よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第7.0版(概説編)(令和8年6月) (7 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第7.0版(6/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
各編の目的と概要は以下のとおりである。
3.1 各編の目的・概要
3.1.1 概説編
概説編は、本ガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編、保守
委託機関編を理解する上で前提となる考え方等を示している。
3.1.2 経営管理編
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層を対象にしており、
経営層として遵守・判断すべき事項、並びに企画管理やシステム運営の担当部署及び担当者に対して指示又
は管理すべき事項及びその考え方を示している。
3.1.3 企画管理編
企画管理編は、主に医療機関等において医療情報システムの安全管理(企画管理、システム運営)の実務を
担う担当者(企画管理者)を対象にしており、組織体制や情報セキュリティ対策に係る規程の整備等の統制
等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運
用担当者に対する指示又は管理を行うに当たって遵守すべき事項及びその考え方を示している。
3.1.4 システム運用編
システム運用編は、主に医療機関等において医療情報システムの実装・運用の実務を担う担当者を対象にして
おり、医療機関等の経営層又は企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウ
ェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え
方を示している。
なお、医療情報システムの実装・運用において、医療機関等が医療情報システム・サービス事業者に委託し、そ
の業務及び責任を分担することも考えられる。そのため、委託事業者においても本編を参照の上、医療機関等と
協働する必要がある。その際、業務や役割、責任の分担の在り方については、あらかじめ両者で取り決めておくこ
とが必要になる。
3.1.5 保守委託機関編
本ガイドラインが対象とする医療機関等のうち、「セキュリティアップデートを含むサーバの保守を事業者に全て委託
できている医療機関等」においては、「概説編」と「保守委託機関編」のみを参照し、その遵守事項に対応するこ
とで本ガイドラインを遵守できているものとみなす。一般的な保守委託機関編の対象としては、専任のシステム担
当者が配置されておらず、経営管理者や企画管理者が分離していないことが多い小規模医療機関等を想定し
ている。このような医療機関等ではガイドラインの遵守項目全てを把握し、対応することが困難であると考えられ、
事業者に技術的安全対策を委託する前提での安全管理措置を示したものである。
サーバ保守の委託については、オンプレミス型のシステム採用を妨げるものではないが、クラウドサービス(特に
SaaS 型システム)を積極的に採用することで特別な契約を交わすことなく保守の委託を実現することを想定して
いる。
-4-
各編の目的と概要は以下のとおりである。
3.1 各編の目的・概要
3.1.1 概説編
概説編は、本ガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編、保守
委託機関編を理解する上で前提となる考え方等を示している。
3.1.2 経営管理編
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層を対象にしており、
経営層として遵守・判断すべき事項、並びに企画管理やシステム運営の担当部署及び担当者に対して指示又
は管理すべき事項及びその考え方を示している。
3.1.3 企画管理編
企画管理編は、主に医療機関等において医療情報システムの安全管理(企画管理、システム運営)の実務を
担う担当者(企画管理者)を対象にしており、組織体制や情報セキュリティ対策に係る規程の整備等の統制
等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運
用担当者に対する指示又は管理を行うに当たって遵守すべき事項及びその考え方を示している。
3.1.4 システム運用編
システム運用編は、主に医療機関等において医療情報システムの実装・運用の実務を担う担当者を対象にして
おり、医療機関等の経営層又は企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウ
ェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え
方を示している。
なお、医療情報システムの実装・運用において、医療機関等が医療情報システム・サービス事業者に委託し、そ
の業務及び責任を分担することも考えられる。そのため、委託事業者においても本編を参照の上、医療機関等と
協働する必要がある。その際、業務や役割、責任の分担の在り方については、あらかじめ両者で取り決めておくこ
とが必要になる。
3.1.5 保守委託機関編
本ガイドラインが対象とする医療機関等のうち、「セキュリティアップデートを含むサーバの保守を事業者に全て委託
できている医療機関等」においては、「概説編」と「保守委託機関編」のみを参照し、その遵守事項に対応するこ
とで本ガイドラインを遵守できているものとみなす。一般的な保守委託機関編の対象としては、専任のシステム担
当者が配置されておらず、経営管理者や企画管理者が分離していないことが多い小規模医療機関等を想定し
ている。このような医療機関等ではガイドラインの遵守項目全てを把握し、対応することが困難であると考えられ、
事業者に技術的安全対策を委託する前提での安全管理措置を示したものである。
サーバ保守の委託については、オンプレミス型のシステム採用を妨げるものではないが、クラウドサービス(特に
SaaS 型システム)を積極的に採用することで特別な契約を交わすことなく保守の委託を実現することを想定して
いる。
-4-