よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.安全管理全般(統制、設計、管理等)
【遵守事項】
① 統制の体系を理解し、情報セキュリティ対策に関する統制の実効性を確保するために必要な規程類、管理体
制等を整備すること。また、適切に統制が機能しているかを確認すること。
② 医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討すること。
③ 安全管理を直接実行する医療情報システム安全管理責任者及び企画管理者を設置すること。
④ 情報セキュリティ対策に関する統制は、医療機関等内の組織等の統制とは区別し、医療機関等全体におけ
る統制の一つと位置付けて、組織横断的に実施すること。
⑤ 情報セキュリティ対策に関する統制の対象には、医療機関等に直接雇用されている職員だけでなく、システム
関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も含むこと。
⑥ 複数の部門(担当する業務毎に区分された組織)が存在する医療機関等においては、情報システム管理
委員会等を設置し、定期的に調達情報を部門間で共有すること。その際、各部門に委員会に参加する担当
者等を配置し、統制に実効性を持たせること。委員会等が設置されない場合も、情報システムの導入や変更に
当たっては、経営層や医療情報システム安全管理責任者等の承認を必要とする仕組みを構築すること。
⑦ リスク評価及びリスク管理方針を踏まえて、情報セキュリティ方針を整備すること。
⑧ 情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、実施可能な内容で、実効性のある、適切
な情報セキュリティ対策を整備するよう、企画管理者に指示し、管理すること。
⑨ 整備した規程類を適切に利用し、情報セキュリティ方針を遵守した対策が実施できるよう、通常時から情報セ
キュリティ対策に関する統制対象者全てに対して定期的な教育・訓練を実施すること。
⑩ 医療機関等において医療情報システムに関する安全管理対策が適切に実施されていることを確認するため、
企画管理者やシステム運用担当者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に応じ
て改善に向けた対応を指示すること。
⑪ 医療機関等内で、企画管理者及びシステム運用担当者から独立した組織による内部監査又は医療機関等
とは異なる機関による外部監査を実施し、管理責任を果たすこと。
⑫ 内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画管理者
やシステム運用担当者に指示するとともに、その対応結果をフォローすること。
⑬ 情報セキュリティインシデントの発生に備え、非常時における業務継続の可否の判断基準、継続する業務内
容の選定等に係る意思決定プロセスを検討し、BCP 等を整備すること。
⑭ 情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影響が生じる場合
に備え、適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指示すること。また、当該復旧
手順について随時自己点検を行うよう指示した上で、その結果報告を受け、必要に応じて、改善に向けた対応
を指示すること。
⑮ 通常時に整備していた BCP が、非常時において迅速かつ的確に実施できるよう、通常時から定期的に訓練・
演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指
示すること。
⑯ 企画管理者に対し、システム関連事業者又は外部有識者と非常時を想定した情報共有や支援に関する取
決めや体制を整備するよう指示すること。
⑰ 通常時から医療情報システムに関係する脆弱性対策や EOS(End of Support:サポート終了)等に関
する情報を収集し、迅速な対策が可能な体制を整えるよう、企画管理者やシステム運用担当者に指示するこ
-8-
【遵守事項】
① 統制の体系を理解し、情報セキュリティ対策に関する統制の実効性を確保するために必要な規程類、管理体
制等を整備すること。また、適切に統制が機能しているかを確認すること。
② 医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討すること。
③ 安全管理を直接実行する医療情報システム安全管理責任者及び企画管理者を設置すること。
④ 情報セキュリティ対策に関する統制は、医療機関等内の組織等の統制とは区別し、医療機関等全体におけ
る統制の一つと位置付けて、組織横断的に実施すること。
⑤ 情報セキュリティ対策に関する統制の対象には、医療機関等に直接雇用されている職員だけでなく、システム
関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も含むこと。
⑥ 複数の部門(担当する業務毎に区分された組織)が存在する医療機関等においては、情報システム管理
委員会等を設置し、定期的に調達情報を部門間で共有すること。その際、各部門に委員会に参加する担当
者等を配置し、統制に実効性を持たせること。委員会等が設置されない場合も、情報システムの導入や変更に
当たっては、経営層や医療情報システム安全管理責任者等の承認を必要とする仕組みを構築すること。
⑦ リスク評価及びリスク管理方針を踏まえて、情報セキュリティ方針を整備すること。
⑧ 情報セキュリティ方針に基づき、自医療機関等の実態を踏まえて、実施可能な内容で、実効性のある、適切
な情報セキュリティ対策を整備するよう、企画管理者に指示し、管理すること。
⑨ 整備した規程類を適切に利用し、情報セキュリティ方針を遵守した対策が実施できるよう、通常時から情報セ
キュリティ対策に関する統制対象者全てに対して定期的な教育・訓練を実施すること。
⑩ 医療機関等において医療情報システムに関する安全管理対策が適切に実施されていることを確認するため、
企画管理者やシステム運用担当者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に応じ
て改善に向けた対応を指示すること。
⑪ 医療機関等内で、企画管理者及びシステム運用担当者から独立した組織による内部監査又は医療機関等
とは異なる機関による外部監査を実施し、管理責任を果たすこと。
⑫ 内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画管理者
やシステム運用担当者に指示するとともに、その対応結果をフォローすること。
⑬ 情報セキュリティインシデントの発生に備え、非常時における業務継続の可否の判断基準、継続する業務内
容の選定等に係る意思決定プロセスを検討し、BCP 等を整備すること。
⑭ 情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影響が生じる場合
に備え、適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指示すること。また、当該復旧
手順について随時自己点検を行うよう指示した上で、その結果報告を受け、必要に応じて、改善に向けた対応
を指示すること。
⑮ 通常時に整備していた BCP が、非常時において迅速かつ的確に実施できるよう、通常時から定期的に訓練・
演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指
示すること。
⑯ 企画管理者に対し、システム関連事業者又は外部有識者と非常時を想定した情報共有や支援に関する取
決めや体制を整備するよう指示すること。
⑰ 通常時から医療情報システムに関係する脆弱性対策や EOS(End of Support:サポート終了)等に関
する情報を収集し、迅速な対策が可能な体制を整えるよう、企画管理者やシステム運用担当者に指示するこ
-8-