よむ、つかう、まなぶ。
【資料1-3】医療情報システムの安全管理に関するガイドライン第6.0版 経営管理編(案) (9 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
<説明責任>
➢
非常時における説明責任とは、医療情報システムの安全管理上望ましくない事象、例えば、情報漏
洩や情報システム障害等の情報セキュリティインシデントが生じた場合に、事態の発生を公表し、
その原因と影響、対応方針や対処方法等を説明する責任である。
➢
患者等への説明に加え、所管官庁への報告や公表なども必要である。
<善後策を講ずる責任>
➢
情報セキュリティインシデントが生じた場合は、医療情報システムを用いた診療の継続に向けた業
務復旧等を図るために、善後策を講じる必要がある。善後策を講ずる責任には、
「原因を究明する責
任」と「再発防止策を講ずる責任」が含まれる。
➢
「原因を究明する責任」とは、医療情報及び医療情報システムの管理上で生じた情報セキュリティ
インシデントの発生原因を明らかにする責任である。原因が不明のままであると、再発の可能性が
解消されず、患者等が安心して医療情報を医療機関等に委ねたり医療サービスを受けたりすること
ができないため、可及的速やかに原因を究明することが求められる。
➢
「再発防止策を講ずる責任」とは、究明された情報セキュリティインシデントの発生原因に対して、
同様の事象が再び発生しないよう必要な防止策を講じる責任である。具体的な再発防止策の検討に
際しては、医療機関等のみでは容易でない場合もあるため、適宜、システム関連事業者や外部有識
者などと連携して進めることが求められる。
1.3 委託における責任
1.3.1 委託(第三者委託)における責任
【遵守事項】
①
医療情報システムの安全管理について、システム関連事業者に委託する場合は、法令等を遵守
し、委託先事業者の選定や管理を適切に行うこと。
➢
医療情報システムの安全管理について、システム関連事業者に委託する場合は、医療機関等には委
託先事業者を監督する責任がある。個人情報保護法第 25 条では、
「個人情報取扱事業者は、個人デ
ータの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が
図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と規定さ
れており、具体的内容については、
「医療・介護関係事業者における個人情報の適切な取扱いのため
のガイダンス」の「Ⅳ 医療・介護関係事業者の義務等 7.安全管理措置、従業者の監督及び委託
先の監督(法第 23 条~第 25 条)
」において示されている。
➢
委託先事業者における医療情報システムの管理も、医療機関等の管理責任に含まれる。
➢
委託先事業者の過失による情報セキュリティインシデントについても医療機関等が責任を免れる
ことはできず、医療機関等が患者等に対する責任を負うため、適切なシステム関連事業者の選定が
求められる。
-6-
➢
非常時における説明責任とは、医療情報システムの安全管理上望ましくない事象、例えば、情報漏
洩や情報システム障害等の情報セキュリティインシデントが生じた場合に、事態の発生を公表し、
その原因と影響、対応方針や対処方法等を説明する責任である。
➢
患者等への説明に加え、所管官庁への報告や公表なども必要である。
<善後策を講ずる責任>
➢
情報セキュリティインシデントが生じた場合は、医療情報システムを用いた診療の継続に向けた業
務復旧等を図るために、善後策を講じる必要がある。善後策を講ずる責任には、
「原因を究明する責
任」と「再発防止策を講ずる責任」が含まれる。
➢
「原因を究明する責任」とは、医療情報及び医療情報システムの管理上で生じた情報セキュリティ
インシデントの発生原因を明らかにする責任である。原因が不明のままであると、再発の可能性が
解消されず、患者等が安心して医療情報を医療機関等に委ねたり医療サービスを受けたりすること
ができないため、可及的速やかに原因を究明することが求められる。
➢
「再発防止策を講ずる責任」とは、究明された情報セキュリティインシデントの発生原因に対して、
同様の事象が再び発生しないよう必要な防止策を講じる責任である。具体的な再発防止策の検討に
際しては、医療機関等のみでは容易でない場合もあるため、適宜、システム関連事業者や外部有識
者などと連携して進めることが求められる。
1.3 委託における責任
1.3.1 委託(第三者委託)における責任
【遵守事項】
①
医療情報システムの安全管理について、システム関連事業者に委託する場合は、法令等を遵守
し、委託先事業者の選定や管理を適切に行うこと。
➢
医療情報システムの安全管理について、システム関連事業者に委託する場合は、医療機関等には委
託先事業者を監督する責任がある。個人情報保護法第 25 条では、
「個人情報取扱事業者は、個人デ
ータの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が
図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。」と規定さ
れており、具体的内容については、
「医療・介護関係事業者における個人情報の適切な取扱いのため
のガイダンス」の「Ⅳ 医療・介護関係事業者の義務等 7.安全管理措置、従業者の監督及び委託
先の監督(法第 23 条~第 25 条)
」において示されている。
➢
委託先事業者における医療情報システムの管理も、医療機関等の管理責任に含まれる。
➢
委託先事業者の過失による情報セキュリティインシデントについても医療機関等が責任を免れる
ことはできず、医療機関等が患者等に対する責任を負うため、適切なシステム関連事業者の選定が
求められる。
-6-