よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
➢
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認し、必要が
あれば個別の調整を事業者と行うなどにより、技術的な対応に関するリスク分担などを行うことが求められる。
➢
クラウドサービスなどを利用する場合には、利用者側でも技術的な対応に関する設定等の役割などを果たすことな
どが求められる。このような役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイド
ライン」(総務省 令和 4 年 10 月 31 日)などでも示されている。システム運用担当者は、このような資料を参
考にして、事業者との技術的な役割分担についても調整することが求められる。
3.3 医療機関等が負う責任に関する責任分界
3.3.1 通常時の運用における責任分界
➢
通常時の運用における技術的な対応の責任分界は、技術的な対応という点で見ると主に、運用責任や管理責
任に関する取り決めを指すなどについて取り決めることになる。情報システム・サービスが提供される際の医療情報
システムの運用が、本ガイドライン等に従っていることは、事業者でしか把握できない内容もあるため、場合もある。
システム運用担当者は運用に関する実施報告などに関する情報の提出を事業者に求めて管理することが求めら
れる。その際、事業者が業務の一部を再委託している場合には、再委託先における実施状況なども併せて報告
を求めること。
➢
このように、システム運用担当者は、委託する情報システム・サービス全般の管理を担う中で、具体的なシステム
の運用や管理などについては、事業者に役割を委ねることが求められる想定される。
3.3.2 非常時の運用における責任分界
➢
非常時の運用における技術的な対応の責任分界は、技術的な対応という点で見ると主に、被害の拡大防止や
原因究明などシステム対応に関する内容のほか、外部への説明責任に関する支援などに関するついて、取り決め
ることが求められるを指す。
➢
被害拡大防止や原因究明などに関しては、医療機関等側で把握できる運用に関する情報と、委託先である事
業者が管理するシステム運用上のデータ等の資料などを併せて検討することが求められる。ため、それぞれの役割
の分担などを事前に取り決めておくことが重要であるが求められる。
➢
特にサイバー攻撃による被害を受けた場合には、原因究明に際して専門的な知見が必要となり、この場合の責
任分担などは非常に重要である。
➢
外部への説明責任についても、事業者でしか、技術的な面から、事業者にもわからない側でしか把握できない内
容部分が存在することがありえるるため、。専門的な観点から適切な資料の準備と提供に関する内容も含めた、
責任分担を行うことが求められる。
3.4 提供される情報システム・サービスに応じた責任分界
3.4.1 事業者が提供するサービスの類型による責任分界
➢
事業者が提供するサービス類型により、医療機関等が直接責任を管理できる範囲が異なる場合がある。
➢
クラウドサービスの場合には、医療情報システムで一般的に利用する資源について SaaS(Software as a
Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などの類型で提
供するされることがある。
➢
SaaS では、医療情報システムのアプリケーション部分、PaaS では、医療情報システムが利用するミドルウェアの部
分、IaaS では医療情報システムが利用するインフラの部分がをサービスとして提供されすることになる。
-4-
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認し、必要が
あれば個別の調整を事業者と行うなどにより、技術的な対応に関するリスク分担などを行うことが求められる。
➢
クラウドサービスなどを利用する場合には、利用者側でも技術的な対応に関する設定等の役割などを果たすことな
どが求められる。このような役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイド
ライン」(総務省 令和 4 年 10 月 31 日)などでも示されている。システム運用担当者は、このような資料を参
考にして、事業者との技術的な役割分担についても調整することが求められる。
3.3 医療機関等が負う責任に関する責任分界
3.3.1 通常時の運用における責任分界
➢
通常時の運用における技術的な対応の責任分界は、技術的な対応という点で見ると主に、運用責任や管理責
任に関する取り決めを指すなどについて取り決めることになる。情報システム・サービスが提供される際の医療情報
システムの運用が、本ガイドライン等に従っていることは、事業者でしか把握できない内容もあるため、場合もある。
システム運用担当者は運用に関する実施報告などに関する情報の提出を事業者に求めて管理することが求めら
れる。その際、事業者が業務の一部を再委託している場合には、再委託先における実施状況なども併せて報告
を求めること。
➢
このように、システム運用担当者は、委託する情報システム・サービス全般の管理を担う中で、具体的なシステム
の運用や管理などについては、事業者に役割を委ねることが求められる想定される。
3.3.2 非常時の運用における責任分界
➢
非常時の運用における技術的な対応の責任分界は、技術的な対応という点で見ると主に、被害の拡大防止や
原因究明などシステム対応に関する内容のほか、外部への説明責任に関する支援などに関するついて、取り決め
ることが求められるを指す。
➢
被害拡大防止や原因究明などに関しては、医療機関等側で把握できる運用に関する情報と、委託先である事
業者が管理するシステム運用上のデータ等の資料などを併せて検討することが求められる。ため、それぞれの役割
の分担などを事前に取り決めておくことが重要であるが求められる。
➢
特にサイバー攻撃による被害を受けた場合には、原因究明に際して専門的な知見が必要となり、この場合の責
任分担などは非常に重要である。
➢
外部への説明責任についても、事業者でしか、技術的な面から、事業者にもわからない側でしか把握できない内
容部分が存在することがありえるるため、。専門的な観点から適切な資料の準備と提供に関する内容も含めた、
責任分担を行うことが求められる。
3.4 提供される情報システム・サービスに応じた責任分界
3.4.1 事業者が提供するサービスの類型による責任分界
➢
事業者が提供するサービス類型により、医療機関等が直接責任を管理できる範囲が異なる場合がある。
➢
クラウドサービスの場合には、医療情報システムで一般的に利用する資源について SaaS(Software as a
Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)などの類型で提
供するされることがある。
➢
SaaS では、医療情報システムのアプリケーション部分、PaaS では、医療情報システムが利用するミドルウェアの部
分、IaaS では医療情報システムが利用するインフラの部分がをサービスとして提供されすることになる。
-4-