よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.リスクアセスメントを踏まえた安全管理対策の設計
【遵守事項】
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手順等を作成し、運用
すること。その際、情報種別による重要度を踏まえるほか、患者ごとに識別できるような措置を講じること。
③ 事業者から技術的対策等の情報を収集すること。例えば、総務省・経済産業省の定めた2省ガイドライン
における「サービス仕様適合開示書」を利用することが考えられる。
4.1 情報資産の種別に応じた安全管理の設計
➢
情報資産の把握に基づくリスク分析は、安全管理の設計の起点となる。システム運用担当者は、企画管理者と
協働して保有する情報の棚卸を行うこと。システム運用担当者は、医療情報システムが直接取り扱う医療情報
や、医療情報システムに関する情報などについて、棚卸を行い、情報種別を整理する必要がある。
➢
医療情報システムであれば、各システムに情報が保管されている患者数、情報の種別、それらの利用者の範囲、
利用権限の設定ルール、持ち出し状況などを整理すること。バックアップについても、どのくらいの医療情報が、どこ
で、どのような形式で保管されているか、等を把握することが求められる。また情報のライフサイクルを踏まえ、必要
な取扱制限(例:複製禁止、持出禁止、配布禁止)を実施する。
➢
上述の「医療情報システムに関する情報」は、全体構成図(ネットワーク図、システム構成図等)、各システムを
構築・導入するための資料やその管理状況(保管場所、作成時期等)、運用上の設定情報やログ等の管理
状況などが挙げられる。
➢
情報種別を整理する際に、法令により保存などの要件が定められているものは、その要件への適合状況も併せて
確認する必要がある。具体的には「民間事業者等が行う書面の保存等における情報通信の技術の利用に関す
る法律等の施行等について」(平成 17 年3月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・
保発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成 28 年3月 31 日最
終改正。以下「施行通知」という。)や「診療録等の保存を行う場所について」(平成 14 年3月 29 日付け医
政発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年3月
25 日最終改正。)が求める要件などがある。
4.2 リスクアセスメントを踏まえた安全管理対策の設計
➢
システム運用担当者は、医療情報等の情報種別や重要度を整理したうえで、企画管理者とともにリスクアセスメ
ント(リスク分析、リスク評価)を行い、技術的対応を実装、運用することになる。
➢
対策を講じる場合には、組織の規模等の実情や、システムの利用形態等のリスクに応じて、さまざまな方法が考
えられる。また実装の検討に際しては、医療機関等における負担(要員、費用等)を踏まえることも重要である。
➢
安全管理対策の設計においては専門的な知見が必要だが、医療機関等においては、十分な資源(要員、費
用等)を有していない場合もある。このような場合には、利用を想定する事業者によるリスクアセスメント結果を踏
まえた対策を参考にすることなどが想定される。なお、事業者には「サービス仕様適合開示書」を提供させること。
➢
特に専任のシステム担当者を要しない場合には、事業者から安全なシステムを導入し、構築と運用等は事業者
に委ねるほうが、安全性や経済性で優れていることが多い。
➢
システム運用担当者は、上記を踏まえた技術的な対応を整理し、企画管理者に報告すること。
-8-
【遵守事項】
① 企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手順等を作成し、運用
すること。その際、情報種別による重要度を踏まえるほか、患者ごとに識別できるような措置を講じること。
③ 事業者から技術的対策等の情報を収集すること。例えば、総務省・経済産業省の定めた2省ガイドライン
における「サービス仕様適合開示書」を利用することが考えられる。
4.1 情報資産の種別に応じた安全管理の設計
➢
情報資産の把握に基づくリスク分析は、安全管理の設計の起点となる。システム運用担当者は、企画管理者と
協働して保有する情報の棚卸を行うこと。システム運用担当者は、医療情報システムが直接取り扱う医療情報
や、医療情報システムに関する情報などについて、棚卸を行い、情報種別を整理する必要がある。
➢
医療情報システムであれば、各システムに情報が保管されている患者数、情報の種別、それらの利用者の範囲、
利用権限の設定ルール、持ち出し状況などを整理すること。バックアップについても、どのくらいの医療情報が、どこ
で、どのような形式で保管されているか、等を把握することが求められる。また情報のライフサイクルを踏まえ、必要
な取扱制限(例:複製禁止、持出禁止、配布禁止)を実施する。
➢
上述の「医療情報システムに関する情報」は、全体構成図(ネットワーク図、システム構成図等)、各システムを
構築・導入するための資料やその管理状況(保管場所、作成時期等)、運用上の設定情報やログ等の管理
状況などが挙げられる。
➢
情報種別を整理する際に、法令により保存などの要件が定められているものは、その要件への適合状況も併せて
確認する必要がある。具体的には「民間事業者等が行う書面の保存等における情報通信の技術の利用に関す
る法律等の施行等について」(平成 17 年3月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・
保発第 0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成 28 年3月 31 日最
終改正。以下「施行通知」という。)や「診療録等の保存を行う場所について」(平成 14 年3月 29 日付け医
政発第 0329003 号・保発第 0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年3月
25 日最終改正。)が求める要件などがある。
4.2 リスクアセスメントを踏まえた安全管理対策の設計
➢
システム運用担当者は、医療情報等の情報種別や重要度を整理したうえで、企画管理者とともにリスクアセスメ
ント(リスク分析、リスク評価)を行い、技術的対応を実装、運用することになる。
➢
対策を講じる場合には、組織の規模等の実情や、システムの利用形態等のリスクに応じて、さまざまな方法が考
えられる。また実装の検討に際しては、医療機関等における負担(要員、費用等)を踏まえることも重要である。
➢
安全管理対策の設計においては専門的な知見が必要だが、医療機関等においては、十分な資源(要員、費
用等)を有していない場合もある。このような場合には、利用を想定する事業者によるリスクアセスメント結果を踏
まえた対策を参考にすることなどが想定される。なお、事業者には「サービス仕様適合開示書」を提供させること。
➢
特に専任のシステム担当者を要しない場合には、事業者から安全なシステムを導入し、構築と運用等は事業者
に委ねるほうが、安全性や経済性で優れていることが多い。
➢
システム運用担当者は、上記を踏まえた技術的な対応を整理し、企画管理者に報告すること。
-8-