よむ、つかう、まなぶ。
【資料2-5】保守委託機関編(案) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
② 医療機関等と第三者それぞれが負う責任の範囲をあらかじめ明確にし、
面等により可視
化し、適切に管理すること。
医療情報を第三者提供する
◼
については、個人情報保護法及びこれに関連するガイドライン、
ガイダンスを踏まえた対応をすることが想定する。
特に委託先との関係では、医療情報の第三者提供に該当する
と該当しない
について、
同意取得を含む適切な手続きを行うことが求められる。
また医療機関等の間でネットワークを
◼
じて医療情報の授受を行う
には、両者の責任範囲を
明確にすること。原則として、 C や V N 装置を含むネットワーク機器等のアップデート対応を事業
者
の保守範囲として契約
ましい。困難な
に含むこととし、そのような対応が可能な事業者を選定することが望
は医療機関が独自にアップデート対応をする責任が生じるため、注意すること。
クラウド型 V N や自動アップデートを採用することが望ましい。
2. 任分界:
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で
責任分界に関する取決めを行うこと。
② 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報
システム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
③ 委託先事業者等において複数の関係者が関与する
関等が
には、その関係を整理し、医療機
責任分界を取り決める相手方を特定すること。また、関与する関係者への管理
なども責任分界の取決めに含めること。さらに、責任分界の取決めに際しては、委託先事業
者間での役割分担なども含めて、取決め内容に漏れがないよう留意すること。
医療情報システムの利用において、責任分界を医療機関等と事業者の間で具体的な項目に落と
◼
し込むことが重要である。特にセキュリティを含む安全管理に関しては、契約
般的な記
(例
や SLA6、などでも一
非常時の対応は協議において決定する、等)に留まり適切な対応ができない
ケース存在する。
V N 機器をはじめとする外部ネットワークとの 続点となる機器については、脆弱性の管理が適切
◼
に行われず、サイバー攻撃の起点となる事案が頻発している。脆弱性の管理等について保守契約
の範囲を明確にし、確実に管理可能な体 を整備すること。
またクラウドサービスなどの利用では、利用規約や約
◼
で、利用の取決めを行うケースがある。この
も、サービスに関する責任分界を意識し、【別紙】等を活用して適切なサービスを選定すること。
「委託先事業者等において複数の関係者が関与する
◼
」には、複数の委託先に関する情報を
整理しておく必要がある。医療機関等で利用する医療情報システムのすべてについて、一つの事業
者が取りまとめて契約する
6
には、委託先事業者との間で責任分界を整理すれば足りる。
SLA、 (Service、Level、Agreement)とは、事業者が提供するサービスの内容とレベルについて委託
意した文
10
のことを指す。保守等の委託契約のほか、クラウドサービスの提供などに用いられる。
と提供
が
面等により可視
化し、適切に管理すること。
医療情報を第三者提供する
◼
については、個人情報保護法及びこれに関連するガイドライン、
ガイダンスを踏まえた対応をすることが想定する。
特に委託先との関係では、医療情報の第三者提供に該当する
と該当しない
について、
同意取得を含む適切な手続きを行うことが求められる。
また医療機関等の間でネットワークを
◼
じて医療情報の授受を行う
には、両者の責任範囲を
明確にすること。原則として、 C や V N 装置を含むネットワーク機器等のアップデート対応を事業
者
の保守範囲として契約
ましい。困難な
に含むこととし、そのような対応が可能な事業者を選定することが望
は医療機関が独自にアップデート対応をする責任が生じるため、注意すること。
クラウド型 V N や自動アップデートを採用することが望ましい。
2. 任分界:
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で
責任分界に関する取決めを行うこと。
② 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報
システム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
③ 委託先事業者等において複数の関係者が関与する
関等が
には、その関係を整理し、医療機
責任分界を取り決める相手方を特定すること。また、関与する関係者への管理
なども責任分界の取決めに含めること。さらに、責任分界の取決めに際しては、委託先事業
者間での役割分担なども含めて、取決め内容に漏れがないよう留意すること。
医療情報システムの利用において、責任分界を医療機関等と事業者の間で具体的な項目に落と
◼
し込むことが重要である。特にセキュリティを含む安全管理に関しては、契約
般的な記
(例
や SLA6、などでも一
非常時の対応は協議において決定する、等)に留まり適切な対応ができない
ケース存在する。
V N 機器をはじめとする外部ネットワークとの 続点となる機器については、脆弱性の管理が適切
◼
に行われず、サイバー攻撃の起点となる事案が頻発している。脆弱性の管理等について保守契約
の範囲を明確にし、確実に管理可能な体 を整備すること。
またクラウドサービスなどの利用では、利用規約や約
◼
で、利用の取決めを行うケースがある。この
も、サービスに関する責任分界を意識し、【別紙】等を活用して適切なサービスを選定すること。
「委託先事業者等において複数の関係者が関与する
◼
」には、複数の委託先に関する情報を
整理しておく必要がある。医療機関等で利用する医療情報システムのすべてについて、一つの事業
者が取りまとめて契約する
6
には、委託先事業者との間で責任分界を整理すれば足りる。
SLA、 (Service、Level、Agreement)とは、事業者が提供するサービスの内容とレベルについて委託
意した文
10
のことを指す。保守等の委託契約のほか、クラウドサービスの提供などに用いられる。
と提供
が