よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン 第6.0版 システム運用編(案) (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
SaaS では、医療情報システムのアプリケーション部分、PaaS では、医療情報システムが利用するミ
ドルウェアの部分、IaaS では医療情報システムが利用するインフラの部分をサービスとして提供する
ことになる。
例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を
事業者に委ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーショ
ン部分に関する安全管理対策項目などについて、事業者との責任分界を検討することになる。
このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、企画
管理者は、委託により医療機関等が行うべき安全管理のうち、どの部分の責任を分担し、責任分界を
定め、具体的な管理内容について、事業者と取り決めることが求められる。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲
事業者側の管理対象範囲
・利用者は、クラウドサービス事業者が提供す
・クラウドサービス事業者は、契約 ・SLA
るアプリケーションを利用するためのデータ
(Service Level Agreement:サービス品質
やアプリケーション上で生成したデータの管
保証、サービスレベル合意書) に基づくサ
理(データに対する編集 ・削除等の行為)を
ービスをクラウドサービス利用者に提供す
する権限と責任を有する。
るために、アプリケーション層以下の実
・アカウント管理などの限定的な管理権限をク
装、設定、更新及び運用を管理するととも
ラウドサービス事業者から付与され、外部か
に、クラウドサービス利用者に限定的な管
らのアクセス権限を設定する場合がある。
理権限等を提供する場合がある
出所:
「クラウドサービス提供における 情報セキュリティ対策ガイドライン(第 3 版)
」(総務省、2021
年 9 月)より作成
3.4.2 複数の事業者に対する委託を含む場合の責任分界
医療機関等が事業者に委託を行う場合、この情報システム・サービスを利用するに際して複数の事
業者が関与する場合がある。
医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事
業者が複数のサービスを組み合わせて、医療機関等に提供する場合などが想定される(表3-2参照)。
前者では、基本的には医療機関等が各事業者と責任分界を取り決めることになるが、複数の事業者
のサービスを連携する部分についても併せて取決めを行うことが求められる。これは、技術的な機能
仕様等に関する取決めだけではなく、障害時などの対応などの事業者間での対応なども含めて取り決
めることが求められる。
-7-
ドルウェアの部分、IaaS では医療情報システムが利用するインフラの部分をサービスとして提供する
ことになる。
例えば SaaS を利用する場合には、医療情報システムのうち、アプリケーション部分の管理や責任を
事業者に委ねることになる。そこで本ガイドラインの遵守を確認するにあたっても、アプリケーショ
ン部分に関する安全管理対策項目などについて、事業者との責任分界を検討することになる。
このように、委託により利用するサービスの内容により、責任を分担する内容が異なるため、企画
管理者は、委託により医療機関等が行うべき安全管理のうち、どの部分の責任を分担し、責任分界を
定め、具体的な管理内容について、事業者と取り決めることが求められる。
表3-1 SaaS の場合の技術的な対応における利用者と事業者の管理対象範囲
利用者側の管理対象範囲
事業者側の管理対象範囲
・利用者は、クラウドサービス事業者が提供す
・クラウドサービス事業者は、契約 ・SLA
るアプリケーションを利用するためのデータ
(Service Level Agreement:サービス品質
やアプリケーション上で生成したデータの管
保証、サービスレベル合意書) に基づくサ
理(データに対する編集 ・削除等の行為)を
ービスをクラウドサービス利用者に提供す
する権限と責任を有する。
るために、アプリケーション層以下の実
・アカウント管理などの限定的な管理権限をク
装、設定、更新及び運用を管理するととも
ラウドサービス事業者から付与され、外部か
に、クラウドサービス利用者に限定的な管
らのアクセス権限を設定する場合がある。
理権限等を提供する場合がある
出所:
「クラウドサービス提供における 情報セキュリティ対策ガイドライン(第 3 版)
」(総務省、2021
年 9 月)より作成
3.4.2 複数の事業者に対する委託を含む場合の責任分界
医療機関等が事業者に委託を行う場合、この情報システム・サービスを利用するに際して複数の事
業者が関与する場合がある。
医療機関等が複数の情報システム・サービスのサービスを組み合わせて利用するような場合と、事
業者が複数のサービスを組み合わせて、医療機関等に提供する場合などが想定される(表3-2参照)。
前者では、基本的には医療機関等が各事業者と責任分界を取り決めることになるが、複数の事業者
のサービスを連携する部分についても併せて取決めを行うことが求められる。これは、技術的な機能
仕様等に関する取決めだけではなく、障害時などの対応などの事業者間での対応なども含めて取り決
めることが求められる。
-7-