よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (25 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
盗難に対応した措置を事前に講じること。
7.1 外部へ持ち出す医療情報の管理対策
➢
システム運用担当者は、企画管理者が策定する規程を踏まえて、医療機関等の外部への医療情報の持出しに
関する具体的な手順を、企画管理者が策定する規程を踏まえて作成する。手順は、持ち出す医療情報や記録
媒体、持出し方法の種類や特性に応じて策定すること。また手順における策定対象は、持出し前の手続から、外
部からの持ち帰り等に至るまでを想定する関する手順も対象となる。
➢
記録媒体や情報機器等を持ち出す場合には、盗難や紛失のリスクを想定した内容を含めることが求められる。例
えば例えば端末自体の起動パスワード等の設定は必須であり、このパスワード等は認証等のルールに沿った内容
であることが求められる。
➢
また記録媒体や端末内に患者等の医療情報が保存されている場合には、記録媒体に暗号化を施す必要がある
ほか、アクセス先に存在する患者等の医療情報を表示や編集できる場合は、その機能を持つアプリの起動にパス
ワードを設定するなどの措置も求められる必要である。
➢
またタブレット PC 及びスマートフォンの持出しに際して、その目的から見て不要なプログラム等はインストールしない
/ようにする旨させないことや、情報機器等に対する管理者権限等を原則付与しないなどの措置を講じるなどもこ
とも有効である重要である。
➢
持出しについて、ネットワークを通じて外部に保存する場合、システム運用担当者は利用してもよい可能な保存
先やネットワークサービスを限定する必要がある。クラウドサービスは、容易に医療情報の外部保存ができるため、
システム運用担当者が管理しないものが使われるリスクがある。クラウドサービスの中には、医療機関等が定める安
全管理の基準を満たさないものや、プライバシーポリシー、その他のルールがに適合したサービスを利用させること、
医療機関が定めるものと整合性が取れないこともある。
➢
システム運用担当者は、例えば、医療機関等が許可したり、管理していないしたサービス以外の接続ができないよ
うにしたりを遮断する等の技術的な対応を取るりながら、ことや、許可されていないサービスの利用禁止を規則等
にで盛り込むなどの対応が想定される。
➢
漏洩漏えい防止等の観点から、保守等の目的で、事業者が、医療機関等から医療情報を持ち出す場合、行
為は患者の個人情報を持ち出すことは、漏洩防止等の観点から、原則として禁止する必要がある。業務の必要
上、やむを得ず持ち出す場合には、持ち出しの目的や持ち出す個人情報の件数、とデータ項目、持出し後の対
応や、持出し先での保存環境等を事前に示したうえで、システム運用担当者の許可を得て持ち出要すること等を
の手順手続としてを定める必要があること。
7.2 医療機関等外から医療情報システムに接続する利用の場合への対策
➢
システム運用担当者は、医療機関等の外部から医療情報システムに接続して利用する場合の、技術的対応へ
の方策を講じることが求められる。利用場面としては、下記の場面が想定される。
・ 医療機関等の職員が、訪問先やテレワークなどにより、医療機関等が管理する端末を通じてアクセスする場合
・ 患者等が、自宅から自らの医療情報にアクセスする場合
・ 医療機関等が保有する医療情報システムに対して、事業者が外部から医療情報システムにアクセスして保守
等を行う場合
- 15 -
7.1 外部へ持ち出す医療情報の管理対策
➢
システム運用担当者は、企画管理者が策定する規程を踏まえて、医療機関等の外部への医療情報の持出しに
関する具体的な手順を、企画管理者が策定する規程を踏まえて作成する。手順は、持ち出す医療情報や記録
媒体、持出し方法の種類や特性に応じて策定すること。また手順における策定対象は、持出し前の手続から、外
部からの持ち帰り等に至るまでを想定する関する手順も対象となる。
➢
記録媒体や情報機器等を持ち出す場合には、盗難や紛失のリスクを想定した内容を含めることが求められる。例
えば例えば端末自体の起動パスワード等の設定は必須であり、このパスワード等は認証等のルールに沿った内容
であることが求められる。
➢
また記録媒体や端末内に患者等の医療情報が保存されている場合には、記録媒体に暗号化を施す必要がある
ほか、アクセス先に存在する患者等の医療情報を表示や編集できる場合は、その機能を持つアプリの起動にパス
ワードを設定するなどの措置も求められる必要である。
➢
またタブレット PC 及びスマートフォンの持出しに際して、その目的から見て不要なプログラム等はインストールしない
/ようにする旨させないことや、情報機器等に対する管理者権限等を原則付与しないなどの措置を講じるなどもこ
とも有効である重要である。
➢
持出しについて、ネットワークを通じて外部に保存する場合、システム運用担当者は利用してもよい可能な保存
先やネットワークサービスを限定する必要がある。クラウドサービスは、容易に医療情報の外部保存ができるため、
システム運用担当者が管理しないものが使われるリスクがある。クラウドサービスの中には、医療機関等が定める安
全管理の基準を満たさないものや、プライバシーポリシー、その他のルールがに適合したサービスを利用させること、
医療機関が定めるものと整合性が取れないこともある。
➢
システム運用担当者は、例えば、医療機関等が許可したり、管理していないしたサービス以外の接続ができないよ
うにしたりを遮断する等の技術的な対応を取るりながら、ことや、許可されていないサービスの利用禁止を規則等
にで盛り込むなどの対応が想定される。
➢
漏洩漏えい防止等の観点から、保守等の目的で、事業者が、医療機関等から医療情報を持ち出す場合、行
為は患者の個人情報を持ち出すことは、漏洩防止等の観点から、原則として禁止する必要がある。業務の必要
上、やむを得ず持ち出す場合には、持ち出しの目的や持ち出す個人情報の件数、とデータ項目、持出し後の対
応や、持出し先での保存環境等を事前に示したうえで、システム運用担当者の許可を得て持ち出要すること等を
の手順手続としてを定める必要があること。
7.2 医療機関等外から医療情報システムに接続する利用の場合への対策
➢
システム運用担当者は、医療機関等の外部から医療情報システムに接続して利用する場合の、技術的対応へ
の方策を講じることが求められる。利用場面としては、下記の場面が想定される。
・ 医療機関等の職員が、訪問先やテレワークなどにより、医療機関等が管理する端末を通じてアクセスする場合
・ 患者等が、自宅から自らの医療情報にアクセスする場合
・ 医療機関等が保有する医療情報システムに対して、事業者が外部から医療情報システムにアクセスして保守
等を行う場合
- 15 -