よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.責任分界
【遵守事項】
① 医療情報システムに関する委託において、役割分担を検討するため、事業者から必要な情報等の収集を行
うとともに、提供された情報が正確であることを事業者に確認すること。
② 事業者と技術的な対応に関する責任分界を調整する際には、医療機関でのリスク評価に基づく要求仕様へ
の適合性を十分に確認し、必要な調整を行うこと。
③ 技術的な対応に関する役割分担を、委託先事業者との間で調整し、企画管理者に対してその結果を報告
すること。
④ サイバー攻撃等が生じた場合の技術的な対応や対外的な説明に関する役割について、事業者と調整し、そ
の結果を企画管理者に報告すること。
⑤ 第三者提供を行う際には、企画管理者と協議の上、医療機関等のリスク評価を踏まえて技術的な対応に
関する責任分界を検討し、企画管理者に報告すること。
3.1 技術的な対応における責任分界決定の考慮事項
➢
医療情報システムの運用等を委託する場合、提供されるシステム・サービスの機能仕様が、法令、本ガイドライン
や関連ガイドラインに適合していることを、医療機関等で直接確認できない可能性がある。
➢
システム運用担当者は、技術的な対応に関する情報システム・サービスの機能仕様に関する情報と、その内容が
正確であることを示す資料を、事業者から提出を求め、その確認を行うこと。
3.2 要求仕様適合性の確認を踏まえた調整
➢
技術的な対応に関する責任分界を設定する際は、提供される情報システム・サービスについて、事業者がどのよう
なリスク評価を踏まえて、対応を分担するのかに関する情報を収集することが求められる。
➢
例えば、厚生労働省標準規格となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書(略
称 :MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリストの提供を受け、リスクコミュニケーションを図ることが
想定される。
➢
その他、総務省・経済産業省の定める「医療情報を取り扱う情報システム・サービスの提供事業者における安全
管理ガイドライン」(以下「2省ガイドライン」という)において、医療機関等と事業者との間でリスクコミュニケーシ
ョンを図る際には、合意形成に必要な情報を提供することとされている。具体的な内容は同ガイドライン別紙1
「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」
により示されてい
るため、参考とすること。
➢
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認すること。また、
必要に応じて事業者と個別の調整を行い、リスク分担などを行うこと。
➢
クラウドサービスなどを利用する場合には、利用者側でも設定等の役割を果たすことなどが求められる。このような
役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイドライン」(総務省令和 4 年
10 月 31 日)などでも示されている。
-4-
【遵守事項】
① 医療情報システムに関する委託において、役割分担を検討するため、事業者から必要な情報等の収集を行
うとともに、提供された情報が正確であることを事業者に確認すること。
② 事業者と技術的な対応に関する責任分界を調整する際には、医療機関でのリスク評価に基づく要求仕様へ
の適合性を十分に確認し、必要な調整を行うこと。
③ 技術的な対応に関する役割分担を、委託先事業者との間で調整し、企画管理者に対してその結果を報告
すること。
④ サイバー攻撃等が生じた場合の技術的な対応や対外的な説明に関する役割について、事業者と調整し、そ
の結果を企画管理者に報告すること。
⑤ 第三者提供を行う際には、企画管理者と協議の上、医療機関等のリスク評価を踏まえて技術的な対応に
関する責任分界を検討し、企画管理者に報告すること。
3.1 技術的な対応における責任分界決定の考慮事項
➢
医療情報システムの運用等を委託する場合、提供されるシステム・サービスの機能仕様が、法令、本ガイドライン
や関連ガイドラインに適合していることを、医療機関等で直接確認できない可能性がある。
➢
システム運用担当者は、技術的な対応に関する情報システム・サービスの機能仕様に関する情報と、その内容が
正確であることを示す資料を、事業者から提出を求め、その確認を行うこと。
3.2 要求仕様適合性の確認を踏まえた調整
➢
技術的な対応に関する責任分界を設定する際は、提供される情報システム・サービスについて、事業者がどのよう
なリスク評価を踏まえて、対応を分担するのかに関する情報を収集することが求められる。
➢
例えば、厚生労働省標準規格となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書(略
称 :MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical
Information Security)』ガイド」で示されているチェックリストの提供を受け、リスクコミュニケーションを図ることが
想定される。
➢
その他、総務省・経済産業省の定める「医療情報を取り扱う情報システム・サービスの提供事業者における安全
管理ガイドライン」(以下「2省ガイドライン」という)において、医療機関等と事業者との間でリスクコミュニケーシ
ョンを図る際には、合意形成に必要な情報を提供することとされている。具体的な内容は同ガイドライン別紙1
「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」
により示されてい
るため、参考とすること。
➢
システム運用担当者はこれらの資料を収集し、医療機関等におけるリスク評価との差異などを確認すること。また、
必要に応じて事業者と個別の調整を行い、リスク分担などを行うこと。
➢
クラウドサービスなどを利用する場合には、利用者側でも設定等の役割を果たすことなどが求められる。このような
役割分担については、「クラウドサービス提供・利用における適切な設定に関するガイドライン」(総務省令和 4 年
10 月 31 日)などでも示されている。
-4-