よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (19 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
5.医療情報システム・サービス事業者との協働
【遵守事項】
① 委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステム関連事業
者を選定するよう指示すること。
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又はこれと同等の規格の認証を受け
ているシステム関連事業者を選定するよう指示すること。
③ 医療機関等で導入する医療情報システムは、システム運用編で求める要件を満たすシステムを選定するよう
指示すること。例えば認証に関しては、二要素認証に対応するシステムを選定することが必要となる。
④ 委託契約において、委託業務の内容やシステム関連事業者の体制、システム関連事業者との責任分界、シ
ステム関連事業者における情報の取扱い等、医療機関等が負う医療情報システムの管理に関して、協働する
上で認識の齟齬等が生じないように、適切な契約の締結や管理を行うよう企画管理者に指示すること。
⑤ 委託先事業者が、医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場合には、事前
に医療機関等に情報を提供し、協議・合意形成を経た上で承認を得ること等を契約の内容に含めるよう、企
画管理者に指示すること。
⑥ システム関連事業者に委託を行う際の責任分界の管理に関する重要性を認識し、医療機関と委託先事業
者との間での責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理するこ
とを、企画管理者やシステム運用担当者に指示すること。
5.1 事業者選定
5.1.1 事業者選定
➢ 外部委託により、医療情報システムの安全管理を行うためには、適切な情報システム・サービスを選定することが
求められる。選定に際しては、それらの機能や仕様等が、医療機関等が要求・想定する内容と合致することのみな
らず、情報セキュリティの観点からも十分な対策が講じられていることの確認が必要である。
➢ システムの機能や仕様等だけでなく、システム関連事業者自体の評価を行うことも重要であり、組織として情報セ
キュリティマネジメントを適切に講じていることが求められる。
➢ 個人情報保護法では委託先の監督が、個人情報取扱事業者の義務とされているが(同法第 25 条)、「個人
情報の保護に関する法律についてのガイドライン」(個人情報保護委員会)においては、適切な委託先の選定
を行うことがその義務に含まれており、安全管理措置が適切に行われている委託先を選定することとされている
(「個人情報の保護に関する法律についてのガイドライン(通則編)」P55)。また、医療情報を医療機関等の
外部に委託して保存する場合には、「診療録等の保存を行う場所について」(平成 14 年3月 29 日付け医政
発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年3月 25
日最終改正。)により、本ガイドライン及び「医療情報を取り扱う情報システム・サービスの提供事業者における安
全管理ガイドライン」(総務省・経済産業省)を遵守しているシステム関連事業者であることが必要とされている。
5.1.2 事業者選定の基準
➢ 外部委託においては、医療情報の取扱いに関する内容が含まれることから、委託先事業者においても、個人情報
保護等に関する対応の安全性が確保されていることが求められる。
➢ 個人情報保護に関しては「JIS Q 15001 個人情報保護マネジメントシステム」(プライバシーマーク制度と呼ば
- 16 -
【遵守事項】
① 委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステム関連事業
者を選定するよう指示すること。
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又はこれと同等の規格の認証を受け
ているシステム関連事業者を選定するよう指示すること。
③ 医療機関等で導入する医療情報システムは、システム運用編で求める要件を満たすシステムを選定するよう
指示すること。例えば認証に関しては、二要素認証に対応するシステムを選定することが必要となる。
④ 委託契約において、委託業務の内容やシステム関連事業者の体制、システム関連事業者との責任分界、シ
ステム関連事業者における情報の取扱い等、医療機関等が負う医療情報システムの管理に関して、協働する
上で認識の齟齬等が生じないように、適切な契約の締結や管理を行うよう企画管理者に指示すること。
⑤ 委託先事業者が、医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場合には、事前
に医療機関等に情報を提供し、協議・合意形成を経た上で承認を得ること等を契約の内容に含めるよう、企
画管理者に指示すること。
⑥ システム関連事業者に委託を行う際の責任分界の管理に関する重要性を認識し、医療機関と委託先事業
者との間での責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理するこ
とを、企画管理者やシステム運用担当者に指示すること。
5.1 事業者選定
5.1.1 事業者選定
➢ 外部委託により、医療情報システムの安全管理を行うためには、適切な情報システム・サービスを選定することが
求められる。選定に際しては、それらの機能や仕様等が、医療機関等が要求・想定する内容と合致することのみな
らず、情報セキュリティの観点からも十分な対策が講じられていることの確認が必要である。
➢ システムの機能や仕様等だけでなく、システム関連事業者自体の評価を行うことも重要であり、組織として情報セ
キュリティマネジメントを適切に講じていることが求められる。
➢ 個人情報保護法では委託先の監督が、個人情報取扱事業者の義務とされているが(同法第 25 条)、「個人
情報の保護に関する法律についてのガイドライン」(個人情報保護委員会)においては、適切な委託先の選定
を行うことがその義務に含まれており、安全管理措置が適切に行われている委託先を選定することとされている
(「個人情報の保護に関する法律についてのガイドライン(通則編)」P55)。また、医療情報を医療機関等の
外部に委託して保存する場合には、「診療録等の保存を行う場所について」(平成 14 年3月 29 日付け医政
発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年3月 25
日最終改正。)により、本ガイドライン及び「医療情報を取り扱う情報システム・サービスの提供事業者における安
全管理ガイドライン」(総務省・経済産業省)を遵守しているシステム関連事業者であることが必要とされている。
5.1.2 事業者選定の基準
➢ 外部委託においては、医療情報の取扱いに関する内容が含まれることから、委託先事業者においても、個人情報
保護等に関する対応の安全性が確保されていることが求められる。
➢ 個人情報保護に関しては「JIS Q 15001 個人情報保護マネジメントシステム」(プライバシーマーク制度と呼ば
- 16 -