よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン第7.0版 保守委託機関編(案) (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
【はじめに】
現代では、多くの分野で ICT 技術が普及し、業務の効率化、正確性の向上、従来にない付加価値
の提供等に活用されている。医療分野においても同様で、医療情報を適切に利用、管理するために、
医療情報システムが活用されている。
一方で、ICT を活用したシステムに対しては、様々なリスクがある。特に医療分野においては医療情報
の漏えいや破壊は、患者の生命、身体に対する侵害、医療業務の継続性を損なうリスクもあり、適切
な対策を講じることが求められる。この対策を示すために、「医療情報システムに関する安全管理ガイドラ
イン」(以下「安全管理ガイドライン」という)が策定されている。
安全管理ガイドラインでは、医療情報システムを取扱う組織や人、システムに対する対応策を網羅的
に示している。特にシステム担当者に対しては、年を追うごとに専門的な知識を要する対応が求められて
きた。医療情報システムの開発や導入、運用は、医療情報システム・サービス事業者1(以下「事業者」
という)への委託がますます増加しており、特に、専任のシステム担当者が不在の医療機関等において
は、利用する医療情報システムのほとんどの管理を、外部の事業者に委ねることが通常と言える状況
にある。
このような医療機関等においては、システム運用編を含めた安全管理ガイドラインのすべてを詳細に理
解し、対応することが困難となっている。これを踏まえ、医療機関等の管理者は、事業者の選定、契約
内容の確認、事業者が行う導入や運用の管理監督などの形で技術的な対策を実施することが期待さ
れる。特にクラウドサービスの中でも SaaS(Software as a Service)を利用することでセキュリテ
ィアップデートを含めた保守管理を完全に事業者に委託することも可能となっている。
今般、このような実態を踏まえて、安全管理ガイドラインに示す対策(遵守事項)のうち、主に下記の
ような小規模医療機関等を想定し、対策の必要な項目一覧を示す事とした。ただし、実際の対象につ
いては図1(p3)を参照して判断すること。
・システム運用担当者が不在
・小規模で、経営管理と企画管理の部門が区別されていない
・セキュリティアップデートを含めたシステム保守を十分に事業者に委託している
(積極的な SaaS の活用や、保守契約による委託が想定される。)
本編では、医療機関等が自ら実施すべき遵守事項を端的にまとめた。特に「システム運用編」におけ
る事項については、MDS/SDS を用いて機器、サービスのセキュリティ対応状況を確認することで、遵
守事項に対応されたものとみなす。
これらの対応によって、専任のシステム担当者が不在の医療機関等においても、クラウドサービスの積
局極的な活用により、十分なセキュリティ対応が可能となることを目指している。
1
医療情報システムの製造、開発、販売及び保守を行う事業者や、医療情報システムを活用したサービスの提供、保守
等を行う事業者など、医療機関等が医療情報システムを利用・管理する上で関係する事業者全般を想定する。
-1-
現代では、多くの分野で ICT 技術が普及し、業務の効率化、正確性の向上、従来にない付加価値
の提供等に活用されている。医療分野においても同様で、医療情報を適切に利用、管理するために、
医療情報システムが活用されている。
一方で、ICT を活用したシステムに対しては、様々なリスクがある。特に医療分野においては医療情報
の漏えいや破壊は、患者の生命、身体に対する侵害、医療業務の継続性を損なうリスクもあり、適切
な対策を講じることが求められる。この対策を示すために、「医療情報システムに関する安全管理ガイドラ
イン」(以下「安全管理ガイドライン」という)が策定されている。
安全管理ガイドラインでは、医療情報システムを取扱う組織や人、システムに対する対応策を網羅的
に示している。特にシステム担当者に対しては、年を追うごとに専門的な知識を要する対応が求められて
きた。医療情報システムの開発や導入、運用は、医療情報システム・サービス事業者1(以下「事業者」
という)への委託がますます増加しており、特に、専任のシステム担当者が不在の医療機関等において
は、利用する医療情報システムのほとんどの管理を、外部の事業者に委ねることが通常と言える状況
にある。
このような医療機関等においては、システム運用編を含めた安全管理ガイドラインのすべてを詳細に理
解し、対応することが困難となっている。これを踏まえ、医療機関等の管理者は、事業者の選定、契約
内容の確認、事業者が行う導入や運用の管理監督などの形で技術的な対策を実施することが期待さ
れる。特にクラウドサービスの中でも SaaS(Software as a Service)を利用することでセキュリテ
ィアップデートを含めた保守管理を完全に事業者に委託することも可能となっている。
今般、このような実態を踏まえて、安全管理ガイドラインに示す対策(遵守事項)のうち、主に下記の
ような小規模医療機関等を想定し、対策の必要な項目一覧を示す事とした。ただし、実際の対象につ
いては図1(p3)を参照して判断すること。
・システム運用担当者が不在
・小規模で、経営管理と企画管理の部門が区別されていない
・セキュリティアップデートを含めたシステム保守を十分に事業者に委託している
(積極的な SaaS の活用や、保守契約による委託が想定される。)
本編では、医療機関等が自ら実施すべき遵守事項を端的にまとめた。特に「システム運用編」におけ
る事項については、MDS/SDS を用いて機器、サービスのセキュリティ対応状況を確認することで、遵
守事項に対応されたものとみなす。
これらの対応によって、専任のシステム担当者が不在の医療機関等においても、クラウドサービスの積
局極的な活用により、十分なセキュリティ対応が可能となることを目指している。
1
医療情報システムの製造、開発、販売及び保守を行う事業者や、医療情報システムを活用したサービスの提供、保守
等を行う事業者など、医療機関等が医療情報システムを利用・管理する上で関係する事業者全般を想定する。
-1-