よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン第7.0版 保守委託機関編(案) (15 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
業務委託により、システム導入や運用、保守(セキュリティアップデート含む)などの管理を事業者
に委ねることが推奨される。この際、医療機関等が実施すべき安全管理は人的管理が中心となる。
◼
人的管理については、職員に対する管理と、委託先の選定や契約内容の管理が挙げられる。
◼
職員に対する管理には、医療情報の取扱いに関する雇用契約内容や、教育・訓練などがある。
◼
委託先管理は、適切な安全管理を実施させるために、必要な事項を確認して、事業者を選定す
ることや、医療情報を取扱う事業者として必要な対応を契約内容に含めることなどが挙げられる。
例えば、委託先における従業員等に対する情報の取扱いに関する教育や訓練、雇用時、雇用中、
退職後の守秘義務が雇用契約に含まれていること、情報に関する運用管理規程などが整備され
ており、これに基づいて管理されていることなどがある。
◼
委託先の選定は、事業者において下記の認証等を確認して、実施能力を確認の上選定すること
が求められる。
➢
プライバシーマーク認定又は ISMS 認証の取得
➢
プライバシーマーク認定、ISMS 認証のいずれも取得していない場合は、「政府情報システム
におけるクラウドサービスの利用に係る基本方針」(令和7年5月 27 日デジタル社会推進
会議幹事会決定)の「セキュリティクラウド認証等」に示す下記のいずれかの認証等により、
適切な外部保存に求められる技術及び運用管理能力の有無
政府情報システムのためのセキュリティ評価制度(ISMAP)(ISMAP-LIU は含まな
い)
JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
米国 FedRAMP(LI-SaaS は含まない)
AICPA SOC2/SOC3(又はこれに準じる公認会計士による監査報告書)
「民間事業者による医療情報に係るクラウドサービスの評価」(一般社団法人保健医
療福祉情報安全管理適合性評価協会:HISPRO)
➢
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果に
より、上記と同等の能力の有無を確認すること
◼
システム監査技術者試験合格者
Certified Information Systems Auditor ISACA 認定
医療情報の外部保存は、民間事業者等に委託することが想定される。このための要件として「診
療録等の保存を行う場所について」11により、外部保存の基準が示されている。
6.情報管理(管理、持ち出し、破棄等)
① 医療機関等において保有する医療情報の管理、医療機関等外への持ち出し、破棄等の方
針と手順を含む規程を定めること。
11
令和 8 年5月時点の最新は「「診療録等の保存を行う場所について」の一部改正について」(平成 25 年 3 月 25
日/医政発 0325 第 15 号/薬食発 0325 第 9 号/保発 0325 第 5 号)
-13-
に委ねることが推奨される。この際、医療機関等が実施すべき安全管理は人的管理が中心となる。
◼
人的管理については、職員に対する管理と、委託先の選定や契約内容の管理が挙げられる。
◼
職員に対する管理には、医療情報の取扱いに関する雇用契約内容や、教育・訓練などがある。
◼
委託先管理は、適切な安全管理を実施させるために、必要な事項を確認して、事業者を選定す
ることや、医療情報を取扱う事業者として必要な対応を契約内容に含めることなどが挙げられる。
例えば、委託先における従業員等に対する情報の取扱いに関する教育や訓練、雇用時、雇用中、
退職後の守秘義務が雇用契約に含まれていること、情報に関する運用管理規程などが整備され
ており、これに基づいて管理されていることなどがある。
◼
委託先の選定は、事業者において下記の認証等を確認して、実施能力を確認の上選定すること
が求められる。
➢
プライバシーマーク認定又は ISMS 認証の取得
➢
プライバシーマーク認定、ISMS 認証のいずれも取得していない場合は、「政府情報システム
におけるクラウドサービスの利用に係る基本方針」(令和7年5月 27 日デジタル社会推進
会議幹事会決定)の「セキュリティクラウド認証等」に示す下記のいずれかの認証等により、
適切な外部保存に求められる技術及び運用管理能力の有無
政府情報システムのためのセキュリティ評価制度(ISMAP)(ISMAP-LIU は含まな
い)
JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
米国 FedRAMP(LI-SaaS は含まない)
AICPA SOC2/SOC3(又はこれに準じる公認会計士による監査報告書)
「民間事業者による医療情報に係るクラウドサービスの評価」(一般社団法人保健医
療福祉情報安全管理適合性評価協会:HISPRO)
➢
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果に
より、上記と同等の能力の有無を確認すること
◼
システム監査技術者試験合格者
Certified Information Systems Auditor ISACA 認定
医療情報の外部保存は、民間事業者等に委託することが想定される。このための要件として「診
療録等の保存を行う場所について」11により、外部保存の基準が示されている。
6.情報管理(管理、持ち出し、破棄等)
① 医療機関等において保有する医療情報の管理、医療機関等外への持ち出し、破棄等の方
針と手順を含む規程を定めること。
11
令和 8 年5月時点の最新は「「診療録等の保存を行う場所について」の一部改正について」(平成 25 年 3 月 25
日/医政発 0325 第 15 号/薬食発 0325 第 9 号/保発 0325 第 5 号)
-13-