よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (18 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.リスクアセスメントを踏まえた安全管理対策の設計
【遵守事項】
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手順等を作成し、運用
すること。その際、情報種別による重要度を踏まえるほか、患者情報については、患者ごとに識別できるような
措置を講じること。
③
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済産業省の定めた「2省医療情報
を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 における「サービス仕様適合
開示書」を利用することが考えられる。
4.1 情報資産の種別に応じた安全管理の設計
➢
医療機関等において、情報資産の把握に基づくリスク分析は、安全管理の設計の起点となる。システム運用担
当者は、企画管理者と協働して医療機関等が保有する情報の棚卸を行うことになる。システム運用担当者は、
医療情報システムが直接取り扱う医療情報や、医療情報システムに関する情報などについて、棚卸を行い、情報
種別を整理する必要がある。
➢
医療情報システムであれば、各システムにおいて、それぞれどのくらいのに情報が保管されている患者数、のどのよう
な情報の種別が保管されているのか、それらの利用者の範囲、や利用権限がどのように整理されているのかの設
定ルール、持ち出し状況などを整理することを整理するなどが挙げられる。併せて、バックアップなどについても、どのく
らいの医療情報が、どこで、どのような形式形で保管されているか、その他持出し対象となっている医療情報の状
況等をなども把握することが求められる。また情報のライフサイクルを踏まえ、必要な取扱制限(例:複製禁止、
持出禁止、配布禁止)を実施する。
➢
上述の「医療情報システムに関する情報」は、医療機関等で導入している医療情報システムの全体構成図(ネ
ットワーク図、システム構成図等)、各医療情報システムを構築・導入するためののに必要な資料やその等の管
理状況(保管場所、作成時期等)、運用において必要な上の設定に関する情報やログ等のに関する管理状
況などを把握することなどが挙げられる。
➢
情報種別を行う整理する際に、法令により保存などの要件が求め定められているものについては、その要件への適
合状況も併せて確認する必要がある。具体的には「民間事業者等が行う書面の保存等における情報通信の技
術の利用に関する法律等の施行等について」(平成 17 年3月 31 日付け医政発第 0331009 号・薬食発
第 0331020 号・保発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成
28 年3月 31 日最終改正。以下「施行通知」という。)や「診療録等の保存を行う場所について」(平成 14
年3月 29 日付け医政発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通
知。平成 25 年3月 25 日最終改正。)などが求める内容に則しているか等が挙げられる要件などがある。
4.2 リスクアセスメントを踏まえた安全管理対策の設計
➢
システム運用担当者は、医療機関等が保有する医療情報等の情報種別や重要度を整理したうえで、企画管
理者とともにリスクアセスメント(リスク分析、リスク評価)を企画管理者と行い、その結果を踏まえて、具体的な
安全管理のための技術的な対応をについて、実装し、運用することになる。
➢
医療情報システムの安全管理のための対策を、リスクアセスメント結果を踏まえて対策を講じる場合には、医療機
関等ごとの組織のや規模等のの実情や、医療情報システムの利用形態等のリスクに応じて、さまざま方法が挙げ
られるな方法が考えられる。また実装の検討に際しては、医療機関等における対応できる負担(要員、費用等)
-8-
【遵守事項】
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手順等を作成し、運用
すること。その際、情報種別による重要度を踏まえるほか、患者情報については、患者ごとに識別できるような
措置を講じること。
③
事業者から技術的対策等の情報を収集すること。例えば、総務省・経済産業省の定めた「2省医療情報
を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」 における「サービス仕様適合
開示書」を利用することが考えられる。
4.1 情報資産の種別に応じた安全管理の設計
➢
医療機関等において、情報資産の把握に基づくリスク分析は、安全管理の設計の起点となる。システム運用担
当者は、企画管理者と協働して医療機関等が保有する情報の棚卸を行うことになる。システム運用担当者は、
医療情報システムが直接取り扱う医療情報や、医療情報システムに関する情報などについて、棚卸を行い、情報
種別を整理する必要がある。
➢
医療情報システムであれば、各システムにおいて、それぞれどのくらいのに情報が保管されている患者数、のどのよう
な情報の種別が保管されているのか、それらの利用者の範囲、や利用権限がどのように整理されているのかの設
定ルール、持ち出し状況などを整理することを整理するなどが挙げられる。併せて、バックアップなどについても、どのく
らいの医療情報が、どこで、どのような形式形で保管されているか、その他持出し対象となっている医療情報の状
況等をなども把握することが求められる。また情報のライフサイクルを踏まえ、必要な取扱制限(例:複製禁止、
持出禁止、配布禁止)を実施する。
➢
上述の「医療情報システムに関する情報」は、医療機関等で導入している医療情報システムの全体構成図(ネ
ットワーク図、システム構成図等)、各医療情報システムを構築・導入するためののに必要な資料やその等の管
理状況(保管場所、作成時期等)、運用において必要な上の設定に関する情報やログ等のに関する管理状
況などを把握することなどが挙げられる。
➢
情報種別を行う整理する際に、法令により保存などの要件が求め定められているものについては、その要件への適
合状況も併せて確認する必要がある。具体的には「民間事業者等が行う書面の保存等における情報通信の技
術の利用に関する法律等の施行等について」(平成 17 年3月 31 日付け医政発第 0331009 号・薬食発
第 0331020 号・保発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成
28 年3月 31 日最終改正。以下「施行通知」という。)や「診療録等の保存を行う場所について」(平成 14
年3月 29 日付け医政発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通
知。平成 25 年3月 25 日最終改正。)などが求める内容に則しているか等が挙げられる要件などがある。
4.2 リスクアセスメントを踏まえた安全管理対策の設計
➢
システム運用担当者は、医療機関等が保有する医療情報等の情報種別や重要度を整理したうえで、企画管
理者とともにリスクアセスメント(リスク分析、リスク評価)を企画管理者と行い、その結果を踏まえて、具体的な
安全管理のための技術的な対応をについて、実装し、運用することになる。
➢
医療情報システムの安全管理のための対策を、リスクアセスメント結果を踏まえて対策を講じる場合には、医療機
関等ごとの組織のや規模等のの実情や、医療情報システムの利用形態等のリスクに応じて、さまざま方法が挙げ
られるな方法が考えられる。また実装の検討に際しては、医療機関等における対応できる負担(要員、費用等)
-8-