よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (40 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ことで、企画管理者は人的管理を行うことができる。なお、この場合、直接雇用する職員だけではなく、派遣雇用
の者も対象となる。
➢
守秘義務については、就業時はもちろん、退職後においても遵守される必要がある。そのため、医療機関等の職
員に対して退職後を含めて医療情報に関する守秘義務を課すことが求められる。
7.2 委託先事業者管理
➢
医療情報システム等を委託する場合には、委託先事業者である法人としての事業者だけではなく、実際にその業
務にあたる者に対して、医療機関等の職員と同様の責任や守秘義務を課すことで、医療機関等としての人的管
理を実現する必要がある。
➢
企画管理者は、委託先事業者との契約に際して、委託先事業者と当該事業者で業務にあたる者との雇用契
約等において、守秘義務等を含んでいることを確認し、委託先事業者において人的管理が適切に行われることを
確認する必要がある。
7.3 教育・訓練
➢
医療機関等の職員が医療情報の安全管理に関して遵守すべき内容を十分理解できるよう、教育を行うことが
求められる。また、非常時などでも適切に行動できるよう、通常時における訓練の実施も求められる。
➢
企画管理者は、職員に対する教育・訓練を定期的に行うことが必要である。また、就業時間内に実施すること。
また教育に関しては、就業時においても実施することが求められる。
➢
教育の内容のうち、医療情報システムの利用に関連する教育内容については、企画管理者は、システムの担当
者と協議の上、必要な事項を整理することが求められる。特に、近年、医療機関等におけるサイバー攻撃被害に
より、地域医療の安全性を脅かす事案も発生していることから、公表されている各種資料を参考に、サイバー攻
撃への対策や対応について、職員への教育・育成を実施する必要があること。
➢
特に医療情報システムの安全管理やセキュリティ対策業務に従事する人材に対し、独立行政法人情報処理推
進機構(IPA)の実施する「情報処理安全確保支援士」、「情報セキュリティマネジメント試験」等の資格8取得
9
、演習・訓練への参加等を推進することが望ましい。。
➢
7.4 委託先事業者選定
➢
適切な委託先事業者の選定は、個人情報保護法における委託先の監督(第 25 条)の一環として必要であ
るほか、医療情報を医療機関の外部に保存する場合に、「外部保存通知」(第2 1(2))にあるとおり安全
が確保された場所に保存する観点からも必要である。
➢
医療機関等が外部のシステム関連事業者との契約に基づいて、当該事業者に委託し安全を確保した場所に医
療情報を外部保存する場合には、データセンター等の情報処理の委託先事業者が総務省・経済産業省の定め
た「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の要求事項を満た
していることを確認し、契約等においてもそれらを遵守することを明確に定めなくてはならないること。
➢
8
企画管理者は、このような観点から、委託先事業者の選定を法令等の要求に基づいて適切に行う必要があるほ
資格については情報処理安全確保支援士以外にも、独立行政法人情報処理推進機構による情報処理技術者資格等や民間事業
者が認定する医療情報の取扱いに関する資格が含まれる。
9
資格については情報処理安全確保支援士以外にも、独立行政法人情報処理推進機構による情報処理技術者資格等や民間事業
者が認定する医療情報の取扱いに関する資格が含まれる。
- 29 -
の者も対象となる。
➢
守秘義務については、就業時はもちろん、退職後においても遵守される必要がある。そのため、医療機関等の職
員に対して退職後を含めて医療情報に関する守秘義務を課すことが求められる。
7.2 委託先事業者管理
➢
医療情報システム等を委託する場合には、委託先事業者である法人としての事業者だけではなく、実際にその業
務にあたる者に対して、医療機関等の職員と同様の責任や守秘義務を課すことで、医療機関等としての人的管
理を実現する必要がある。
➢
企画管理者は、委託先事業者との契約に際して、委託先事業者と当該事業者で業務にあたる者との雇用契
約等において、守秘義務等を含んでいることを確認し、委託先事業者において人的管理が適切に行われることを
確認する必要がある。
7.3 教育・訓練
➢
医療機関等の職員が医療情報の安全管理に関して遵守すべき内容を十分理解できるよう、教育を行うことが
求められる。また、非常時などでも適切に行動できるよう、通常時における訓練の実施も求められる。
➢
企画管理者は、職員に対する教育・訓練を定期的に行うことが必要である。また、就業時間内に実施すること。
また教育に関しては、就業時においても実施することが求められる。
➢
教育の内容のうち、医療情報システムの利用に関連する教育内容については、企画管理者は、システムの担当
者と協議の上、必要な事項を整理することが求められる。特に、近年、医療機関等におけるサイバー攻撃被害に
より、地域医療の安全性を脅かす事案も発生していることから、公表されている各種資料を参考に、サイバー攻
撃への対策や対応について、職員への教育・育成を実施する必要があること。
➢
特に医療情報システムの安全管理やセキュリティ対策業務に従事する人材に対し、独立行政法人情報処理推
進機構(IPA)の実施する「情報処理安全確保支援士」、「情報セキュリティマネジメント試験」等の資格8取得
9
、演習・訓練への参加等を推進することが望ましい。。
➢
7.4 委託先事業者選定
➢
適切な委託先事業者の選定は、個人情報保護法における委託先の監督(第 25 条)の一環として必要であ
るほか、医療情報を医療機関の外部に保存する場合に、「外部保存通知」(第2 1(2))にあるとおり安全
が確保された場所に保存する観点からも必要である。
➢
医療機関等が外部のシステム関連事業者との契約に基づいて、当該事業者に委託し安全を確保した場所に医
療情報を外部保存する場合には、データセンター等の情報処理の委託先事業者が総務省・経済産業省の定め
た「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の要求事項を満た
していることを確認し、契約等においてもそれらを遵守することを明確に定めなくてはならないること。
➢
8
企画管理者は、このような観点から、委託先事業者の選定を法令等の要求に基づいて適切に行う必要があるほ
資格については情報処理安全確保支援士以外にも、独立行政法人情報処理推進機構による情報処理技術者資格等や民間事業
者が認定する医療情報の取扱いに関する資格が含まれる。
9
資格については情報処理安全確保支援士以外にも、独立行政法人情報処理推進機構による情報処理技術者資格等や民間事業
者が認定する医療情報の取扱いに関する資格が含まれる。
- 29 -