よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
また、情報セキュリティ対策に関する説明責任や管理責任を果たしながら業務を運用可能かも念頭に置きなが
ら、実効性のある統制の内容を考える必要がある。実際の統制には、例えば下記の観点も含まれる。
患者等への情報セキュリティ対策に関する説明
インシデントが生じた場合の関係者への報告
システム関連事業者の管理を行うための資料の確保
➢ 統制の実効性を確保するために、安全管理を直接実行する医療情報システム安全管理責任者及び企画管理
者を設置する必要がある。企画管理者が把握していない、シャドーIT を通じた攻撃を防ぐためにも、セキュリティ委
員会や、情報システム管理委員会等を設置することで定期的に調達情報を部門間で共有することが非常に重要
である。経営層が企画管理者等の職務を兼務することは妨げられない。
また、医療情報システム安全管理責任者は、経営層が担うことを想定しているが、企画管理者が医療情報シ
ステム安全管理責任者を兼務することも妨げない。
➢ 医療機関等においては、人事権が各部局に帰属し、各部局でそれぞれ情報セキュリティ対策に係る組織編成を
行っている場合がある。一方で、情報セキュリティ対策に関する統制は組織全体の問題であり、組織横断的に実
現されることが求められる。情報セキュリティ対策に係る組織編成においては、人事権の帰属先を越えて、組織横
断的な対応を要する。セキュリティ責任者を各部門に配置するなど、他部門と協力して医療機関等全体のガバナ
ンスを効かせることも重要である。
➢ 情報セキュリティ対策に関する統制は、医療機関等に直接雇用されている職員だけではなく、システム関連事業
者の担当者や派遣社員など、医療機関等が直接雇用していない者も対象に含み、行われる必要がある。
3.2 設計
3.2.1 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備
➢ 情報セキュリティ方針は、リスク評価及びリスク管理方針に基づいて策定されるものであり、情報セキュリティ方針に
基づき、医療機関等は医療情報システムに対する情報セキュリティ対策を実装する。
➢ 具体的な情報セキュリティ対策の検討や設計等は、企画管理者やシステム運用担当者が実施するが、経営層に
おいても、対策の整備に関する理解は必要である。
➢ 具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用可能な内容
を整備すること。例えば、他の医療機関等で策定された運用管理規程等をそのまま自医療機関等に転用したとし
ても、当該機関の運用実態との不一致により、適切な運用がなされずかえって情報セキュリティリスクが増大するお
それがある。また、極端に厳格な内容の規程類を整備しても、実際の運用が困難である場合には、実質的には死
文化して、有効な対策とはならない。
➢ また重要インフラとなる医療機関等においては、厚生労働省、医療機関等、サプライチェーンに関わる事業者等の
関係主体を網羅的かつ具体的に記載し、セキュリティ対策に関するそれぞれの役割を明記することが求められる。
その際、経営層の取組についても記載すること。
➢ 規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図り、実際に運用可能かつ適切な
内容を記載すること。
3.2.2 情報セキュリティ対策を踏まえた訓練・教育
➢ 規程類が適切に整備されている場合でも、その内容が医療情報システムの利用者をはじめ、関係者に認知されて
いなければ、当該規程類が遵守されていないことと同義である。このような場合、災害、サイバー攻撃等の非常事
- 10 -
ら、実効性のある統制の内容を考える必要がある。実際の統制には、例えば下記の観点も含まれる。
患者等への情報セキュリティ対策に関する説明
インシデントが生じた場合の関係者への報告
システム関連事業者の管理を行うための資料の確保
➢ 統制の実効性を確保するために、安全管理を直接実行する医療情報システム安全管理責任者及び企画管理
者を設置する必要がある。企画管理者が把握していない、シャドーIT を通じた攻撃を防ぐためにも、セキュリティ委
員会や、情報システム管理委員会等を設置することで定期的に調達情報を部門間で共有することが非常に重要
である。経営層が企画管理者等の職務を兼務することは妨げられない。
また、医療情報システム安全管理責任者は、経営層が担うことを想定しているが、企画管理者が医療情報シ
ステム安全管理責任者を兼務することも妨げない。
➢ 医療機関等においては、人事権が各部局に帰属し、各部局でそれぞれ情報セキュリティ対策に係る組織編成を
行っている場合がある。一方で、情報セキュリティ対策に関する統制は組織全体の問題であり、組織横断的に実
現されることが求められる。情報セキュリティ対策に係る組織編成においては、人事権の帰属先を越えて、組織横
断的な対応を要する。セキュリティ責任者を各部門に配置するなど、他部門と協力して医療機関等全体のガバナ
ンスを効かせることも重要である。
➢ 情報セキュリティ対策に関する統制は、医療機関等に直接雇用されている職員だけではなく、システム関連事業
者の担当者や派遣社員など、医療機関等が直接雇用していない者も対象に含み、行われる必要がある。
3.2 設計
3.2.1 情報セキュリティ方針を踏まえた情報セキュリティ対策の整備
➢ 情報セキュリティ方針は、リスク評価及びリスク管理方針に基づいて策定されるものであり、情報セキュリティ方針に
基づき、医療機関等は医療情報システムに対する情報セキュリティ対策を実装する。
➢ 具体的な情報セキュリティ対策の検討や設計等は、企画管理者やシステム運用担当者が実施するが、経営層に
おいても、対策の整備に関する理解は必要である。
➢ 具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用可能な内容
を整備すること。例えば、他の医療機関等で策定された運用管理規程等をそのまま自医療機関等に転用したとし
ても、当該機関の運用実態との不一致により、適切な運用がなされずかえって情報セキュリティリスクが増大するお
それがある。また、極端に厳格な内容の規程類を整備しても、実際の運用が困難である場合には、実質的には死
文化して、有効な対策とはならない。
➢ また重要インフラとなる医療機関等においては、厚生労働省、医療機関等、サプライチェーンに関わる事業者等の
関係主体を網羅的かつ具体的に記載し、セキュリティ対策に関するそれぞれの役割を明記することが求められる。
その際、経営層の取組についても記載すること。
➢ 規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図り、実際に運用可能かつ適切な
内容を記載すること。
3.2.2 情報セキュリティ対策を踏まえた訓練・教育
➢ 規程類が適切に整備されている場合でも、その内容が医療情報システムの利用者をはじめ、関係者に認知されて
いなければ、当該規程類が遵守されていないことと同義である。このような場合、災害、サイバー攻撃等の非常事
- 10 -