よむ、つかう、まなぶ。
【資料1-2】医療情報システムの安全管理に関するガイドライン第6.0版 概説編(案) (10 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.2 医療情報システムの安全管理に必要な要素
医療情報システムの安全管理において、情報セキュリティ対策は必須であり、医療機関等の特性を踏
まえ、情報セキュリティの要素である「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性
(Availability)
」のバランスを取りながら、リスクに対応することが求められる。
「機密性(Confidentiality)
」は、情報資産に対して、許可された者のみがアクセスできることを指す。
機密性が確保されないと、許可していない者による情報システムの利用や改ざん、破壊などが生じうる
ほか、医療情報システムで取り扱う医療情報の不正な利用(参照、登録、改変)や漏えいなどが生じう
る。
「完全性(Integrity)
」は、情報資産が正確かつ完全な形で利用できることを指す。完全性が確保され
ないと、表示されるべき情報が欠落したり、不完全な又は不正確な形で表示されたりすることなどが生
じうる。
「可用性(Availability)
」は、情報資産に対して、許可された者が必要な時点でアクセスできることを
指す。可用性が確保されないと、情報システムが利用できなかったり、利用目的に応じた適切な速度等
での処理がなされなかったりすることで、医療情報などの利用が妨げられることなどが生じうる。
医療情報システムにおける安全管理は、これら3要素への対応を想定するものであるが、医療機関等
の業務内容や導入する医療情報システムなどを踏まえたリスク評価により、これら 3 要素への対応を随
時検討し判断することになる。
これら 3 要素への対応を踏まえて講じた安全管理措置を的確かつ継続的に実施・改善するために、
3要素を保護するための体系的な仕組みである情報セキュリティマネジメントシステム(ISMS:
Information Security Management System)を構築・運用することなどが求められる。
4.3 医療情報システムの安全管理に関連する法令
医療情報システムに直接関連する法令としては、
・ 個人情報の保護に関する法律(平成 15 年法律第 57 号)
・ e-文書法、厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における
情報通信の技術の利用に関する省令(平成 17 年厚生労働省令第 44 号)及び「民間事業者等が行
う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」
(平成 17 年3
月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保発第 0331005 号厚生労働省医政局
長・医薬食品局長・保険局長連名通知。平成 28 年3月 31 日最終改正。
)
・ 「診療録等の保存を行う場所について」
(平成 14 年3月 29 日付け医政発第 0329003 号・保発第
0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年3月 25 日最終改正。
)
が挙げられる。
また、サイバー攻撃の脅威が近年増大していることに鑑み、医療法施行規則(昭和 23 年厚生省令第 50
号)第 14 条第2項において、病院、診療所又は助産所の管理者が遵守すべき事項として、医薬品、医療
機器等の品質、有効性及び安全性の確保等に関する法律施行規則(昭和 36 年厚生省令第1号)第 11 条
第2項において薬局の管理者が遵守すべき事項として、サイバーセキュリティの確保について必要な措
置を講じなければならないとしている。
なお、医療従事者等が作成する文書については、関係する法令により示されており(例えば医師法に
おける診療録)
、各法令が求める内容に従って作成する必要がある。その上で、電磁的記録による保存を
-7-
医療情報システムの安全管理において、情報セキュリティ対策は必須であり、医療機関等の特性を踏
まえ、情報セキュリティの要素である「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性
(Availability)
」のバランスを取りながら、リスクに対応することが求められる。
「機密性(Confidentiality)
」は、情報資産に対して、許可された者のみがアクセスできることを指す。
機密性が確保されないと、許可していない者による情報システムの利用や改ざん、破壊などが生じうる
ほか、医療情報システムで取り扱う医療情報の不正な利用(参照、登録、改変)や漏えいなどが生じう
る。
「完全性(Integrity)
」は、情報資産が正確かつ完全な形で利用できることを指す。完全性が確保され
ないと、表示されるべき情報が欠落したり、不完全な又は不正確な形で表示されたりすることなどが生
じうる。
「可用性(Availability)
」は、情報資産に対して、許可された者が必要な時点でアクセスできることを
指す。可用性が確保されないと、情報システムが利用できなかったり、利用目的に応じた適切な速度等
での処理がなされなかったりすることで、医療情報などの利用が妨げられることなどが生じうる。
医療情報システムにおける安全管理は、これら3要素への対応を想定するものであるが、医療機関等
の業務内容や導入する医療情報システムなどを踏まえたリスク評価により、これら 3 要素への対応を随
時検討し判断することになる。
これら 3 要素への対応を踏まえて講じた安全管理措置を的確かつ継続的に実施・改善するために、
3要素を保護するための体系的な仕組みである情報セキュリティマネジメントシステム(ISMS:
Information Security Management System)を構築・運用することなどが求められる。
4.3 医療情報システムの安全管理に関連する法令
医療情報システムに直接関連する法令としては、
・ 個人情報の保護に関する法律(平成 15 年法律第 57 号)
・ e-文書法、厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における
情報通信の技術の利用に関する省令(平成 17 年厚生労働省令第 44 号)及び「民間事業者等が行
う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」
(平成 17 年3
月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保発第 0331005 号厚生労働省医政局
長・医薬食品局長・保険局長連名通知。平成 28 年3月 31 日最終改正。
)
・ 「診療録等の保存を行う場所について」
(平成 14 年3月 29 日付け医政発第 0329003 号・保発第
0329001 号厚生労働省医政局長、保険局長連名通知。平成 25 年3月 25 日最終改正。
)
が挙げられる。
また、サイバー攻撃の脅威が近年増大していることに鑑み、医療法施行規則(昭和 23 年厚生省令第 50
号)第 14 条第2項において、病院、診療所又は助産所の管理者が遵守すべき事項として、医薬品、医療
機器等の品質、有効性及び安全性の確保等に関する法律施行規則(昭和 36 年厚生省令第1号)第 11 条
第2項において薬局の管理者が遵守すべき事項として、サイバーセキュリティの確保について必要な措
置を講じなければならないとしている。
なお、医療従事者等が作成する文書については、関係する法令により示されており(例えば医師法に
おける診療録)
、各法令が求める内容に従って作成する必要がある。その上で、電磁的記録による保存を
-7-