よむ、つかう、まなぶ。
【参考資料1-1】医療情報システムの安全管理に関するガイドライン第7.0版 概説編(案) (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
統制が行われていることが求められる。
➢
内部統制としては、
組織としての安全管理等に関する基本的な方針や計画の策定
安全管理等に必要な組織・体制の整備
組織における安全管理のルールとなる規程類の整備
上記に基づく運用
等を実施することが求められる。
➢
適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握して必要
な情報を経営層に報告すること。また、経営層が組織全体の医療情報システムの安全性を継続的に管理するこ
とが求められる。
➢
また、医療情報システムの安全管理については、医療機関等向けには本ガイドライン、医療情報に関するシステ
ム・サービスを提供する事業者向けには、総務省・経済産業省により「医療情報を取り扱う情報システム・サービス
の提供事業者における安全管理ガイドライン」(以下「2省ガイドライン」)が定められている。医療情報システム
の運営や利用に際しては、様々な医療情報システム・サービス事業者と協働しながら安全管理措置を実施する
場合がある。医療情報システムに求められる安全管理の水準に鑑み、本ガイドライン、2省ガイドライン、その他の
法令等に掲げる基準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、
双方の認識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、
当該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ること。
➢
加えて、当該事業者に対して、必要に応じて、2省ガイドラインの遵守状況を確認するなど、当該事業者の管理
も求められる。
4.5 リスク評価とリスク管理
➢
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす原因となる「脅威」を認識す
る必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、システム障害などの技術的脅威によるも
の、医療情報の漏えいや改ざんなどの人的要因によるものが挙げられる。
➢
また、これらの脅威によって生じる被害が発生する可能性を「リスク」と呼ぶ。
➢
各医療機関等においては、自組織にとっての脅威を特定し、そのリスクを評価した上で対策を講じることが重要で
ある。特に、自然災害やサイバー攻撃、システム障害などについては、被害の影響がより大規模となる可能性が高
いため、高度なリスク評価を踏まえた対策を要する。
➢
なお、医療情報システムの安全管理上のリスク評価、リスク管理を実施するに当たっては、医療情報システム・サ
ービス事業者から技術的対策等の情報を収集することが重要である。例えば、厚生労働省標準規格となってい
る「『製造業者/サービス事業者による医療情報セキュリティ開示書(略称:MDS/SDS:Manufacturer /
Service Provider Disclosure Statement for Medical Information Security)』ガイド」で示されてい
るチェックリスト2や2省ガイドラインにおける「サービス仕様適合開示書」等の提供を受け、当該事業者とリスク管
理に関する合意形成(リスクコミュニケーション)を図ることが求められる。
➢
2
また、合意した内容を契約書や SLA(Service Level Agreement:サービス品質保証、サービスレベル合意
厚生労働省標準規格 HS040。なおこれに対応し、一般社団法人日本画像医療システム工業会(JIRA)の工業会規格
(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び一般社団法人保健医療福祉情報シス
テム工業会(JAHIS)の JAHIS 標準として MDS/SDS のチェックリストが提供されている。最新のものを参照すること。
-7-
➢
内部統制としては、
組織としての安全管理等に関する基本的な方針や計画の策定
安全管理等に必要な組織・体制の整備
組織における安全管理のルールとなる規程類の整備
上記に基づく運用
等を実施することが求められる。
➢
適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握して必要
な情報を経営層に報告すること。また、経営層が組織全体の医療情報システムの安全性を継続的に管理するこ
とが求められる。
➢
また、医療情報システムの安全管理については、医療機関等向けには本ガイドライン、医療情報に関するシステ
ム・サービスを提供する事業者向けには、総務省・経済産業省により「医療情報を取り扱う情報システム・サービス
の提供事業者における安全管理ガイドライン」(以下「2省ガイドライン」)が定められている。医療情報システム
の運営や利用に際しては、様々な医療情報システム・サービス事業者と協働しながら安全管理措置を実施する
場合がある。医療情報システムに求められる安全管理の水準に鑑み、本ガイドライン、2省ガイドライン、その他の
法令等に掲げる基準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、
双方の認識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、
当該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ること。
➢
加えて、当該事業者に対して、必要に応じて、2省ガイドラインの遵守状況を確認するなど、当該事業者の管理
も求められる。
4.5 リスク評価とリスク管理
➢
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす原因となる「脅威」を認識す
る必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、システム障害などの技術的脅威によるも
の、医療情報の漏えいや改ざんなどの人的要因によるものが挙げられる。
➢
また、これらの脅威によって生じる被害が発生する可能性を「リスク」と呼ぶ。
➢
各医療機関等においては、自組織にとっての脅威を特定し、そのリスクを評価した上で対策を講じることが重要で
ある。特に、自然災害やサイバー攻撃、システム障害などについては、被害の影響がより大規模となる可能性が高
いため、高度なリスク評価を踏まえた対策を要する。
➢
なお、医療情報システムの安全管理上のリスク評価、リスク管理を実施するに当たっては、医療情報システム・サ
ービス事業者から技術的対策等の情報を収集することが重要である。例えば、厚生労働省標準規格となってい
る「『製造業者/サービス事業者による医療情報セキュリティ開示書(略称:MDS/SDS:Manufacturer /
Service Provider Disclosure Statement for Medical Information Security)』ガイド」で示されてい
るチェックリスト2や2省ガイドラインにおける「サービス仕様適合開示書」等の提供を受け、当該事業者とリスク管
理に関する合意形成(リスクコミュニケーション)を図ることが求められる。
➢
2
また、合意した内容を契約書や SLA(Service Level Agreement:サービス品質保証、サービスレベル合意
厚生労働省標準規格 HS040。なおこれに対応し、一般社団法人日本画像医療システム工業会(JIRA)の工業会規格
(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び一般社団法人保健医療福祉情報シス
テム工業会(JAHIS)の JAHIS 標準として MDS/SDS のチェックリストが提供されている。最新のものを参照すること。
-7-