よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (68 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
15.技術的な安全管理対策の管理
【遵守事項】
① 物理的安全管理対策のうち医療情報及び医療情報システムを保管する場所の選定について、リスク評価
を踏まえて、担当者と検討すること。またその結果を経営層に報告の上、承認を得ること。医療情報システムに
関する整備計画等を策定している場合には、これと整合性をとって選定すること。
② 個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退室管理(施錠、
識別、記録)を行うよう、管理内容を含む規程等を策定すること。
③ 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な保管及び取扱いを
行うよう関係者に周知徹底するとともに、教育を実施すること。また、保管及び取扱いに関する作業履歴を残
すこと。
④ 医療情報システムが情報を保存する場所(内部、可搬媒体)を明示し、その場所ごとの保存可能容量
(サイズ)、期間、リスク、レスポンス、バックアップの頻度や方法等を明確にすること。これらを運用管理規程
に定め、その運用を関係者全員に周知徹底すること。
⑤ 記録媒体の劣化への対応を図るための一連の運用の流れを運用管理規程に定めるとともに、関係者に周
知徹底すること。
⑥ システム運用に関する安全管理対策として必要な項目を担当者と協働して検討すること。特に医療情報シ
ステムの脆弱性(マルウェア対策ソフトウェアやサイバー攻撃含む)への対策に関する項目については、定期
的に見直しを図ること。
⑦ 医療機関等において利用するネットワークは、リスク評価を実施したうえで選定し、経営層の承認を得ること。
なお、医療情報システムに関する整備計画等を策定している場合には、これと整合性をとること。また、ネットワ
ークの安全性確保を目的とした実装と運用設計を企画管理者等が実施し行った場合には、その内容を確認
の上、経営層に報告し、承認を得ること。
⑧ 保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。また、必要に応じて、保
守を行うシステム関連事業者と契約や SLA 等により管理項目(OS やソフトウェアのアップデート、パッチ適用
に関する役割分担含む)について取決めを行うこと。
⑨ 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いないことを運
用管理規程等に含めること。また、やむを得ず医療情報を用いる場合には、漏洩漏えい等が生じないために
必要な対策を講じる旨を示し、その具体的な手順の策定を担当者に指示すること。
⑩ 医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理し、必要に応じて、改善措
置を講じること。品質の管理方法については、担当者と協働して検討すること。
⑪ 情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるとともに、具体的な手順の作成
と実施を担当者に指示すること。
⑫ システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施すること。
⑬ 医療情報システムが法令等で求められている要件を満たすよう適切に管理すること。特に「施行通知」、「外
部保存通知」などで求める要件を満たしていることを確認し、調達においては当該要件を満たすシステムを選
定すること。具体的な確認項目や、医療情報システムにおける実装内容等については、担当者に確認の上、
必要な検討を行うよう指示すること。
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、システム運用の実施
状況については、定期的に担当者から報告を受け、経営層に報告して承認を得ること。
- 57 -
【遵守事項】
① 物理的安全管理対策のうち医療情報及び医療情報システムを保管する場所の選定について、リスク評価
を踏まえて、担当者と検討すること。またその結果を経営層に報告の上、承認を得ること。医療情報システムに
関する整備計画等を策定している場合には、これと整合性をとって選定すること。
② 個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退室管理(施錠、
識別、記録)を行うよう、管理内容を含む規程等を策定すること。
③ 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な保管及び取扱いを
行うよう関係者に周知徹底するとともに、教育を実施すること。また、保管及び取扱いに関する作業履歴を残
すこと。
④ 医療情報システムが情報を保存する場所(内部、可搬媒体)を明示し、その場所ごとの保存可能容量
(サイズ)、期間、リスク、レスポンス、バックアップの頻度や方法等を明確にすること。これらを運用管理規程
に定め、その運用を関係者全員に周知徹底すること。
⑤ 記録媒体の劣化への対応を図るための一連の運用の流れを運用管理規程に定めるとともに、関係者に周
知徹底すること。
⑥ システム運用に関する安全管理対策として必要な項目を担当者と協働して検討すること。特に医療情報シ
ステムの脆弱性(マルウェア対策ソフトウェアやサイバー攻撃含む)への対策に関する項目については、定期
的に見直しを図ること。
⑦ 医療機関等において利用するネットワークは、リスク評価を実施したうえで選定し、経営層の承認を得ること。
なお、医療情報システムに関する整備計画等を策定している場合には、これと整合性をとること。また、ネットワ
ークの安全性確保を目的とした実装と運用設計を企画管理者等が実施し行った場合には、その内容を確認
の上、経営層に報告し、承認を得ること。
⑧ 保守に関する安全管理対策として必要な項目を担当者と協働して検討すること。また、必要に応じて、保
守を行うシステム関連事業者と契約や SLA 等により管理項目(OS やソフトウェアのアップデート、パッチ適用
に関する役割分担含む)について取決めを行うこと。
⑨ 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いないことを運
用管理規程等に含めること。また、やむを得ず医療情報を用いる場合には、漏洩漏えい等が生じないために
必要な対策を講じる旨を示し、その具体的な手順の策定を担当者に指示すること。
⑩ 医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理し、必要に応じて、改善措
置を講じること。品質の管理方法については、担当者と協働して検討すること。
⑪ 情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるとともに、具体的な手順の作成
と実施を担当者に指示すること。
⑫ システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施すること。
⑬ 医療情報システムが法令等で求められている要件を満たすよう適切に管理すること。特に「施行通知」、「外
部保存通知」などで求める要件を満たしていることを確認し、調達においては当該要件を満たすシステムを選
定すること。具体的な確認項目や、医療情報システムにおける実装内容等については、担当者に確認の上、
必要な検討を行うよう指示すること。
⑭ ①~⑬において、担当者が整備した対策について、関連規程等に反映すること。また、システム運用の実施
状況については、定期的に担当者から報告を受け、経営層に報告して承認を得ること。
- 57 -