よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (9 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2.リスク評価を踏まえた管理
【遵守事項】
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、リスク管理方針(リスクの回避・低減・移転・受容)を
決定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理、対策として求められる体制、ルール等について、企画、
整備、管理を、企画管理者に指示すること。
③ 方針及びリスク分析を踏まえ、具体的にシステム面からの最適なリスク管理措置を検討し、実装、運用するよ
う、企画管理者に指示すること。
④ リスク評価を踏まえ、医療情報の重要性、医療の継続性、経営資源、対策の継続可能性等に鑑みて、リス
ク管理方針を決定すること。
⑤ リスク評価結果及びリスク管理方針に関する説明責任を果たすこと。
⑥ リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資産のセキュリ
ティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。
⑦ 医療機関等のリスク管理方針に基づき、システム関連事業者による適切なリスク管理を実施し、医療機関
等の要求仕様への適合性を確認し、管理すること。
2.1 医療情報システムにおけるリスク評価の実施
➢
医療情報システムは機微性の高い個人情報を取り扱い、かつ、効率的かつ正確に医療を提供するためにも有用
であるので、リスクを回避・低減するためには高度な水準の安全管理対策が求められる。
➢
リスク分析・評価は、医療機関等が医療情報システムを利用する上でのリスク管理の方針を決める基礎となるほ
か、医療機関等の特性や事情を加味して、実施可能な対策を選定するための資料にもなる。
➢
医療情報システムに関する各リスクに対してどのようなリスク管理方針(リスクの回避・低減・移転・受容)を決定し、
対策を講じるのかの判断を行う際には、
医療の提供を継続するために、どの程度の経営資源を投入し、どのような対策を講じるか、
選定したリスク管理方針に基づき、残存するリスクにどのような対策を講じるか(例えば、稼働率を 100%に近
づけることが困難なシステムの場合には、一部紙媒体等での代替方策で診療等を継続できるようにする等)
を判断すること。
➢
リスク管理方針を検討するに際し、情報セキュリティの3要素である「機密性(Confidentiality)」、「完全性
(Integrity)」、「可用性(Availability)」のバランスを考慮することも重要である。
➢
企画管理者に、リスク分析を踏まえてリスク管理が必要な場面の整理や、対策を進める体制やルール等の整備、
管理を実施させること。
➢
企画管理者に対して、リスク管理方針やリスク評価を踏まえ、具体的なシステム面からの最適なリスク管理措置を
検討、実装、運用させること。このとき、例えば直接の作業をシステム運用担当者に実施させることを妨げるもので
はない。
-6-
【遵守事項】
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、リスク管理方針(リスクの回避・低減・移転・受容)を
決定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理、対策として求められる体制、ルール等について、企画、
整備、管理を、企画管理者に指示すること。
③ 方針及びリスク分析を踏まえ、具体的にシステム面からの最適なリスク管理措置を検討し、実装、運用するよ
う、企画管理者に指示すること。
④ リスク評価を踏まえ、医療情報の重要性、医療の継続性、経営資源、対策の継続可能性等に鑑みて、リス
ク管理方針を決定すること。
⑤ リスク評価結果及びリスク管理方針に関する説明責任を果たすこと。
⑥ リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資産のセキュリ
ティに関する管理を、通常業務の一環として整え、ISMS を策定し、実施すること。
⑦ 医療機関等のリスク管理方針に基づき、システム関連事業者による適切なリスク管理を実施し、医療機関
等の要求仕様への適合性を確認し、管理すること。
2.1 医療情報システムにおけるリスク評価の実施
➢
医療情報システムは機微性の高い個人情報を取り扱い、かつ、効率的かつ正確に医療を提供するためにも有用
であるので、リスクを回避・低減するためには高度な水準の安全管理対策が求められる。
➢
リスク分析・評価は、医療機関等が医療情報システムを利用する上でのリスク管理の方針を決める基礎となるほ
か、医療機関等の特性や事情を加味して、実施可能な対策を選定するための資料にもなる。
➢
医療情報システムに関する各リスクに対してどのようなリスク管理方針(リスクの回避・低減・移転・受容)を決定し、
対策を講じるのかの判断を行う際には、
医療の提供を継続するために、どの程度の経営資源を投入し、どのような対策を講じるか、
選定したリスク管理方針に基づき、残存するリスクにどのような対策を講じるか(例えば、稼働率を 100%に近
づけることが困難なシステムの場合には、一部紙媒体等での代替方策で診療等を継続できるようにする等)
を判断すること。
➢
リスク管理方針を検討するに際し、情報セキュリティの3要素である「機密性(Confidentiality)」、「完全性
(Integrity)」、「可用性(Availability)」のバランスを考慮することも重要である。
➢
企画管理者に、リスク分析を踏まえてリスク管理が必要な場面の整理や、対策を進める体制やルール等の整備、
管理を実施させること。
➢
企画管理者に対して、リスク管理方針やリスク評価を踏まえ、具体的なシステム面からの最適なリスク管理措置を
検討、実装、運用させること。このとき、例えば直接の作業をシステム運用担当者に実施させることを妨げるもので
はない。
-6-