よむ、つかう、まなぶ。
【資料1-4】医療情報システムの安全管理に関するガイドライン第6.0版 企画管理編(案) (33 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
7.安全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約)
【遵守事項】
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の
守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。ま
た、教育・訓練の実施状況について定期的に経営層に報告すること。
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非
開示に関する内容を含めること。
④
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求める
こと。
⑤
外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重
要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
-
保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者
及びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反
した場合のペナルティを契約書等で定めること。
-
医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事
業者にも本ガイドラインを遵守させること。
-
総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
における安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的
に報告を受ける等して遵守状況を確認すること。
-
外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対
策状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービ
スの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提
供を求めて確認することなどが挙げられる。
)
-
外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧
させないこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以
下同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の
委託先事業者に遵守させること。
-
保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供の
ルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定
する場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せて
しまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
- 保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
⑥
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認するこ
と。
a
医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b
医療情報等の安全管理に係る実施体制の整備状況
c
不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
- 27 -
【遵守事項】
①
医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の
守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
②
個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。ま
た、教育・訓練の実施状況について定期的に経営層に報告すること。
③
医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非
開示に関する内容を含めること。
④
③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求める
こと。
⑤
外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重
要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
-
保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者
及びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反
した場合のペナルティを契約書等で定めること。
-
医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事
業者にも本ガイドラインを遵守させること。
-
総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者
における安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的
に報告を受ける等して遵守状況を確認すること。
-
外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対
策状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービ
スの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提
供を求めて確認することなどが挙げられる。
)
-
外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧
させないこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以
下同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の
委託先事業者に遵守させること。
-
保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供の
ルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定
する場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せて
しまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
- 保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
⑥
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認するこ
と。
a
医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b
医療情報等の安全管理に係る実施体制の整備状況
c
不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
- 27 -