よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (12 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
と。
⑱ 情報セキュリティインシデントの発生に備え、厚生労働省、都道府県警察、その他の所管官庁等に速やかに
報告するために必要な手順や方法、体制などを整備するよう、企画管理者に指示すること。
⑲ 情報セキュリティインシデントが発生した場合に、厚生労働省等への報告のほかに、患者等に対する公表・広
報を適切に行える体制を、通常時から整備すること。
3.1 統制
3.1.1 情報セキュリティ対策のための統制
➢ 医療情報システムの情報セキュリティ対策は、医療情報の適正な取扱いの確保や保護を図る観点から、医療機
関等における重要な経営課題の一つである。情報セキュリティリスクに対する十分な対応を行うためには、具体的
な情報セキュリティ対策の検討に加え、具体的な対策を講じるためのリスク対応計画の策定2、当該計画の内容を
実現するために必要な規程類の整備、計画の内容の実施や進捗管理を行うために必要な組織体制の整備等に
よる内部統制が適切に行われている必要がある。
➢ 上記計画の策定に当たっては、その具体化のための予算計画と併せて策定することが求められる。
➢ また、情報セキュリティ対策に関わる各組織(医療従事者等含む。)が適切に協働できるようにするために、具体
的な業務内容や各業務を行う者の権限等を明確化した規程類の整備が求められる。
➢ 加えて、策定した計画を実現するために必要な組織統制が発揮されるよう、情報セキュリティに関する最高責任者
や通常時・非常時の運用、対応する組織の構成、役割、職務権限等を明確にすること。
➢ 医療情報システムの運営や利用に際しては、様々なシステム関連事業者も関与することから、情報セキュリティ対
策に関する統制の実効性の確保には、システム関連事業者との適切な協働体制等の整備が必要となる。(「5.
医療情報システム・サービス事業者との協働」に、事業者の選定、管理及び事業者との間での責任分界管理に
関する考え方を示す。)
➢ 情報セキュリティ対策に関する統制が適切に機能していることを確認することは、リスク管理方針や情報セキュリティ
対策の見直しの観点からも重要である。そのため、情報セキュリティ対策に関する業務や措置の実行記録や行動
証跡類を確保すること。
3.1.2 医療情報システムにおける統制上の留意点
➢ 情報セキュリティを確保するためには、組織全体として適切な統制がなされていることが重要であり、統制の実効性
確保に当たっては、医療機関等の規模や組織構成、特性等に応じて留意すべき点が存在する。例えば、小規模
の医療機関等では、担当する業務ごとに区分された組織(部署)がないことも多い。このような場合、過度に詳
細な計画や規程類を策定しても、単に医療機関等の負担が増大し実効性が伴わないリスクがある。こうした規程
類の策定に当たっては、医療機関等の組織や規模等に鑑みてリスク評価を行い、必要な内容を定めること。
2
計画には、下記が含まれることが望ましい。
目標とする将来像
実施事項
必要な資源
責任者
達成期限
結果の評価方法
-9-
⑱ 情報セキュリティインシデントの発生に備え、厚生労働省、都道府県警察、その他の所管官庁等に速やかに
報告するために必要な手順や方法、体制などを整備するよう、企画管理者に指示すること。
⑲ 情報セキュリティインシデントが発生した場合に、厚生労働省等への報告のほかに、患者等に対する公表・広
報を適切に行える体制を、通常時から整備すること。
3.1 統制
3.1.1 情報セキュリティ対策のための統制
➢ 医療情報システムの情報セキュリティ対策は、医療情報の適正な取扱いの確保や保護を図る観点から、医療機
関等における重要な経営課題の一つである。情報セキュリティリスクに対する十分な対応を行うためには、具体的
な情報セキュリティ対策の検討に加え、具体的な対策を講じるためのリスク対応計画の策定2、当該計画の内容を
実現するために必要な規程類の整備、計画の内容の実施や進捗管理を行うために必要な組織体制の整備等に
よる内部統制が適切に行われている必要がある。
➢ 上記計画の策定に当たっては、その具体化のための予算計画と併せて策定することが求められる。
➢ また、情報セキュリティ対策に関わる各組織(医療従事者等含む。)が適切に協働できるようにするために、具体
的な業務内容や各業務を行う者の権限等を明確化した規程類の整備が求められる。
➢ 加えて、策定した計画を実現するために必要な組織統制が発揮されるよう、情報セキュリティに関する最高責任者
や通常時・非常時の運用、対応する組織の構成、役割、職務権限等を明確にすること。
➢ 医療情報システムの運営や利用に際しては、様々なシステム関連事業者も関与することから、情報セキュリティ対
策に関する統制の実効性の確保には、システム関連事業者との適切な協働体制等の整備が必要となる。(「5.
医療情報システム・サービス事業者との協働」に、事業者の選定、管理及び事業者との間での責任分界管理に
関する考え方を示す。)
➢ 情報セキュリティ対策に関する統制が適切に機能していることを確認することは、リスク管理方針や情報セキュリティ
対策の見直しの観点からも重要である。そのため、情報セキュリティ対策に関する業務や措置の実行記録や行動
証跡類を確保すること。
3.1.2 医療情報システムにおける統制上の留意点
➢ 情報セキュリティを確保するためには、組織全体として適切な統制がなされていることが重要であり、統制の実効性
確保に当たっては、医療機関等の規模や組織構成、特性等に応じて留意すべき点が存在する。例えば、小規模
の医療機関等では、担当する業務ごとに区分された組織(部署)がないことも多い。このような場合、過度に詳
細な計画や規程類を策定しても、単に医療機関等の負担が増大し実効性が伴わないリスクがある。こうした規程
類の策定に当たっては、医療機関等の組織や規模等に鑑みてリスク評価を行い、必要な内容を定めること。
2
計画には、下記が含まれることが望ましい。
目標とする将来像
実施事項
必要な資源
責任者
達成期限
結果の評価方法
-9-