よむ、つかう、まなぶ。
【資料2-5】保守委託機関編(案) (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
◼
このため、最低限の対応として、年次などの頻度で、策定した安全対策の運用状況を、医療情報
システム安全管理責任者等が点検し、問題や懸念事項があった部分については、内部でのルール
の見 しや、委託契約内容の見 しなどの検討を行うこと。
◼
一方で、「医療機関にお るサイバーセキュリティ対策チェックリスト」に含まれる項目については、医
療法に基づく立入検査において、第三者により確認されるため、
項目が「適切に実施されている
か」を十分に確認すること。
5. 全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約)
① 医療情報を取り扱う職員を採用するに当たっては、雇用契約に雇用中及び退職後の守秘・
非開示に関する条項を含めること。
② 個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。
③ 外部保存の委託先事業者選定の際は、
マーク7、ISMS8又はこれと同等の規格の認証を
受 ているシステム関連事業者を選定すること。
また、安全管理方針、体
、バックアップ状況、信用度、認証(ISMA 9、、JIS、 Q、 15001
( マーク)、JIS、Q、27001(ISMS)等)の取得状況、保存
を確認し、情報機器
等が、国内法の適用及び執行の及ぶ範囲にあることを確実にすること。
④ 医療情報の外部保存の委託先事業者との契約に、下記を含むことを事業者に確認するこ
と。
事業者が安全管理ガイドラインと「医療情報を取り扱う情報システム・サービスの提供事業
者にお る安全管理ガイドライン」(総務省、経済産業省)の遵守に同意すること
許可なく分析等を行わないこと
匿名化情報の取扱いの配慮
患者アクセス時の権限設定
第三者への情報提供は原則患者同意に基づくこと
委託契約終了に際しての医療情報の返却とその方法の取り決め
サーバのセキュリティアップデートを含む保守責任が事業者にあること
C 等、端末の保守責任が医療機関等と事業者のいずれにあるか
⑤ 必要に応じて個人情報が特定の外部の施設に送付・保存されること、またその安全性やリス
クを含めて院内掲示等を じて説明すること。
7
、 プライバシーマークは、「個人情報を適切に管理している」と評価された事業者が使用できるマークを指す。JIS、Q、
15001 に基づく。
8
、 ISMS とは、「情報セキュリティマネジメントシステム(Information、Security、 、 Management、System)」の意味
で、情報セキュリティのリスクを管理する仕組 を指す。ISO/JIS、27001 に基づく。
9
、 ISMA は「Information、system、Security、Management、and、Assessment、 rogram」の略称で、「政府
情報システムのためのセキュリティ評価
度」と呼ばれる。クラウドサービスに関して、政府が設定した高水準のセキュリティ要
件であることから、同様に高いセキュリティが求められる情報システムの評価にも使われる。
13
このため、最低限の対応として、年次などの頻度で、策定した安全対策の運用状況を、医療情報
システム安全管理責任者等が点検し、問題や懸念事項があった部分については、内部でのルール
の見 しや、委託契約内容の見 しなどの検討を行うこと。
◼
一方で、「医療機関にお るサイバーセキュリティ対策チェックリスト」に含まれる項目については、医
療法に基づく立入検査において、第三者により確認されるため、
項目が「適切に実施されている
か」を十分に確認すること。
5. 全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約)
① 医療情報を取り扱う職員を採用するに当たっては、雇用契約に雇用中及び退職後の守秘・
非開示に関する条項を含めること。
② 個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。
③ 外部保存の委託先事業者選定の際は、
マーク7、ISMS8又はこれと同等の規格の認証を
受 ているシステム関連事業者を選定すること。
また、安全管理方針、体
、バックアップ状況、信用度、認証(ISMA 9、、JIS、 Q、 15001
( マーク)、JIS、Q、27001(ISMS)等)の取得状況、保存
を確認し、情報機器
等が、国内法の適用及び執行の及ぶ範囲にあることを確実にすること。
④ 医療情報の外部保存の委託先事業者との契約に、下記を含むことを事業者に確認するこ
と。
事業者が安全管理ガイドラインと「医療情報を取り扱う情報システム・サービスの提供事業
者にお る安全管理ガイドライン」(総務省、経済産業省)の遵守に同意すること
許可なく分析等を行わないこと
匿名化情報の取扱いの配慮
患者アクセス時の権限設定
第三者への情報提供は原則患者同意に基づくこと
委託契約終了に際しての医療情報の返却とその方法の取り決め
サーバのセキュリティアップデートを含む保守責任が事業者にあること
C 等、端末の保守責任が医療機関等と事業者のいずれにあるか
⑤ 必要に応じて個人情報が特定の外部の施設に送付・保存されること、またその安全性やリス
クを含めて院内掲示等を じて説明すること。
7
、 プライバシーマークは、「個人情報を適切に管理している」と評価された事業者が使用できるマークを指す。JIS、Q、
15001 に基づく。
8
、 ISMS とは、「情報セキュリティマネジメントシステム(Information、Security、 、 Management、System)」の意味
で、情報セキュリティのリスクを管理する仕組 を指す。ISO/JIS、27001 に基づく。
9
、 ISMA は「Information、system、Security、Management、and、Assessment、 rogram」の略称で、「政府
情報システムのためのセキュリティ評価
度」と呼ばれる。クラウドサービスに関して、政府が設定した高水準のセキュリティ要
件であることから、同様に高いセキュリティが求められる情報システムの評価にも使われる。
13