よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (38 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
7.安全管理のための人的管理
(職員管理、事業者管理、教育・訓練、事業者選定・契約)
【遵守事項】
① 医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守秘・非開示に
関する条項を含める等の安全管理対策を実施すること。
② 個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、教育・訓練の
実施状況について定期的に経営層に報告すること。
③ 医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示に関す
る内容を含めること。
④ ③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めること。
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委
託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督可能とするため、外部保存の委託先事業者及びその管理者、電
子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナルティを契約書等
で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者にも本ガイド
ラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管
理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等して遵守状況を確
認すること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況を示した
資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管
理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認することなどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させないこ
と。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同じ。)を
外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルールについて定めること。外部
保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適切な権限を設定させ、情報漏洩
漏えいや、誤った情報閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしま
う等)が起こらないよう求めること。
- 保存された情報を格納する情報機器等の管理または運用主体がに対し、国内法のが適用されかつその及び
執行のが及ぶ範囲にあることを確実にすること。
⑥ 外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b
医療情報等の安全管理に係る実施体制の整備状況
c
マルウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状況
d
実績等に基づく個人データ安全管理に関する信用度
e
財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又は ISMS 認証の取得
g
プライバシーマーク認定、ISMS 認証のいずれも取得していない場合は、「政府情報システムにおけるクラウド
- 27 -
(職員管理、事業者管理、教育・訓練、事業者選定・契約)
【遵守事項】
① 医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守秘・非開示に
関する条項を含める等の安全管理対策を実施すること。
② 個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、教育・訓練の
実施状況について定期的に経営層に報告すること。
③ 医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示に関す
る内容を含めること。
④ ③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めること。
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委
託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督可能とするため、外部保存の委託先事業者及びその管理者、電
子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナルティを契約書等
で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者にも本ガイド
ラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管
理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等して遵守状況を確
認すること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況を示した
資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管
理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認することなどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させないこ
と。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同じ。)を
外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルールについて定めること。外部
保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適切な権限を設定させ、情報漏洩
漏えいや、誤った情報閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしま
う等)が起こらないよう求めること。
- 保存された情報を格納する情報機器等の管理または運用主体がに対し、国内法のが適用されかつその及び
執行のが及ぶ範囲にあることを確実にすること。
⑥ 外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b
医療情報等の安全管理に係る実施体制の整備状況
c
マルウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状況
d
実績等に基づく個人データ安全管理に関する信用度
e
財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又は ISMS 認証の取得
g
プライバシーマーク認定、ISMS 認証のいずれも取得していない場合は、「政府情報システムにおけるクラウド
- 27 -