よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第7.0版 企画管理編(案) (40 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
9.医療情報システムに用いる情報機器等の資産管理
【遵守事項】
① 医療情報システムにおいて用いる情報機器等の資産管理を行うのに必要な規程その他の資料を整備し、そ
の管理を行うこと。(なお、情報機器等には、物理的な資産のほか、医療情報システムが利用するサービス、
ライセンスなども含む。)
② 医療機関等が管理する情報機器等について、台帳管理等を行うこと。台帳管理等の対象は、医療機関等
内部の購入部署や購入形態に関わらず、医療情報システムで利用する情報機器等全てとすること。
③ 台帳管理されている医療情報システムに用いる情報機器等の棚卸を定期的に行い、存在確認を行うこと。
また担当者と協働して、滅失状況などについても適宜確認すること。
④ 医療情報システムにおけるサプライチェーンについて、医療情報システム等の情報資産に関係する事業者にシ
ステムの管理体制や供給体制を確認し、サプライチェーンリスクの所在について整理すること。
⑤ 医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用に適した状況にあることを定
期的に確認すること。確認にあたっては、システム運用担当者に対して、情報機器等における状況(ソフトウェ
アやファームウェアのアップデートの状況、脆弱性に関する対応状況等)を確認するよう指示し、報告を受け、
適宜必要な対応を行うこと。
⑥ 医療情報システムが利用するサービスに関して、安全管理の観点から、利用に適した状況にあることを定期
的に確認すること。確認にあたっては、システム運用担当者に対してサービスにおける状況(サービスの機密
性、クラウドサービス等における可用性、システム関連事業者が示す規約内容の変更状況等)が適切なもの
となっていることを確認するよう指示し、報告を受けた上で、必要があれば契約変更等の対応を行うこと。
⑦ 医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えば BYOD4端末の利用)につ
いて、利用を許諾する条件や、利用範囲、管理方法等に関する内容を規程等に含めること。また、これに基づ
いて利用される情報機器等について、利用の許諾状況も含めて、医療機関等が管理する情報機器同様に、
台帳管理等を行うこと。
⑧ 医療情報システムで利用する情報機器等の資産管理状況を把握した上で、経営層に報告し、承認を得る
こと。
9.1 情報機器等の台帳管理
➢
医療情報システムで用いる情報機器等に関する安全性を確保するためには、利用を予定している情報機器等の
所在、またそれらの情報機器等の使用可否等を、適切に管理する必要がある。
➢
企画管理者は、医療情報システムで用いる情報機器等について、台帳管理を行い、情報機器等が利用に適し
た状況にあることを確認可能としておく必要がある。台帳で管理する内容としては、情報機器等の所在や利用者、
使用するソフトウェアやサービスのバージョン、ライセンスの状況などが想定される。
➢
昨今の医療情報システムでは、BYOD 端末などの利用も想定される。企画管理者は、こうした医療機関等が管
理しない端末の利用についても、その利用条件や利用範囲、管理方法などについての規則を策定した上で、併
せて台帳管理すること。加えて、BYOD での利用に関する具体的な条件等について担当者と協議し、必要に応
じて技術的な対応を講じ、規則の内容に含めること。
➢
4
整備した台帳を定期的に棚卸しして、適切な状況にあることを確認する必要がある。
BYOD:Bring Your Own Device。業務において個人所有の情報機器を利用することを指す。
- 34 -
【遵守事項】
① 医療情報システムにおいて用いる情報機器等の資産管理を行うのに必要な規程その他の資料を整備し、そ
の管理を行うこと。(なお、情報機器等には、物理的な資産のほか、医療情報システムが利用するサービス、
ライセンスなども含む。)
② 医療機関等が管理する情報機器等について、台帳管理等を行うこと。台帳管理等の対象は、医療機関等
内部の購入部署や購入形態に関わらず、医療情報システムで利用する情報機器等全てとすること。
③ 台帳管理されている医療情報システムに用いる情報機器等の棚卸を定期的に行い、存在確認を行うこと。
また担当者と協働して、滅失状況などについても適宜確認すること。
④ 医療情報システムにおけるサプライチェーンについて、医療情報システム等の情報資産に関係する事業者にシ
ステムの管理体制や供給体制を確認し、サプライチェーンリスクの所在について整理すること。
⑤ 医療情報システムにおいて利用する情報機器等が、安全管理の観点から利用に適した状況にあることを定
期的に確認すること。確認にあたっては、システム運用担当者に対して、情報機器等における状況(ソフトウェ
アやファームウェアのアップデートの状況、脆弱性に関する対応状況等)を確認するよう指示し、報告を受け、
適宜必要な対応を行うこと。
⑥ 医療情報システムが利用するサービスに関して、安全管理の観点から、利用に適した状況にあることを定期
的に確認すること。確認にあたっては、システム運用担当者に対してサービスにおける状況(サービスの機密
性、クラウドサービス等における可用性、システム関連事業者が示す規約内容の変更状況等)が適切なもの
となっていることを確認するよう指示し、報告を受けた上で、必要があれば契約変更等の対応を行うこと。
⑦ 医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えば BYOD4端末の利用)につ
いて、利用を許諾する条件や、利用範囲、管理方法等に関する内容を規程等に含めること。また、これに基づ
いて利用される情報機器等について、利用の許諾状況も含めて、医療機関等が管理する情報機器同様に、
台帳管理等を行うこと。
⑧ 医療情報システムで利用する情報機器等の資産管理状況を把握した上で、経営層に報告し、承認を得る
こと。
9.1 情報機器等の台帳管理
➢
医療情報システムで用いる情報機器等に関する安全性を確保するためには、利用を予定している情報機器等の
所在、またそれらの情報機器等の使用可否等を、適切に管理する必要がある。
➢
企画管理者は、医療情報システムで用いる情報機器等について、台帳管理を行い、情報機器等が利用に適し
た状況にあることを確認可能としておく必要がある。台帳で管理する内容としては、情報機器等の所在や利用者、
使用するソフトウェアやサービスのバージョン、ライセンスの状況などが想定される。
➢
昨今の医療情報システムでは、BYOD 端末などの利用も想定される。企画管理者は、こうした医療機関等が管
理しない端末の利用についても、その利用条件や利用範囲、管理方法などについての規則を策定した上で、併
せて台帳管理すること。加えて、BYOD での利用に関する具体的な条件等について担当者と協議し、必要に応
じて技術的な対応を講じ、規則の内容に含めること。
➢
4
整備した台帳を定期的に棚卸しして、適切な状況にあることを確認する必要がある。
BYOD:Bring Your Own Device。業務において個人所有の情報機器を利用することを指す。
- 34 -