よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (7 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
に関わらず、当該システムを利用する限りにおいて医療機関等で負う責任である。
➢
個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 23 条にお
いて、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの
安全管理のために必要かつ適切な措置を講じなければならない。」と規定されており、医療機関等はこの規定に
従い、必要な措置を講ずる必要がある。
➢
定期的に管理状況に関する報告を受け、管理実態や責任の所在が明確になるよう、監督する必要がある。
<定期的な見直し、必要な改善を行う責任>
➢
情報システムの安全管理に関する技術や手法は日進月歩であり、安全管理体制が陳腐化するおそれがあるため、
安全管理の仕組みの改善を常に心がけ、評価・検討を定期的に行う責任がある。
➢
医療情報システムの管理に関する状況を定期的に検証し、問題や課題を洗い出し、必要な対策を講じて、管理
方法や体制を改善することが求められる。
➢
医療機関等のみで最新の技術動向を随時把握することが難しい場合は、システム関連事業者に技術動向や管
理手法等に関する情報提供を依頼することで、安全管理の改善に必要な情報を収集することも想定される。
1.2.2 非常時における責任
<情報セキュリティインシデントの原因・影響等に関する説明責任>
➢
非常時における説明責任とは、医療情報システムの安全管理上望ましくない事象、例えば、情報漏えいや情報
システム障害等の情報セキュリティインシデントが生じた場合に、事態の発生を公表し、その原因と影響、対応方
針や対処方法等を説明する責任である。
➢
患者等への説明に加え、所管官庁への報告や公表なども必要である。
<再発防止策等の善後策を講ずる責任>
➢
情報セキュリティインシデントが生じた場合は、医療情報システムを用いた診療の継続に向けた業務復旧等を図る
ために、善後策を講じる必要がある。善後策を講ずる責任には、「原因を究明する責任」と「再発防止策を講ずる
責任」が含まれる。
➢
「原因を究明する責任」とは、情報セキュリティインシデントの発生原因を明らかにする責任である。原因が不明な
状態では、再発の可能性が解消されない。このため、可及的速やかに原因を究明すること。
➢
「再発防止策を講ずる責任」とは、究明された発生原因に対して、同様の事象が再び発生しないよう必要な防
止策を講じる責任である。医療機関等のみでは具体的な再発防止策の検討が困難な場合もあるため、適宜シ
ステム関連事業者や外部有識者などと連携して進めること。
1.3 委託における責任
1.3.1 委託(第三者委託)における責任
➢
医療情報システムの安全管理について、システム関連事業者に委託する場合は、医療機関等には委託先事業
者を監督する責任がある。個人情報保護法第 25 条では、「個人情報取扱事業者は、個人データの取扱いの
全部又は一部を委託する場合1は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受け
1
対象事業者がクラウドサービスを提供する事業者であって、当該事業者が個人データを取り扱わないこととなっている場合(契約条項に
よって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等)に
は、医療機関等は個人データを「提供」したことにならず(「個人情報の保護に関する法律についてのガイドライン」に関する Q&A
A7-53 参照)、個人情報保護法 25 条に基づきクラウドサービス事業者を監督する義務はない。一方で、医療機関等は、自ら果た
すべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある。
-4-
➢
個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)第 23 条にお
いて、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの
安全管理のために必要かつ適切な措置を講じなければならない。」と規定されており、医療機関等はこの規定に
従い、必要な措置を講ずる必要がある。
➢
定期的に管理状況に関する報告を受け、管理実態や責任の所在が明確になるよう、監督する必要がある。
<定期的な見直し、必要な改善を行う責任>
➢
情報システムの安全管理に関する技術や手法は日進月歩であり、安全管理体制が陳腐化するおそれがあるため、
安全管理の仕組みの改善を常に心がけ、評価・検討を定期的に行う責任がある。
➢
医療情報システムの管理に関する状況を定期的に検証し、問題や課題を洗い出し、必要な対策を講じて、管理
方法や体制を改善することが求められる。
➢
医療機関等のみで最新の技術動向を随時把握することが難しい場合は、システム関連事業者に技術動向や管
理手法等に関する情報提供を依頼することで、安全管理の改善に必要な情報を収集することも想定される。
1.2.2 非常時における責任
<情報セキュリティインシデントの原因・影響等に関する説明責任>
➢
非常時における説明責任とは、医療情報システムの安全管理上望ましくない事象、例えば、情報漏えいや情報
システム障害等の情報セキュリティインシデントが生じた場合に、事態の発生を公表し、その原因と影響、対応方
針や対処方法等を説明する責任である。
➢
患者等への説明に加え、所管官庁への報告や公表なども必要である。
<再発防止策等の善後策を講ずる責任>
➢
情報セキュリティインシデントが生じた場合は、医療情報システムを用いた診療の継続に向けた業務復旧等を図る
ために、善後策を講じる必要がある。善後策を講ずる責任には、「原因を究明する責任」と「再発防止策を講ずる
責任」が含まれる。
➢
「原因を究明する責任」とは、情報セキュリティインシデントの発生原因を明らかにする責任である。原因が不明な
状態では、再発の可能性が解消されない。このため、可及的速やかに原因を究明すること。
➢
「再発防止策を講ずる責任」とは、究明された発生原因に対して、同様の事象が再び発生しないよう必要な防
止策を講じる責任である。医療機関等のみでは具体的な再発防止策の検討が困難な場合もあるため、適宜シ
ステム関連事業者や外部有識者などと連携して進めること。
1.3 委託における責任
1.3.1 委託(第三者委託)における責任
➢
医療情報システムの安全管理について、システム関連事業者に委託する場合は、医療機関等には委託先事業
者を監督する責任がある。個人情報保護法第 25 条では、「個人情報取扱事業者は、個人データの取扱いの
全部又は一部を委託する場合1は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受け
1
対象事業者がクラウドサービスを提供する事業者であって、当該事業者が個人データを取り扱わないこととなっている場合(契約条項に
よって当該事業者がサーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等)に
は、医療機関等は個人データを「提供」したことにならず(「個人情報の保護に関する法律についてのガイドライン」に関する Q&A
A7-53 参照)、個人情報保護法 25 条に基づきクラウドサービス事業者を監督する義務はない。一方で、医療機関等は、自ら果た
すべき安全管理措置の一環として、適切な安全管理措置を講じる必要がある。
-4-