現率に関する技術的な判断は担当者と協働して行うことが求められる。
6.2 ISMS(Information Security Management System:情報セキ
ュリティマネジメントシステム)
➢
医療情報システムの情報セキュリティを確保するために、ISMS を構築することが重要である。ISMS は、PDCA モ
デルに基づいて行われる(※)が、運用管理においては、このような PDCA モデルが適切に行われるよう ISMS を
構築し、管理することが求められる。
※ JIS Q27001:2023 では PDCA との記述は使われていないが、「情報セキュリティマネジメントシステム」として
「組織は、この規格の要求事項に従って ISMS を確立し、実施し、維持し、かつ、継続的に改善しなければな
らない。」と記述されている。継続的改善のモデルとして PDCA サイクルが理解しやすいため、旧版(JIS
Q27001:2006)より引用している。
➢
ISMS の構築のために、JIS Q27001:2006 では下表のように PDCA モデルが規定される。運用管理において
は、PDCA モデルを採用し、管理、確認をすることが求められる。
- 25 -
➢
リスクアセスメントは、企画管理者と情報システムの技術担当者とで協働して実施することになるが、運用管理上
は、特に取り扱う情報の把握とこれに対するリスク評価を担当者と行うことが求められる。
➢
取り扱う情報の把握は、医療機関等において取り扱う医療情報と、医療情報システムで扱う医療情報及び関連
する情報を全てリストアップし、安全管理上の重要度に応じて分類し、常に最新の状態が維持されていることを確
認することである。そのため、取り扱う情報等に関するリストを作成し、企画管理者が必要に応じて速やかに確認
できる状態で管理することが求められる。近年では、医療情報システムに係る外部委託先や製品供給などとのサ
プライチェーンに関するリスクも大きく、リスク分析の対象とすることが求められる。
➢
安全管理上の重要度は、安全性が損なわれた場合の影響の大きさに応じて決める。少なくとも患者等の視点か
らみた影響の大きさと、業務継続の視点からみた影響の大きさを考慮する必要がある。このほかにも、医療機関
等の経営上の視点、人事管理上の視点等の必要な視点を加えて重要度を分類する。例えば、医療情報の安
全性に問題が生じた場合、患者等に極めて深刻な影響を与える可能性があるため、医療情報は最も重要度の
高い情報として分類される。また、医療情報システムについても、医療サービスの提供継続性への影響の観点から
重要度を判断して分類し、管理状況を把握する必要がある。
➢
リスク評価は、リスクの発現率と影響の大きさから算定することになる。そのため、リスクの影響の大きさに関する判
断は企画管理者が行い、リスクの発現率に関する技術的な判断は担当者と協働して行うことが求められる。
6.2 ISMS(Information Security Management System:情報セキ
ュリティマネジメントシステム)
➢
医療情報システムの情報セキュリティを確保するために、ISMS を構築することが重要である。ISMS は、PDCA モ
デルに基づいて行われる(※)が、運用管理においては、このような PDCA モデルが適切に行われるよう ISMS を
構築し、管理することが求められる。
※ JIS Q27001:2023 では PDCA との記述は使われていないが、「情報セキュリティマネジメントシステム」として
「組織は、この規格の要求事項に従って ISMS を確立し、実施し、維持し、かつ、継続的に改善しなければな
らない。」と記述されている。継続的改善のモデルとして PDCA サイクルが理解しやすいため、旧版(JIS
Q27001:2006)より引用している。
➢
ISMS の構築のために、JIS Q27001:2006 では下表のように PDCA モデルが規定される。運用管理において
は、PDCA モデルを採用し、管理、確認をすることが求められる。
- 25 -