よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (58 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
13.医療情報システムの利用者に関する認証等及び権限
【遵守事項】
① リスク評価に基づいて、医療情報システムにおける利用者の認証及びアクセス権限等に関する規程を整備
し、管理すること。
② 医療情報システムで利用する認証方法が安全なものとなるよう、担当者に対して、リスク評価に基づいて適
切な方法を採用することを指示し、その報告を受けること。
③ 医療機関等の内部における利用者については、医療機関等に所属することが前提となるよう管理すること。
所属に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対して、人事等の情報と整合性
をとって利用者の ID 等を付与する等の必要な手順を作成するよう指示すること。
④ 医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じて管理すること。資
格や権限に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対して、利用者が所属する
部署等からの申請を踏まえて権限を付与し、その結果について申請部署の管理者から確認を得る等の必要な
手順を作成するよう指示すること。
⑤ 医療機関等の外部の利用者について、医療情報システムの利用におけるアクセス権限とアクセス状況を管理
すること。利用用途とアクセス範囲、アクセス権限等をリスク評価に基づいて整理した上で、その内容に応じて
ID やアクセス権限を付与すること。この際、管理者権限の付与については細心の注意を払って、最小限の対
象者にのみ付与すること(OS の管理者権限がなければ稼働しないシステムを利用している場合は、次期シス
テム改修時に必ず管理者権限がなくとも稼働するシステムを選定する必要があること)。その具体的な手順に
ついては、担当者に作成を指示すること。
⑥ 医療情報システム等の管理権限や ID の安全管理を行うこと。管理権限の種類とその ID、利用が認められ
ている者等を管理して一覧化し、必要に応じて認証に関する情報の変更等を指示すること。
⑦ 医療情報システムで利用する ID 等についての棚卸を定期的に行い、不要なものは削除すること。棚卸につ
いては、担当者に具体的な手順の策定を指示すること。また、棚卸結果を経営層に報告し、承認を得ること。
⑧ 電子カルテにおける記録の確定に関して、以下の事項を規程等に含めること。
- 入力者及び確定者の識別・認証
- 記録の確定手順、識別情報の記録の保存
- 更新履歴の保存
- 代行入力を実施する場合、代行入力を認める業務、代行が許可される依頼者と実施者
13.1 医療情報システムに共通する利用者に関する認証等及び権限
13.1.1 医療情報システムの利用者
➢
医療情報システムにおける利用者認証に関するルールを策定するに際して際は、企画管理者はまず想定される
利用者について整理する必要がある。
➢
医療情報システムにおける利用者としては、医療情報システムを業務等で利用する医療機関等の内部の職員や、
医療情報システムにおける自身の情報を参照する患者等の医療機関等の外部の関係者が想定される。
➢
そのほか、利用者に付与される ID としては、医療情報システムの管理権限を有する利用者に付与される ID や、
医療情報システムのソフトウェア、医療情報システムに接続する情報機器等において便宜的に利用する ID なども
想定される。
➢
企画管理者は、担当者と協議して、医療情報システムの利用者の種類などを整理し、その利用目的に応じて、
- 47 -
【遵守事項】
① リスク評価に基づいて、医療情報システムにおける利用者の認証及びアクセス権限等に関する規程を整備
し、管理すること。
② 医療情報システムで利用する認証方法が安全なものとなるよう、担当者に対して、リスク評価に基づいて適
切な方法を採用することを指示し、その報告を受けること。
③ 医療機関等の内部における利用者については、医療機関等に所属することが前提となるよう管理すること。
所属に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対して、人事等の情報と整合性
をとって利用者の ID 等を付与する等の必要な手順を作成するよう指示すること。
④ 医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じて管理すること。資
格や権限に関する実態を認証の仕組みにおいて適切に反映できるよう、担当者に対して、利用者が所属する
部署等からの申請を踏まえて権限を付与し、その結果について申請部署の管理者から確認を得る等の必要な
手順を作成するよう指示すること。
⑤ 医療機関等の外部の利用者について、医療情報システムの利用におけるアクセス権限とアクセス状況を管理
すること。利用用途とアクセス範囲、アクセス権限等をリスク評価に基づいて整理した上で、その内容に応じて
ID やアクセス権限を付与すること。この際、管理者権限の付与については細心の注意を払って、最小限の対
象者にのみ付与すること(OS の管理者権限がなければ稼働しないシステムを利用している場合は、次期シス
テム改修時に必ず管理者権限がなくとも稼働するシステムを選定する必要があること)。その具体的な手順に
ついては、担当者に作成を指示すること。
⑥ 医療情報システム等の管理権限や ID の安全管理を行うこと。管理権限の種類とその ID、利用が認められ
ている者等を管理して一覧化し、必要に応じて認証に関する情報の変更等を指示すること。
⑦ 医療情報システムで利用する ID 等についての棚卸を定期的に行い、不要なものは削除すること。棚卸につ
いては、担当者に具体的な手順の策定を指示すること。また、棚卸結果を経営層に報告し、承認を得ること。
⑧ 電子カルテにおける記録の確定に関して、以下の事項を規程等に含めること。
- 入力者及び確定者の識別・認証
- 記録の確定手順、識別情報の記録の保存
- 更新履歴の保存
- 代行入力を実施する場合、代行入力を認める業務、代行が許可される依頼者と実施者
13.1 医療情報システムに共通する利用者に関する認証等及び権限
13.1.1 医療情報システムの利用者
➢
医療情報システムにおける利用者認証に関するルールを策定するに際して際は、企画管理者はまず想定される
利用者について整理する必要がある。
➢
医療情報システムにおける利用者としては、医療情報システムを業務等で利用する医療機関等の内部の職員や、
医療情報システムにおける自身の情報を参照する患者等の医療機関等の外部の関係者が想定される。
➢
そのほか、利用者に付与される ID としては、医療情報システムの管理権限を有する利用者に付与される ID や、
医療情報システムのソフトウェア、医療情報システムに接続する情報機器等において便宜的に利用する ID なども
想定される。
➢
企画管理者は、担当者と協議して、医療情報システムの利用者の種類などを整理し、その利用目的に応じて、
- 47 -