よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.責任分界
【遵守事項】
① 医療情報システムに関する情報システム・サービスの委託において、技術的な対応の役割分担を検討するた
め、事業者から必要な情報等の収集を行うとともに、提供された情報の内容が正確であることを事業者に確認
すること。
②
事業者と技術的な対応に関する責任分界を調整する際には、医療機関でのリスク評価に基づく要求仕様
へとの適合性に関する確認を行い、医療機関等において実施する技術的な対応におけるを十分に確認し、必
要な調整を行うこと。
③ 通常時の運用や、非常時の運用において発生する技術的な対応に関する役割分担を、委託先である事業
者との間で調整し、企画管理者に対してその結果を報告すること。
④ サイバー攻撃等が生じた場合に、の技術的な対応や対外的な説明に関して必要なする役割について、事業
者と調整し、その結果を企画管理者に報告すること。
⑤ 第三者提供を行う際の責任分界についてには、企画管理者と協議の上で、医療機関等のリスク評価に従っ
た範囲で、を踏まえて技術的な対応に関する責任分界の範囲を検討し、企画管理者に報告すること。
3.1 技術的な対応における責任分界決定の考慮事項
➢
医療情報システムの運用等を委託する場合、提供される情報システム・サービスの機能仕様が、法令、本ガイド
ラインや関連ガイドラインに適合していることを、医療機関等で直接確認できないすることができないものも含まれて
いる可能性がある。
➢
従って、提供する情報システム・サービスの要求仕様に対する適合性に関しては、事業者から資料の提供を受け
るとともに、提供された情報が正確なものであることを確認する必要がある。
➢
システム運用担当者は、技術的な対応に関する情報システム・サービスの機能仕様に関する情報と、その内容が
正確であることを示す資料を、事業者から提出を求め、その確認を行うことが求められる。
3.2 要求仕様適合性の確認を踏まえた調整
➢
技術的な対応に関する責任分界を設定するに際して際は、提供される情報システム・サービスについて、事業者
がどのようなリスク評価を踏まえて、対応を分担するのかに関する情報を収集することが求められる。
➢
例えば、厚生労働省標準規格となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書(略
称 :MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリストの提供を受け、リスクコミュニケーションを図ることが
想定される。
➢
その他例えば、総務省・経済産業省の定めるた「医療情報を取り扱う情報システム・サービスの提供事業者にお
ける安全管理ガイドライン」(以下「2省ガイドライン」)という)においては、医療機関等と事業者との間でリスク
コミュニケーションを図る際には、合意形成に必要な情報を提供することととされており、その基礎となる内容は同
図る際に、合意形成に必要な情報を提供することとされている。具体的なその基礎となる内容は同ガイドライン別
紙1「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」 により示され
ているため、参考とすること 。
➢
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認すること。また、
必要に応じて事業者と個別の調整を行い、リスク分担などを行うこと。
-3-
【遵守事項】
① 医療情報システムに関する情報システム・サービスの委託において、技術的な対応の役割分担を検討するた
め、事業者から必要な情報等の収集を行うとともに、提供された情報の内容が正確であることを事業者に確認
すること。
②
事業者と技術的な対応に関する責任分界を調整する際には、医療機関でのリスク評価に基づく要求仕様
へとの適合性に関する確認を行い、医療機関等において実施する技術的な対応におけるを十分に確認し、必
要な調整を行うこと。
③ 通常時の運用や、非常時の運用において発生する技術的な対応に関する役割分担を、委託先である事業
者との間で調整し、企画管理者に対してその結果を報告すること。
④ サイバー攻撃等が生じた場合に、の技術的な対応や対外的な説明に関して必要なする役割について、事業
者と調整し、その結果を企画管理者に報告すること。
⑤ 第三者提供を行う際の責任分界についてには、企画管理者と協議の上で、医療機関等のリスク評価に従っ
た範囲で、を踏まえて技術的な対応に関する責任分界の範囲を検討し、企画管理者に報告すること。
3.1 技術的な対応における責任分界決定の考慮事項
➢
医療情報システムの運用等を委託する場合、提供される情報システム・サービスの機能仕様が、法令、本ガイド
ラインや関連ガイドラインに適合していることを、医療機関等で直接確認できないすることができないものも含まれて
いる可能性がある。
➢
従って、提供する情報システム・サービスの要求仕様に対する適合性に関しては、事業者から資料の提供を受け
るとともに、提供された情報が正確なものであることを確認する必要がある。
➢
システム運用担当者は、技術的な対応に関する情報システム・サービスの機能仕様に関する情報と、その内容が
正確であることを示す資料を、事業者から提出を求め、その確認を行うことが求められる。
3.2 要求仕様適合性の確認を踏まえた調整
➢
技術的な対応に関する責任分界を設定するに際して際は、提供される情報システム・サービスについて、事業者
がどのようなリスク評価を踏まえて、対応を分担するのかに関する情報を収集することが求められる。
➢
例えば、厚生労働省標準規格となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書(略
称 :MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリストの提供を受け、リスクコミュニケーションを図ることが
想定される。
➢
その他例えば、総務省・経済産業省の定めるた「医療情報を取り扱う情報システム・サービスの提供事業者にお
ける安全管理ガイドライン」(以下「2省ガイドライン」)という)においては、医療機関等と事業者との間でリスク
コミュニケーションを図る際には、合意形成に必要な情報を提供することととされており、その基礎となる内容は同
図る際に、合意形成に必要な情報を提供することとされている。具体的なその基礎となる内容は同ガイドライン別
紙1「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」 により示され
ているため、参考とすること 。
➢
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認すること。また、
必要に応じて事業者と個別の調整を行い、リスク分担などを行うこと。
-3-