よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン 第6.0版 企画管理編(案) (17 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
2.1.2 通常時における責任
医療機関等が負う通常時における責任としては、
・説明責任
・管理責任
・定期的な見直し、必要に応じて改善を行う責任
がある。
(1)説明責任
説明責任とは、医療情報システムの運用状況等が適切に行われていること等を患者等に説明する責
任である。医療情報システム・サービスの運用等についてシステム関連事業者に委託している場合に
は、委託している範囲の医療情報システム・サービスの運用状況等について、医療機関等において直
接把握することが難しい。そこで医療機関等は、委託先事業者に対して、提供を受ける医療情報シス
テム・サービスが本ガイドラインを遵守した仕様や運用となっていることの説明を求めることができ
るよう、委託先事業者と取決めを行う必要がある。
例えば、医療情報システム・サービスの採用に際しては、システム関連事業者からサービス仕様適
合開示書の提供などを受けることになるが、当該文書の中に本ガイドラインを遵守している旨(ある
いは遵守できていない部分がある場合はその旨)を記載することを求めるほか、委託決定後も必要に
応じて当該遵守状況を示す資料の提供を求めることができる旨の取決めを行うことが求められる。(な
お、このような説明責任に関する分担の取決めがない場合には、医療機関等は自ら委託している医療
情報システム・サービスの運用状況に関する説明のための資料を用意することが必要となる。
)
(2)管理責任
医療機関等における管理責任とは、医療情報システムの運用管理を医療機関等が適切に行う責任で
ある。これも医療情報システム・サービスを委託している場合には、委託している範囲の医療情報シ
ステム・サービスの運用状況等について医療機関等において直接把握することが難しいため、委託先
事業者に適切な運用管理の実施を委ねるとともに、医療機関等は適宜委託先事業者において適切な運
用がなされていることを管理することで、責任の分担を図る必要がある。
特に委託先事業者が再委託を行う場合、再委託先事業者において生じた漏洩等の情報セキュリティ
インシデントの責任も、すべて委託元の医療機関等の責任となりうることから、再委託先事業者の管
理だけではなく選定などについても、委託先事業者と適切に分担することが求められる。
以上の内容を踏まえながら、企画管理者は、管理責任を全うするため、委託先事業者に対して、委
託先事業者の運用状況の報告資料の提供や、委託先事業者による再委託が行われる場合には再委託先
事業者も含めた責任分界についての取決めを行うことが求められる。
(3)定期的な見直し、必要な改善を行う責任
医療機関等において定期的な見直しを実施し、必要な改善を行う責任は、基本的には医療機関等が
自ら負うものである。ただし、医療情報システム・サービスを委託している場合には、委託先事業者
から、適宜、情報提供や提案等を求め、医療機関等における見直しの参考とすることなどが想定され
- 11 -
医療機関等が負う通常時における責任としては、
・説明責任
・管理責任
・定期的な見直し、必要に応じて改善を行う責任
がある。
(1)説明責任
説明責任とは、医療情報システムの運用状況等が適切に行われていること等を患者等に説明する責
任である。医療情報システム・サービスの運用等についてシステム関連事業者に委託している場合に
は、委託している範囲の医療情報システム・サービスの運用状況等について、医療機関等において直
接把握することが難しい。そこで医療機関等は、委託先事業者に対して、提供を受ける医療情報シス
テム・サービスが本ガイドラインを遵守した仕様や運用となっていることの説明を求めることができ
るよう、委託先事業者と取決めを行う必要がある。
例えば、医療情報システム・サービスの採用に際しては、システム関連事業者からサービス仕様適
合開示書の提供などを受けることになるが、当該文書の中に本ガイドラインを遵守している旨(ある
いは遵守できていない部分がある場合はその旨)を記載することを求めるほか、委託決定後も必要に
応じて当該遵守状況を示す資料の提供を求めることができる旨の取決めを行うことが求められる。(な
お、このような説明責任に関する分担の取決めがない場合には、医療機関等は自ら委託している医療
情報システム・サービスの運用状況に関する説明のための資料を用意することが必要となる。
)
(2)管理責任
医療機関等における管理責任とは、医療情報システムの運用管理を医療機関等が適切に行う責任で
ある。これも医療情報システム・サービスを委託している場合には、委託している範囲の医療情報シ
ステム・サービスの運用状況等について医療機関等において直接把握することが難しいため、委託先
事業者に適切な運用管理の実施を委ねるとともに、医療機関等は適宜委託先事業者において適切な運
用がなされていることを管理することで、責任の分担を図る必要がある。
特に委託先事業者が再委託を行う場合、再委託先事業者において生じた漏洩等の情報セキュリティ
インシデントの責任も、すべて委託元の医療機関等の責任となりうることから、再委託先事業者の管
理だけではなく選定などについても、委託先事業者と適切に分担することが求められる。
以上の内容を踏まえながら、企画管理者は、管理責任を全うするため、委託先事業者に対して、委
託先事業者の運用状況の報告資料の提供や、委託先事業者による再委託が行われる場合には再委託先
事業者も含めた責任分界についての取決めを行うことが求められる。
(3)定期的な見直し、必要な改善を行う責任
医療機関等において定期的な見直しを実施し、必要な改善を行う責任は、基本的には医療機関等が
自ら負うものである。ただし、医療情報システム・サービスを委託している場合には、委託先事業者
から、適宜、情報提供や提案等を求め、医療機関等における見直しの参考とすることなどが想定され
- 11 -