よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第7.0版 企画管理編(案) (20 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
供 一
す シ
る ス
サ テ
ー ム
ビ 関
ス 連
を 事
利 業
用 者
が
複
数
の
サ
ー
ビ
ス
を
組
み
合
わ
せ
て
提
医療機関等
①
サービス提供
クラウドサービス事業者A
②
サービス提供
クラウドサービス事業者B
医療機関等は利用する事業者 A と取り決め(①)、A が他のサービス B を利用(②:別の
階層サービスを利用)
医療機関等
サービス
提供
①
サービス提供
クラウドサービス事業者B
クラウドサービス事業者A
②
医療機関等が利用する事業者 A と取り決め(①)、A が他のサービス B を利用(②:別の機
能のサービスを利用)
出所:クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)より作成
(2)医療機関等が利用するサービスの類型による責任分界
➢
医療機関等が利用するサービス類型により、医療機関等が直接管理できる医療情報システムの範囲が異なる
場合がある。
➢
クラウドサービスの場合、医療情報システムが利用するソフトウェア・ミドルウェア・ハードウェアなどのクラウドサービス
のリソースの層により、SaaS、PaaS、IaaS などの類型に分類される。このうち SaaS では、医療情報システムのア
プリケーションの層、PaaS では、医療情報システムが利用するミドルウェアの層、IaaS では医療情報システムが利
用するサーバやネットワークなどのインフラの層がサービスとして提供されることになる。
➢
従って、例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任をシステ
ム関連事業者に委ねることになるため、アプリケーション部分に関する安全管理ガイドラインの遵守状況を確認す
るに当たって、システム関連事業者との責任分界の検討は必要となる。
➢
このように、利用するサービスの内容により、それぞれが負うべき責任の内容が異なるため、企画管理者は、委託に
より医療機関等が行うべき安全管理のうちどの部分の責任をどちらが負うのかといった責任分界を取り決めるととも
に、それぞれが対応する安全管理の具体的な内容についてシステム関連事業者と取り決めることが求められる。
➢
クラウドサービスなどを利用する場合には、利用者側でもルールの策定や設定等の役割などを果たすことが求めら
れる。このような役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイドライン」
(総務省 令和 4 年 10 月 31 日)などでも示されている。システム運用担当者は、このような資料を参考にし
て、システム関連事業者との技術的な役割分担についても調整することが求められる。
2.2.3 第三者提供における責任分界
➢
医療機関等が管理する医療情報を第三者に提供する場合には、医療機関等と提供先の第三者との間で責任
分界を取り決めることになる。この場合、医療情報データの送信、受信に係る責任分界など技術的対策に関する
内容のほか、医療情報の提供に係る法律上の義務への対応(第三者提供に関する手続等)の分担なども確
- 14 -
す シ
る ス
サ テ
ー ム
ビ 関
ス 連
を 事
利 業
用 者
が
複
数
の
サ
ー
ビ
ス
を
組
み
合
わ
せ
て
提
医療機関等
①
サービス提供
クラウドサービス事業者A
②
サービス提供
クラウドサービス事業者B
医療機関等は利用する事業者 A と取り決め(①)、A が他のサービス B を利用(②:別の
階層サービスを利用)
医療機関等
サービス
提供
①
サービス提供
クラウドサービス事業者B
クラウドサービス事業者A
②
医療機関等が利用する事業者 A と取り決め(①)、A が他のサービス B を利用(②:別の機
能のサービスを利用)
出所:クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)より作成
(2)医療機関等が利用するサービスの類型による責任分界
➢
医療機関等が利用するサービス類型により、医療機関等が直接管理できる医療情報システムの範囲が異なる
場合がある。
➢
クラウドサービスの場合、医療情報システムが利用するソフトウェア・ミドルウェア・ハードウェアなどのクラウドサービス
のリソースの層により、SaaS、PaaS、IaaS などの類型に分類される。このうち SaaS では、医療情報システムのア
プリケーションの層、PaaS では、医療情報システムが利用するミドルウェアの層、IaaS では医療情報システムが利
用するサーバやネットワークなどのインフラの層がサービスとして提供されることになる。
➢
従って、例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任をシステ
ム関連事業者に委ねることになるため、アプリケーション部分に関する安全管理ガイドラインの遵守状況を確認す
るに当たって、システム関連事業者との責任分界の検討は必要となる。
➢
このように、利用するサービスの内容により、それぞれが負うべき責任の内容が異なるため、企画管理者は、委託に
より医療機関等が行うべき安全管理のうちどの部分の責任をどちらが負うのかといった責任分界を取り決めるととも
に、それぞれが対応する安全管理の具体的な内容についてシステム関連事業者と取り決めることが求められる。
➢
クラウドサービスなどを利用する場合には、利用者側でもルールの策定や設定等の役割などを果たすことが求めら
れる。このような役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイドライン」
(総務省 令和 4 年 10 月 31 日)などでも示されている。システム運用担当者は、このような資料を参考にし
て、システム関連事業者との技術的な役割分担についても調整することが求められる。
2.2.3 第三者提供における責任分界
➢
医療機関等が管理する医療情報を第三者に提供する場合には、医療機関等と提供先の第三者との間で責任
分界を取り決めることになる。この場合、医療情報データの送信、受信に係る責任分界など技術的対策に関する
内容のほか、医療情報の提供に係る法律上の義務への対応(第三者提供に関する手続等)の分担なども確
- 14 -