よむ、つかう、まなぶ。
【資料2-5】保守委託機関編(案) (6 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
項目区分
規程
遵守項目
チェック
4. 全管理全般(統制、設計、管理等)
4.1
4.2 設計
要
①
要
②医療情報システム安全管理責任者を設置すること。
□
要
①リスク評価及びリスク管理方針を踏まえて、下記を整備すること
□
の実効性を確保するために必要な規程類、管理体
等を整備すること。
□
情報セキュリティ方針
医療情報の取扱いや保護に関する方針
医療情報システムの安全管理に関する方針
要
②情報の重要度や患者ごとの識別を踏まえ、情報を適切に管理するための手順
□
等を作成・運用すること。
要
③必要に応じて、説明責任等を
たせるように、法令で求められる医療情報の取
□
扱いに関する証跡を管理すること。
要
④医療情報の取扱いに関して委託等を行う
には、委託先事業者を含めた安
□
①定期的に安全管理対策の自己点検を行い、必要に応じて改善に向 た対応
□
全管理に関する体
4.3 安全管理対策の点
要
検
を整備すること。
を指示すること。
また、自己点検に加え、必要に応じて外部監査を実施すること。
5. 全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約)
要
①医療情報を取り扱う職員を採用するに当たっては、雇用契約に雇用中及び退
□
職後の守秘・非開示に関する条項を含めること。
要
②個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実
□
施すること。
要
② 外部保存の委託先事業者選定の際は、Q15001(プライバシ―マーク) 3、、
□
4
JIS、Q27001(ISMS) 又はこれと同等の規格の認証を受 ているシステム関
連事業者を選定すること。
また、安全管理方針、体
の取得状況、保存
、バックアップ状況、信用度、認証(ISMA 5、等)
を確認し、情報機器等が、国内法の適用及び執行の
及ぶ範囲にあることを確実にすること。
要
④医療情報の外部保存の委託先事業者との契約に、下記を含むことを事業者に
、 プライバシーマークは、「個人情報を適切に管理している」と評価された事業者が使用できるマークを指す。JIS、Q、
3
15001 に基づく。
4
、 ISMS とは、「情報セキュリティマネジメントシステム(Information、Security、 、 Management、System)」の意味
で、情報セキュリティのリスクを管理する仕組 を指す。ISO/JIS、27001 に基づく。
5
、 ISMA は「Information、system、Security、Management、and、Assessment、 rogram」の略称で、「政府
情報システムのためのセキュリティ評価
度」と呼ばれる。クラウドサービスに関して、高水準のセキュリティ要件を政府が設
定しており、同様に高いセキュリティが求められる情報システムの評価にも利用される。
5
□
規程
遵守項目
チェック
4. 全管理全般(統制、設計、管理等)
4.1
4.2 設計
要
①
要
②医療情報システム安全管理責任者を設置すること。
□
要
①リスク評価及びリスク管理方針を踏まえて、下記を整備すること
□
の実効性を確保するために必要な規程類、管理体
等を整備すること。
□
情報セキュリティ方針
医療情報の取扱いや保護に関する方針
医療情報システムの安全管理に関する方針
要
②情報の重要度や患者ごとの識別を踏まえ、情報を適切に管理するための手順
□
等を作成・運用すること。
要
③必要に応じて、説明責任等を
たせるように、法令で求められる医療情報の取
□
扱いに関する証跡を管理すること。
要
④医療情報の取扱いに関して委託等を行う
には、委託先事業者を含めた安
□
①定期的に安全管理対策の自己点検を行い、必要に応じて改善に向 た対応
□
全管理に関する体
4.3 安全管理対策の点
要
検
を整備すること。
を指示すること。
また、自己点検に加え、必要に応じて外部監査を実施すること。
5. 全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約)
要
①医療情報を取り扱う職員を採用するに当たっては、雇用契約に雇用中及び退
□
職後の守秘・非開示に関する条項を含めること。
要
②個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実
□
施すること。
要
② 外部保存の委託先事業者選定の際は、Q15001(プライバシ―マーク) 3、、
□
4
JIS、Q27001(ISMS) 又はこれと同等の規格の認証を受 ているシステム関
連事業者を選定すること。
また、安全管理方針、体
の取得状況、保存
、バックアップ状況、信用度、認証(ISMA 5、等)
を確認し、情報機器等が、国内法の適用及び執行の
及ぶ範囲にあることを確実にすること。
要
④医療情報の外部保存の委託先事業者との契約に、下記を含むことを事業者に
、 プライバシーマークは、「個人情報を適切に管理している」と評価された事業者が使用できるマークを指す。JIS、Q、
3
15001 に基づく。
4
、 ISMS とは、「情報セキュリティマネジメントシステム(Information、Security、 、 Management、System)」の意味
で、情報セキュリティのリスクを管理する仕組 を指す。ISO/JIS、27001 に基づく。
5
、 ISMA は「Information、system、Security、Management、and、Assessment、 rogram」の略称で、「政府
情報システムのためのセキュリティ評価
度」と呼ばれる。クラウドサービスに関して、高水準のセキュリティ要件を政府が設
定しており、同様に高いセキュリティが求められる情報システムの評価にも利用される。
5
□