よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (8 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
た者に対する必要かつ適切な監督を行わなければならない。」と規定されており、具体的内容については、「医療・
介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務
等 7.安全管理措置、従業者の監督及び委託先の監督(法第 23 条~第 25 条)」において示されてい
る。
➢
委託先事業者における医療情報システムの管理も、医療機関等の管理責任に含まれる。
➢
委託先事業者の過失による情報セキュリティインシデントについても医療機関等が責任を免れることはできず、医
療機関等が患者等に対する責任を負うため、適切なシステム関連事業者の選定が求められる。一方で、情報セ
キュリティインシデントが生じた際、具体的な運用や技術的要因などの分析や対応は、契約内容に基づき、委託
先事業者が実施することになる。
1.3.2 委託(第三者委託)における責任分界
➢
契約等の取決めを踏まえて業務等を委託する際には、以下の点に留意しながら、システム関連事業者と認識の
齟齬等が生じないよう協議することが求められる。
・ 医療機関等が委託先事業者との間で締結する委託契約では、委託する内容や分担する役割を明確にし、
その責任の所在を明確にした上で、契約書等に示す必要がある。特に複数のシステム関連事業者が関係する
場合もあるため、医療機関等と各システム関連事業者における責任の内容を整理し、適切に管理すること。
・ 責任分界には、「法律上の責任の範囲を明確にする責任分界」「具体的な運用及び対応の範囲を明確にす
る責任分界」等が想定される。インシデント発生時における原因究明のための具体的運用及び対応範囲につ
いても、法律上の責任の範囲を踏まえ、認識の齟齬等が生じないよう設定すること。
法律上の責任範囲を示す一般的な契約書などでは、具体的な記載がなじまない場合があるため、具体的
運用及び対応範囲については、企画管理者やシステム運用担当者のマニュアル等をシステム関連事業者と共
有し、明確にするなどの方法が考えられる。
➢
委託先事業者との責任分界については、「5.医療情報システム・サービス事業者との協働」も参照されたい。
1.4 第三者提供における責任
➢
第三者提供とは、第三者が何らかの目的で医療情報を利用するために行われるものである。医療機関等が第三
者提供を行う場合の対応については、個人情報保護法や「医療・介護関係事業者における個人情報の適切な
取扱いのためのガイダンス」に示されており、医療機関等は、安全に医療情報を提供する責任を負う。
➢
提供された医療情報を受領した第三者は、当該情報を適切に管理する責任が生じる。なお、原則として適切な
第三者提供がなされる限り、提供元の医療機関等は、提供先の当該情報の保護に関する責任を免れる。ただ
し、提供元の医療機関等において、第三者提供の元となった情報を保有する限り、引き続き提供元における当
該情報に対する適切な管理責任を負う。
➢
医療機関等側から医療情報を送信し、第三者側で受信するまでの医療情報の取扱いに関して、責任の範囲を
明確にすること。具体的な責任の範囲については、例えば医療情報連携ネットワークへの情報提供や患者等の
指示による提供など実際に第三者提供を行う業務やその目的により異なるため、事象に応じて整理を行う必要
がある。
-5-
介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務
等 7.安全管理措置、従業者の監督及び委託先の監督(法第 23 条~第 25 条)」において示されてい
る。
➢
委託先事業者における医療情報システムの管理も、医療機関等の管理責任に含まれる。
➢
委託先事業者の過失による情報セキュリティインシデントについても医療機関等が責任を免れることはできず、医
療機関等が患者等に対する責任を負うため、適切なシステム関連事業者の選定が求められる。一方で、情報セ
キュリティインシデントが生じた際、具体的な運用や技術的要因などの分析や対応は、契約内容に基づき、委託
先事業者が実施することになる。
1.3.2 委託(第三者委託)における責任分界
➢
契約等の取決めを踏まえて業務等を委託する際には、以下の点に留意しながら、システム関連事業者と認識の
齟齬等が生じないよう協議することが求められる。
・ 医療機関等が委託先事業者との間で締結する委託契約では、委託する内容や分担する役割を明確にし、
その責任の所在を明確にした上で、契約書等に示す必要がある。特に複数のシステム関連事業者が関係する
場合もあるため、医療機関等と各システム関連事業者における責任の内容を整理し、適切に管理すること。
・ 責任分界には、「法律上の責任の範囲を明確にする責任分界」「具体的な運用及び対応の範囲を明確にす
る責任分界」等が想定される。インシデント発生時における原因究明のための具体的運用及び対応範囲につ
いても、法律上の責任の範囲を踏まえ、認識の齟齬等が生じないよう設定すること。
法律上の責任範囲を示す一般的な契約書などでは、具体的な記載がなじまない場合があるため、具体的
運用及び対応範囲については、企画管理者やシステム運用担当者のマニュアル等をシステム関連事業者と共
有し、明確にするなどの方法が考えられる。
➢
委託先事業者との責任分界については、「5.医療情報システム・サービス事業者との協働」も参照されたい。
1.4 第三者提供における責任
➢
第三者提供とは、第三者が何らかの目的で医療情報を利用するために行われるものである。医療機関等が第三
者提供を行う場合の対応については、個人情報保護法や「医療・介護関係事業者における個人情報の適切な
取扱いのためのガイダンス」に示されており、医療機関等は、安全に医療情報を提供する責任を負う。
➢
提供された医療情報を受領した第三者は、当該情報を適切に管理する責任が生じる。なお、原則として適切な
第三者提供がなされる限り、提供元の医療機関等は、提供先の当該情報の保護に関する責任を免れる。ただ
し、提供元の医療機関等において、第三者提供の元となった情報を保有する限り、引き続き提供元における当
該情報に対する適切な管理責任を負う。
➢
医療機関等側から医療情報を送信し、第三者側で受信するまでの医療情報の取扱いに関して、責任の範囲を
明確にすること。具体的な責任の範囲については、例えば医療情報連携ネットワークへの情報提供や患者等の
指示による提供など実際に第三者提供を行う業務やその目的により異なるため、事象に応じて整理を行う必要
がある。
-5-