よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン第7.0版 保守委託機関編(案) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
事業者選定と管理を行うこと。
1.4 第三者提供における責任
① 医療情報を第三者提供する場合、法令等を遵守し、手続き等の記録等を適切に管理する
体制を整備すること。
② 医療機関等と第三者それぞれが負う責任の範囲をあらかじめ明確にし、書面等により可視
化し、適切に管理すること。
◼
医療情報を第三者提供する場合については、個人情報保護法及びこれに関連するガイドライン、
ガイダンスを踏まえた対応をすることが想定される。
特に委託先との関係では、医療情報の第三者提供に該当する場合と該当しない場合について、
同意取得を含む適切な手続きを行うことが求められる。
◼
また医療機関等の間でネットワークを通じて医療情報の授受を行う場合には、両者の責任範囲を
明確にすること。原則として、PC や VPN 装置を含むネットワーク機器等のアップデート対応を事業
者側の保守範囲として契約書に含むこととし、そのような対応が可能な事業者を選定することが望
ましい。困難な場合は医療機関が独自にアップデート対応をする責任が生じるため、注意すること。
クラウド型 VPN や自動アップデートを採用することが望ましい。
2.責任分界
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で
責任分界に関する取決めを行うこと。
② 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報
システム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
③ 委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医療機
関等が直接責任分界を取り決める相手方を特定すること。また、関与する関係者への管理
なども責任分界の取決めに含めること。さらに、責任分界の取決めに際しては、委託先事業
者間での役割分担なども含めて、取決め内容に漏れがないよう留意すること。
◼
医療情報システムの利用において、責任分界を医療機関等と事業者の間で具体的な項目に落と
し込むことが重要である。特にセキュリティを含む安全管理に関しては、契約書や SLA などでも一般
的な記載(例:非常時の対応は協議において決定する、等)に留まり適切な対応ができないケ
ースが存在する。
◼
VPN 機器をはじめとする外部ネットワークとの接続点となる機器については、脆弱性の管理が適切
に行われず、サイバー攻撃の起点となる事案が頻発している。脆弱性の管理等について保守契約
の範囲を明確にし、確実に管理可能な体制を整備すること。原則として、脆弱性対応を事業者の
保守範囲として契約に含むことを想定する。昨今のサイバー攻撃事案では、事業者側が脆弱なパ
スワードや、他院と共通のパスワードを使い回すことで被害に遭った事案も発生している。例えば、
事業者の設定するパスワードが本ガイドラインに適合していることや、電子証明書の利用によって認
-9-
1.4 第三者提供における責任
① 医療情報を第三者提供する場合、法令等を遵守し、手続き等の記録等を適切に管理する
体制を整備すること。
② 医療機関等と第三者それぞれが負う責任の範囲をあらかじめ明確にし、書面等により可視
化し、適切に管理すること。
◼
医療情報を第三者提供する場合については、個人情報保護法及びこれに関連するガイドライン、
ガイダンスを踏まえた対応をすることが想定される。
特に委託先との関係では、医療情報の第三者提供に該当する場合と該当しない場合について、
同意取得を含む適切な手続きを行うことが求められる。
◼
また医療機関等の間でネットワークを通じて医療情報の授受を行う場合には、両者の責任範囲を
明確にすること。原則として、PC や VPN 装置を含むネットワーク機器等のアップデート対応を事業
者側の保守範囲として契約書に含むこととし、そのような対応が可能な事業者を選定することが望
ましい。困難な場合は医療機関が独自にアップデート対応をする責任が生じるため、注意すること。
クラウド型 VPN や自動アップデートを採用することが望ましい。
2.責任分界
① 医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で
責任分界に関する取決めを行うこと。
② 委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情報
システム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決めること。
③ 委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医療機
関等が直接責任分界を取り決める相手方を特定すること。また、関与する関係者への管理
なども責任分界の取決めに含めること。さらに、責任分界の取決めに際しては、委託先事業
者間での役割分担なども含めて、取決め内容に漏れがないよう留意すること。
◼
医療情報システムの利用において、責任分界を医療機関等と事業者の間で具体的な項目に落と
し込むことが重要である。特にセキュリティを含む安全管理に関しては、契約書や SLA などでも一般
的な記載(例:非常時の対応は協議において決定する、等)に留まり適切な対応ができないケ
ースが存在する。
◼
VPN 機器をはじめとする外部ネットワークとの接続点となる機器については、脆弱性の管理が適切
に行われず、サイバー攻撃の起点となる事案が頻発している。脆弱性の管理等について保守契約
の範囲を明確にし、確実に管理可能な体制を整備すること。原則として、脆弱性対応を事業者の
保守範囲として契約に含むことを想定する。昨今のサイバー攻撃事案では、事業者側が脆弱なパ
スワードや、他院と共通のパスワードを使い回すことで被害に遭った事案も発生している。例えば、
事業者の設定するパスワードが本ガイドラインに適合していることや、電子証明書の利用によって認
-9-