よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.3 医療機関等が負う責任に関する責任分界
3.3.1 通常時の運用における責任分界
➢
通常時における技術的な対応の責任分界は、主に運用責任や管理責任に関する取り決めを指す。情報システ
ム・サービスが提供される際の運用が、本ガイドライン等に従っていることは、事業者でしか把握できない場合もある。
システム運用担当者は運用に関する実施報告などに関する情報の提出を事業者に求めて管理すること。事業者
が業務の一部を再委託している場合には、再委託先における実施状況なども併せて報告を求めること。
➢
このように、システム運用担当者は、委託する情報システム・サービス全般の管理を担う中で、具体的な運用や管
理については、事業者に役割を委ねることが想定される。
3.3.2 非常時の運用における責任分界
➢
非常時の運用における技術的な対応の責任分界は、主に被害の拡大防止や原因究明などシステム対応のほか、
外部への説明責任に関する支援などに関する取り決めを指す。
➢
被害拡大防止や原因究明などに関しては、医療機関等側で把握できる運用に関する情報と、委託先である事
業者が管理するシステム運用上の資料などを併せて検討することが求められる。それぞれの役割の分担などを事
前に取り決めておくことが重要である。
➢
外部への説明責任についても、技術的な面から、事業者側でしか把握できない内容がありえる。専門的な観点
から適切な資料の準備と提供に関する内容も含めた、責任分担を行うことが求められる。
3.4 提供される情報システム・サービスに応じた責任分界
3.4.1 事業者が提供するサービスの類型による責任分界
➢
事業者が提供するサービス類型により、医療機関等が直接責任を管理できる範囲が異なる。
➢
クラウドサービスの場合には、一般的に SaaS(Software as a Service)、PaaS(Platform as a
Service)、IaaS(Infrastructure as a Service)などの類型で提供される。
➢
SaaS ではアプリケーション部分、PaaS ではミドルウェア部分、IaaS ではインフラ部分がサービスとして提供される。
➢
例えば SaaS を利用する場合には、アプリケーション部分の管理や責任を事業者に委ねることになる。そこで本ガイ
ドラインの遵守を確認するにあたっても、アプリケーション部分に関する安全管理対策項目などについて、事業者と
の責任分界を検討することになる。
➢
このように、利用するサービスの内容により、責任を分担する内容が異なるため、医療機関等が行うべき安全管理
のうち、明確に責任分界を定め、具体的な管理内容について、事業者と取り決めること。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲
事業者側の管理対象範囲
・ 利用者は、アプリケーションを利用するためのデータや
・ クラウドサービス事業者は、契約 ・SLA(Service
アプリケーション上で生成したデータの管理(データに
Level Agreement:サービス品質保証、サービスレ
対する編集 ・削除等の行為)をする権限と責任を
ベル合意書) に基づくサービスをクラウドサービス利用
有する。
者に提供するために、アプリケーション層以下の実装、
・ アカウント管理などの限定的な管理権限をクラウドサ
設定、更新及び運用を管理するとともに、クラウドサー
ービス事業者から付与され、外部からのアクセス権限
ビス利用者に限定的な管理権限等を提供する場合
を設定する場合がある。
がある
-5-
3.3.1 通常時の運用における責任分界
➢
通常時における技術的な対応の責任分界は、主に運用責任や管理責任に関する取り決めを指す。情報システ
ム・サービスが提供される際の運用が、本ガイドライン等に従っていることは、事業者でしか把握できない場合もある。
システム運用担当者は運用に関する実施報告などに関する情報の提出を事業者に求めて管理すること。事業者
が業務の一部を再委託している場合には、再委託先における実施状況なども併せて報告を求めること。
➢
このように、システム運用担当者は、委託する情報システム・サービス全般の管理を担う中で、具体的な運用や管
理については、事業者に役割を委ねることが想定される。
3.3.2 非常時の運用における責任分界
➢
非常時の運用における技術的な対応の責任分界は、主に被害の拡大防止や原因究明などシステム対応のほか、
外部への説明責任に関する支援などに関する取り決めを指す。
➢
被害拡大防止や原因究明などに関しては、医療機関等側で把握できる運用に関する情報と、委託先である事
業者が管理するシステム運用上の資料などを併せて検討することが求められる。それぞれの役割の分担などを事
前に取り決めておくことが重要である。
➢
外部への説明責任についても、技術的な面から、事業者側でしか把握できない内容がありえる。専門的な観点
から適切な資料の準備と提供に関する内容も含めた、責任分担を行うことが求められる。
3.4 提供される情報システム・サービスに応じた責任分界
3.4.1 事業者が提供するサービスの類型による責任分界
➢
事業者が提供するサービス類型により、医療機関等が直接責任を管理できる範囲が異なる。
➢
クラウドサービスの場合には、一般的に SaaS(Software as a Service)、PaaS(Platform as a
Service)、IaaS(Infrastructure as a Service)などの類型で提供される。
➢
SaaS ではアプリケーション部分、PaaS ではミドルウェア部分、IaaS ではインフラ部分がサービスとして提供される。
➢
例えば SaaS を利用する場合には、アプリケーション部分の管理や責任を事業者に委ねることになる。そこで本ガイ
ドラインの遵守を確認するにあたっても、アプリケーション部分に関する安全管理対策項目などについて、事業者と
の責任分界を検討することになる。
➢
このように、利用するサービスの内容により、責任を分担する内容が異なるため、医療機関等が行うべき安全管理
のうち、明確に責任分界を定め、具体的な管理内容について、事業者と取り決めること。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲
事業者側の管理対象範囲
・ 利用者は、アプリケーションを利用するためのデータや
・ クラウドサービス事業者は、契約 ・SLA(Service
アプリケーション上で生成したデータの管理(データに
Level Agreement:サービス品質保証、サービスレ
対する編集 ・削除等の行為)をする権限と責任を
ベル合意書) に基づくサービスをクラウドサービス利用
有する。
者に提供するために、アプリケーション層以下の実装、
・ アカウント管理などの限定的な管理権限をクラウドサ
設定、更新及び運用を管理するとともに、クラウドサー
ービス事業者から付与され、外部からのアクセス権限
ビス利用者に限定的な管理権限等を提供する場合
を設定する場合がある。
がある
-5-