よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第7.0版 企画管理編(案) (34 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
の者も対象となる。
➢
守秘義務については、就業時はもちろん、退職後においても遵守される必要がある。医療機関等の職員に対して
退職後を含めて医療情報に関する守秘義務を課すこと。
7.2 委託先事業者管理
➢
医療情報システム等を委託する場合には、委託先事業者である法人だけではなく、実際にその業務にあたる者に
対して、医療機関等の職員と同様の責任や守秘義務を課すことで、医療機関等としての人的管理を実現する
必要がある。
➢
企画管理者は、委託先事業者との契約に際して、委託先事業者と当該事業者で業務にあたる者との雇用契
約等において、守秘義務等を含んでいることを確認し、委託先事業者において人的管理が適切に行われることを
確認する必要がある。
7.3 教育・訓練
➢
医療機関等の職員が医療情報の安全管理に関して遵守すべき内容を十分理解できるよう、教育を行うことが
求められる。また、非常時などでも適切に行動できるよう、通常時における訓練の実施も求められる。
➢
企画管理者は、職員に対する教育・訓練を定期的に行うことが必要である。また、就業時間内に実施すること。
➢
医療情報システムの利用に関連する教育内容については、システムの担当者と協議の上、必要な事項を整理す
ることが求められる。特に、近年、医療機関等におけるサイバー攻撃被害により、地域医療の安全性を脅かす事
案も発生していることから、公表されている各種資料を参考に、職員への教育・育成を実施すること。
➢
医療情報システムの安全管理やセキュリティ対策業務に従事する人材に対し、独立行政法人情報処理推進機
構(IPA)の実施する「情報処理安全確保支援士」資格の取得、「情報セキュリティマネジメント試験」等の試
験合格、演習・訓練への参加等を推進することが望ましい。
7.4 委託先事業者選定
➢
適切な委託先事業者の選定は、個人情報保護法における委託先の監督(第 25 条)の一環として必要であ
るほか、医療情報を医療機関の外部に保存する場合に、「外部保存通知」(第2 1(2))にあるとおり安全
が確保された場所に保存する観点からも必要である。
➢
外部のシステム関連事業者との契約に基づいて、医療情報を外部保存する場合には、データセンター等の情報
処理の委託先事業者が総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業
者における安全管理ガイドライン」の要求事項を満たしていることを確認し、契約等においてもそれらを遵守するこ
とを明確に定めること。
➢
委託先事業者の選定を法令等の要求に基づいて適切に行う必要があるほか、リスク評価を踏まえた観点からも
適切に選定を行う必要がある。また、当該選定に際しては、担当者と協議し、技術的な観点からの妥当性なども
加味すること。なお、選定時に認識されたリスク評価内容はその後変化しうる。特にサイバーセキュリティにおいては、
攻撃方法の巧妙化に伴い、適宜、リスク対応の再検討を要する。対象事業者が行うリスクの管理体制や、リスク
が選定時以降に上昇した場合の対応も想定することが望ましい。契約時の取決め内容においてもこれに関する
随時の情報提供等を含めることが重要である。
➢
重要度の高い委託の場合は、経営層に丁寧に報告の上、承認を得ること。
- 28 -
➢
守秘義務については、就業時はもちろん、退職後においても遵守される必要がある。医療機関等の職員に対して
退職後を含めて医療情報に関する守秘義務を課すこと。
7.2 委託先事業者管理
➢
医療情報システム等を委託する場合には、委託先事業者である法人だけではなく、実際にその業務にあたる者に
対して、医療機関等の職員と同様の責任や守秘義務を課すことで、医療機関等としての人的管理を実現する
必要がある。
➢
企画管理者は、委託先事業者との契約に際して、委託先事業者と当該事業者で業務にあたる者との雇用契
約等において、守秘義務等を含んでいることを確認し、委託先事業者において人的管理が適切に行われることを
確認する必要がある。
7.3 教育・訓練
➢
医療機関等の職員が医療情報の安全管理に関して遵守すべき内容を十分理解できるよう、教育を行うことが
求められる。また、非常時などでも適切に行動できるよう、通常時における訓練の実施も求められる。
➢
企画管理者は、職員に対する教育・訓練を定期的に行うことが必要である。また、就業時間内に実施すること。
➢
医療情報システムの利用に関連する教育内容については、システムの担当者と協議の上、必要な事項を整理す
ることが求められる。特に、近年、医療機関等におけるサイバー攻撃被害により、地域医療の安全性を脅かす事
案も発生していることから、公表されている各種資料を参考に、職員への教育・育成を実施すること。
➢
医療情報システムの安全管理やセキュリティ対策業務に従事する人材に対し、独立行政法人情報処理推進機
構(IPA)の実施する「情報処理安全確保支援士」資格の取得、「情報セキュリティマネジメント試験」等の試
験合格、演習・訓練への参加等を推進することが望ましい。
7.4 委託先事業者選定
➢
適切な委託先事業者の選定は、個人情報保護法における委託先の監督(第 25 条)の一環として必要であ
るほか、医療情報を医療機関の外部に保存する場合に、「外部保存通知」(第2 1(2))にあるとおり安全
が確保された場所に保存する観点からも必要である。
➢
外部のシステム関連事業者との契約に基づいて、医療情報を外部保存する場合には、データセンター等の情報
処理の委託先事業者が総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業
者における安全管理ガイドライン」の要求事項を満たしていることを確認し、契約等においてもそれらを遵守するこ
とを明確に定めること。
➢
委託先事業者の選定を法令等の要求に基づいて適切に行う必要があるほか、リスク評価を踏まえた観点からも
適切に選定を行う必要がある。また、当該選定に際しては、担当者と協議し、技術的な観点からの妥当性なども
加味すること。なお、選定時に認識されたリスク評価内容はその後変化しうる。特にサイバーセキュリティにおいては、
攻撃方法の巧妙化に伴い、適宜、リスク対応の再検討を要する。対象事業者が行うリスクの管理体制や、リスク
が選定時以降に上昇した場合の対応も想定することが望ましい。契約時の取決め内容においてもこれに関する
随時の情報提供等を含めることが重要である。
➢
重要度の高い委託の場合は、経営層に丁寧に報告の上、承認を得ること。
- 28 -