よむ、つかう、まなぶ。
【資料1-3】医療情報システムの安全管理に関するガイドライン第6.0版 経営管理編(案) (24 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
5.医療情報システム・サービス事業者との協働
5.1 事業者選定
【遵守事項】
①
委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステ
ム関連事業者を選定するよう指示すること。
②
委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又はこれと同等の規格の認証
を受けているシステム関連事業者を選定するよう指示すること。
5.1.1 事業者選定
➢ 医療機関等が外部委託により提供される情報システム・サービスを活用して、医療情報システムの
安全管理を行うためには、実際に活用する情報システム・サービスが適切なものであることが重要
である。情報システム・サービスの選定に際しては、それらの機能や仕様等が、医療機関等が要求・
想定する内容と合致することが必要であるが、併せてそれらの情報セキュリティの観点からも十分
な対策が講じられていることが求められる。
➢ 情報セキュリティ対策に関する機能や仕様等については、システム関連事業者からの情報提供など
により、その安全性を確認する必要もあるが、併せてシステム関連事業者自体の評価を行うことも
重要である。情報セキュリティ対策は情報システム・サービスにおける情報セキュリティ機能等だ
けではなく、システム関連事業者の組織としての情報セキュリティマネジメントが適切に講じられ
ている必要もあるためである。
➢ 個人情報保護法では委託先の監督が、個人情報取扱事業者の義務とされているが(同法第 25 条)
、
同法ガイドラインにおいては、適切な委託先の選定を行うことがその義務に含まれているとされて
おり、安全管理措置が適切に行われている委託先を選定することとされている(
「個人情報保護法ガ
イドライン 通則編」P53)
。また、医療情報を医療機関等の外部に委託して保存する場合には、
「診
療録等の保存を行う場所について」
(平成 14 年3月 29 日付け医政発第 0329003 号・保発第 0329001
号厚生労働省医政局長、保険局長連名通知。平成 25 年3月 25 日最終改正。
)により、本ガイドライ
ン及び「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
(総務省・経済産業省)
」を遵守しているシステム関連事業者であることが必要とされている。
5.1.2 事業者選定の基準
➢ 外部委託においては、医療情報の取扱いに関する内容が含まれることから、委託先事業者において
も、個人情報保護等に関する対応の安全性が確保されていることが求められる。
➢ 個人情報保護に関しては「JIS Q 15001 個人情報保護マネジメントシステム」
(P マーク制度と呼ば
れる)があり、情報の安全管理に関しては「JIS Q 27001 情報セキュリティマネジメントシステム」
(ISMS と呼ばれる)などの規格の認証により、システム関連事業者における情報管理等の安全性を
確認することができる。
➢ 医療情報の取扱いに関する委託先事業者を選定する際には、これらの認証を取得しているシステム
関連事業者から選定することが求められる。委託する内容に応じて、適宜、第三者認証などを活用
して、システム関連事業者に対する信頼性を確認した上で選定することも望ましい。
- 21 -
5.1 事業者選定
【遵守事項】
①
委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステ
ム関連事業者を選定するよう指示すること。
②
委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001 又はこれと同等の規格の認証
を受けているシステム関連事業者を選定するよう指示すること。
5.1.1 事業者選定
➢ 医療機関等が外部委託により提供される情報システム・サービスを活用して、医療情報システムの
安全管理を行うためには、実際に活用する情報システム・サービスが適切なものであることが重要
である。情報システム・サービスの選定に際しては、それらの機能や仕様等が、医療機関等が要求・
想定する内容と合致することが必要であるが、併せてそれらの情報セキュリティの観点からも十分
な対策が講じられていることが求められる。
➢ 情報セキュリティ対策に関する機能や仕様等については、システム関連事業者からの情報提供など
により、その安全性を確認する必要もあるが、併せてシステム関連事業者自体の評価を行うことも
重要である。情報セキュリティ対策は情報システム・サービスにおける情報セキュリティ機能等だ
けではなく、システム関連事業者の組織としての情報セキュリティマネジメントが適切に講じられ
ている必要もあるためである。
➢ 個人情報保護法では委託先の監督が、個人情報取扱事業者の義務とされているが(同法第 25 条)
、
同法ガイドラインにおいては、適切な委託先の選定を行うことがその義務に含まれているとされて
おり、安全管理措置が適切に行われている委託先を選定することとされている(
「個人情報保護法ガ
イドライン 通則編」P53)
。また、医療情報を医療機関等の外部に委託して保存する場合には、
「診
療録等の保存を行う場所について」
(平成 14 年3月 29 日付け医政発第 0329003 号・保発第 0329001
号厚生労働省医政局長、保険局長連名通知。平成 25 年3月 25 日最終改正。
)により、本ガイドライ
ン及び「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
(総務省・経済産業省)
」を遵守しているシステム関連事業者であることが必要とされている。
5.1.2 事業者選定の基準
➢ 外部委託においては、医療情報の取扱いに関する内容が含まれることから、委託先事業者において
も、個人情報保護等に関する対応の安全性が確保されていることが求められる。
➢ 個人情報保護に関しては「JIS Q 15001 個人情報保護マネジメントシステム」
(P マーク制度と呼ば
れる)があり、情報の安全管理に関しては「JIS Q 27001 情報セキュリティマネジメントシステム」
(ISMS と呼ばれる)などの規格の認証により、システム関連事業者における情報管理等の安全性を
確認することができる。
➢ 医療情報の取扱いに関する委託先事業者を選定する際には、これらの認証を取得しているシステム
関連事業者から選定することが求められる。委託する内容に応じて、適宜、第三者認証などを活用
して、システム関連事業者に対する信頼性を確認した上で選定することも望ましい。
- 21 -