よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン 第6.0版 システム運用編(案) (38 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
12.物理的安全管理措置
[Ⅰ、Ⅲ
なお遵守事項⑤・⑥及び12.3は、Ⅱ、Ⅳも
参照]
【遵守事項】
①
医療情報及び医療情報システムを保管する場所について、リスク評価を踏まえて、その場所
の選定を企画管理者と協働して検討し、決定すること。検討に際しては、医療情報を格納する
情報機器や記録媒体を物理的に保管するための施設が、災害(地震、水害、落雷、火災等並び
にそれに伴う停電等)に耐えうる機能・構造を備え、災害による障害(結露等)について対策が
講じられている建築物に設置するなどを考慮すること。
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置場所等の
セキュリティ境界への入退管理が、個人認証システム等による制御に基づいて行われているこ
とを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カメラ、自動侵入監視装
置等を設置されていることを確認すること。
③
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じること。
④
医療情報及び医療情報システムのバックアップは、企画管理者が定める運用管理規程等と整
合性がとれる措置とし、確保したバックアップは非常時に利用できるよう、適切に管理するこ
と。
⑤
記録媒体、ネットワーク回線、設備の劣化による情報の読み取り不能又は不完全な読み取り
を防止するため、記録媒体が劣化する前に、当該記録媒体に保管されている情報を新たな記録
媒体又は情報機器に複写等の情報の保管措置を講じること。
⑥
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者
による入力・参照が生じないよう対策を実施すること。
12.1 サーバルーム等の物理的要件
システム運用担当者は、医療情報及び医療情報システムを保管する場所(サーバルーム、マシンル
ーム等)について、リスク分析の結果を踏まえて、企画管理者と協議の上、選定することが求められ
る。特に医療情報を保護するという観点から、災害(地震、水害、落雷、火災等並びにそれに伴う停
電等)に耐えうる機能・構造にあるよう考慮するほか、医療情報システムの運用の確保の観点から結露
や高温による情報機器等の暴走などが生じないような措置が講じられている環境を選定するなどが求
められる。
サーバルームやマシンルームなどのうち、医療情報や医療情報システムが格納されているセキュリ
ティ区域については、サーバルーム等の職員を含め、入退管理がなされており、カメラ等による監視
などがなされていることなども考慮に入れる必要がある。
さらに、医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックなど
については、施錠管理されていることが求められる。
- 32 -
[Ⅰ、Ⅲ
なお遵守事項⑤・⑥及び12.3は、Ⅱ、Ⅳも
参照]
【遵守事項】
①
医療情報及び医療情報システムを保管する場所について、リスク評価を踏まえて、その場所
の選定を企画管理者と協働して検討し、決定すること。検討に際しては、医療情報を格納する
情報機器や記録媒体を物理的に保管するための施設が、災害(地震、水害、落雷、火災等並び
にそれに伴う停電等)に耐えうる機能・構造を備え、災害による障害(結露等)について対策が
講じられている建築物に設置するなどを考慮すること。
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置場所等の
セキュリティ境界への入退管理が、個人認証システム等による制御に基づいて行われているこ
とを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カメラ、自動侵入監視装
置等を設置されていることを確認すること。
③
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じること。
④
医療情報及び医療情報システムのバックアップは、企画管理者が定める運用管理規程等と整
合性がとれる措置とし、確保したバックアップは非常時に利用できるよう、適切に管理するこ
と。
⑤
記録媒体、ネットワーク回線、設備の劣化による情報の読み取り不能又は不完全な読み取り
を防止するため、記録媒体が劣化する前に、当該記録媒体に保管されている情報を新たな記録
媒体又は情報機器に複写等の情報の保管措置を講じること。
⑥
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者
による入力・参照が生じないよう対策を実施すること。
12.1 サーバルーム等の物理的要件
システム運用担当者は、医療情報及び医療情報システムを保管する場所(サーバルーム、マシンル
ーム等)について、リスク分析の結果を踏まえて、企画管理者と協議の上、選定することが求められ
る。特に医療情報を保護するという観点から、災害(地震、水害、落雷、火災等並びにそれに伴う停
電等)に耐えうる機能・構造にあるよう考慮するほか、医療情報システムの運用の確保の観点から結露
や高温による情報機器等の暴走などが生じないような措置が講じられている環境を選定するなどが求
められる。
サーバルームやマシンルームなどのうち、医療情報や医療情報システムが格納されているセキュリ
ティ区域については、サーバルーム等の職員を含め、入退管理がなされており、カメラ等による監視
などがなされていることなども考慮に入れる必要がある。
さらに、医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックなど
については、施錠管理されていることが求められる。
- 32 -