よむ、つかう、まなぶ。
【資料1-3】医療情報システムの安全管理に関するガイドライン第6.0版 経営管理編(案) (19 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.4 情報セキュリティインシデントへの対策と対応
3.4.1 事業継続計画(BCP:Business Continuity Plan)の整備と訓練
【遵守事項】
①
情報セキュリティインシデントの発生に備え、非常時における業務継続の可否の判断基準、継
続する業務内容の選定等に係る意思決定プロセスを検討し、BCP 等を整備すること。
②
情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影
響が生じる場合に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシス
テム運用担当者に指示するとともに、当該復旧手順について随時自己点検を行うよう指示した上
で、その結果報告を受け、必要に応じて、改善に向けた対応を指示すること。
③
通常時に整備していた BCP が、非常時において迅速かつ的確に実施できるよう、通常時から
定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者
やシステム運用担当者に指示すること。
➢ 情報セキュリティインシデントが発生し、医療情報システムの稼働(可用性)が損なわれるような
非常時に備えて、通常時から、非常時における医療情報システムの運用に関する対応を整理し、業
務継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロセスを検討した上で、
BCP 等を整備することが求められる。また、上記の非常時に至る主な原因としては、災害、サイバ
ー攻撃、システム障害等が想定されるが、これらの原因の違いに応じて、適切な対応をとることが
求められる。企画管理編及びシステム運用編では、事象発生原因に応じた必要な対応例について記
載しており、必要に応じて参照すること。
➢ 医療情報システムの情報システム面において、非常時の対応として重要なことは、稼働が損なわれ
た情報システムを非常時発生前の状態に適切に復旧できることである。そのためには情報システム
やデータ等のバックアップを適切に確保・保管することが重要である。
➢ また、非常時において、医療情報システムの利用が困難な場合の対応や復旧に至るまでの対応につ
いても、通常時から明らかにしておく必要がある。例えば、電子カルテシステムが止まっている間、
紙運用で診療業務を継続するのか等、経営層はその対応内容について、BCP に応じて判断しなけれ
ばならない。
➢ 情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影響が
生じる場合に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシステム運
用担当者に指示するとともに、当該復旧手順について、情報システムの更新・改変時等、随時自己
点検を行うよう指示した上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示する
必要がある。
➢ 通常時に整備していた BCP が非常時において迅速かつ的確に実施できるよう、経営層においては、
通常時から定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企
画管理者やシステム運用担当者に指示する必要がある。
- 16 -
3.4.1 事業継続計画(BCP:Business Continuity Plan)の整備と訓練
【遵守事項】
①
情報セキュリティインシデントの発生に備え、非常時における業務継続の可否の判断基準、継
続する業務内容の選定等に係る意思決定プロセスを検討し、BCP 等を整備すること。
②
情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影
響が生じる場合に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシス
テム運用担当者に指示するとともに、当該復旧手順について随時自己点検を行うよう指示した上
で、その結果報告を受け、必要に応じて、改善に向けた対応を指示すること。
③
通常時に整備していた BCP が、非常時において迅速かつ的確に実施できるよう、通常時から
定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者
やシステム運用担当者に指示すること。
➢ 情報セキュリティインシデントが発生し、医療情報システムの稼働(可用性)が損なわれるような
非常時に備えて、通常時から、非常時における医療情報システムの運用に関する対応を整理し、業
務継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロセスを検討した上で、
BCP 等を整備することが求められる。また、上記の非常時に至る主な原因としては、災害、サイバ
ー攻撃、システム障害等が想定されるが、これらの原因の違いに応じて、適切な対応をとることが
求められる。企画管理編及びシステム運用編では、事象発生原因に応じた必要な対応例について記
載しており、必要に応じて参照すること。
➢ 医療情報システムの情報システム面において、非常時の対応として重要なことは、稼働が損なわれ
た情報システムを非常時発生前の状態に適切に復旧できることである。そのためには情報システム
やデータ等のバックアップを適切に確保・保管することが重要である。
➢ また、非常時において、医療情報システムの利用が困難な場合の対応や復旧に至るまでの対応につ
いても、通常時から明らかにしておく必要がある。例えば、電子カルテシステムが止まっている間、
紙運用で診療業務を継続するのか等、経営層はその対応内容について、BCP に応じて判断しなけれ
ばならない。
➢ 情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影響が
生じる場合に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシステム運
用担当者に指示するとともに、当該復旧手順について、情報システムの更新・改変時等、随時自己
点検を行うよう指示した上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示する
必要がある。
➢ 通常時に整備していた BCP が非常時において迅速かつ的確に実施できるよう、経営層においては、
通常時から定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企
画管理者やシステム運用担当者に指示する必要がある。
- 16 -