よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
態が発生した際にも適切に実行できない可能性が高い。
➢ このため、整備した規程類及び情報セキュリティ対策については、関係者が認知し、遵守することができるよう、通
常時から定期的に教育・訓練することが重要である。この教育・訓練については、医療情報システムに関係する者
全員に対して行うことが重要である。
➢ 教育・訓練は、過度の負担にならない範囲で定期的に実施することが求められる。医療情報システムを取り巻く情
報セキュリティに関する脅威が日々変化していることも踏まえると、その対策も随時更新されるものであるため、更新
内容に応じた教育・訓練の実施が重要である。
3.3 安全管理対策の管理
3.3.1 安全管理状況の自己点検
➢ 情報セキュリティ対策の実効性を担保するためには、医療情報システムに関する安全管理対策が適切に実施され
ていることを確認し、その結果を把握・分析する必要がある。具体的には、規程類に基づく医療機関等内の運用
状況のほか、規程類を踏まえた医療情報システム・サービスの機能の実装状況、運用状況、利用者における遵守
状況等を内部で点検することが必要である。
➢ 当該点検は、医療機関等の各システム運用担当者が自ら行うことが想定される。この自己点検により、職員等が
自らの役割に応じた適切な対策事項を実施しているか確認することができる。個々の情報セキュリティ対策の妥当
性を確認することで、組織全体の対策水準の適切性の確認に資することも期待される。
➢ 経営層においては、企画管理者やシステム運用担当者に定期的に自己点検を実施するよう指示し、その点検結
果を把握した上で、必要に応じて、改善に向けた対応を指示すること。
3.3.2 情報セキュリティ監査
➢ 医療機関等における主な説明責任の1つとして、医療情報システムの運用等が適切に行われていることを患者
等に説明できるようにすることがあげられる。この説明責任を果たすために、医療情報システムが、情報セキュリティ
方針に基づいて機能・運用されているかどうかを定期的に監査し、その結果を文書で整理することが必要である。
➢ 監査は、結果の信頼性という観点から、例えば、企画管理者や医療情報システムの運用担当者から独立した組
織による内部監査や、外部機関による監査など、独立性を有する者により実施されることが望ましい。
➢ 監査の結果で課題や問題点が明らかになった場合は、経営層や情報セキュリティに関する最高責任者においては、
安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示し、必要な対応を講じさせるとと
もに、その対応結果を適切にフォローすることが重要である。
3.4 情報セキュリティインシデントへの対策と対応
3.4.1 事業継続計画(BCP:Business Continuity Plan)の整備と訓練
➢ 情報セキュリティインシデントが発生し、医療情報システムの可用性が損なわれるような事態に備えて、通常時から、
非常時における医療情報システムの運用に関する対応を整理することが重要である。この際、業務継続の可否の
判断基準や継続する業務内容の選定等に係る意思決定プロセスを検討した上で、BCP 等を整備すること。例え
ば、電子カルテシステムが止まっている間、紙運用で診療業務を継続するのか等、経営層はその対応内容につい
て、BCP に応じて判断しなければならない。また、上記の非常時に至る主な原因としては、災害、サイバー攻撃、
システム障害等が想定され、原因の違いに応じた適切な対応をとることが求められる。企画管理編及びシステム運
- 11 -
➢ このため、整備した規程類及び情報セキュリティ対策については、関係者が認知し、遵守することができるよう、通
常時から定期的に教育・訓練することが重要である。この教育・訓練については、医療情報システムに関係する者
全員に対して行うことが重要である。
➢ 教育・訓練は、過度の負担にならない範囲で定期的に実施することが求められる。医療情報システムを取り巻く情
報セキュリティに関する脅威が日々変化していることも踏まえると、その対策も随時更新されるものであるため、更新
内容に応じた教育・訓練の実施が重要である。
3.3 安全管理対策の管理
3.3.1 安全管理状況の自己点検
➢ 情報セキュリティ対策の実効性を担保するためには、医療情報システムに関する安全管理対策が適切に実施され
ていることを確認し、その結果を把握・分析する必要がある。具体的には、規程類に基づく医療機関等内の運用
状況のほか、規程類を踏まえた医療情報システム・サービスの機能の実装状況、運用状況、利用者における遵守
状況等を内部で点検することが必要である。
➢ 当該点検は、医療機関等の各システム運用担当者が自ら行うことが想定される。この自己点検により、職員等が
自らの役割に応じた適切な対策事項を実施しているか確認することができる。個々の情報セキュリティ対策の妥当
性を確認することで、組織全体の対策水準の適切性の確認に資することも期待される。
➢ 経営層においては、企画管理者やシステム運用担当者に定期的に自己点検を実施するよう指示し、その点検結
果を把握した上で、必要に応じて、改善に向けた対応を指示すること。
3.3.2 情報セキュリティ監査
➢ 医療機関等における主な説明責任の1つとして、医療情報システムの運用等が適切に行われていることを患者
等に説明できるようにすることがあげられる。この説明責任を果たすために、医療情報システムが、情報セキュリティ
方針に基づいて機能・運用されているかどうかを定期的に監査し、その結果を文書で整理することが必要である。
➢ 監査は、結果の信頼性という観点から、例えば、企画管理者や医療情報システムの運用担当者から独立した組
織による内部監査や、外部機関による監査など、独立性を有する者により実施されることが望ましい。
➢ 監査の結果で課題や問題点が明らかになった場合は、経営層や情報セキュリティに関する最高責任者においては、
安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示し、必要な対応を講じさせるとと
もに、その対応結果を適切にフォローすることが重要である。
3.4 情報セキュリティインシデントへの対策と対応
3.4.1 事業継続計画(BCP:Business Continuity Plan)の整備と訓練
➢ 情報セキュリティインシデントが発生し、医療情報システムの可用性が損なわれるような事態に備えて、通常時から、
非常時における医療情報システムの運用に関する対応を整理することが重要である。この際、業務継続の可否の
判断基準や継続する業務内容の選定等に係る意思決定プロセスを検討した上で、BCP 等を整備すること。例え
ば、電子カルテシステムが止まっている間、紙運用で診療業務を継続するのか等、経営層はその対応内容につい
て、BCP に応じて判断しなければならない。また、上記の非常時に至る主な原因としては、災害、サイバー攻撃、
システム障害等が想定され、原因の違いに応じた適切な対応をとることが求められる。企画管理編及びシステム運
- 11 -