総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」
こんにちは、丸山満彦です。総務省が、「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」に対する意見を募集していますね。。。
=====
1.経緯
・・・従来、医療機関等や関係者に対しては法律や各種のガイドライン等により、格別の安全管理措置を講ずることが義務付けられ、医療情報については、医療機関等が自らの責任で管理し、情報システムの導入時にも自らが管理するシステム等により取り扱われてきました。一方で、情報システムの高度化・多様化に伴い、個人情報の保護やセキュリティに対する社会的な要請が高まる中、必ずしも情報処理に関わる専門家ではない医療機関等や医療関係者がこれらの要請に耐えうることが困難な場面も見受けられるようになってきました。このような状況のなか、昨今のASP・SaaSの普及に伴い、医療に関わる情報を処理するASP・SaaS事業者も見られ、これらの事業者に対し、安全性確保の方策について一定の基準を示す必要性が生じてきました。
そこで、総務省とASPIC※の合同で設立した「ASP・SaaS普及促進協議会」のなかに「医療・福祉情報サービス展開委員会」(別紙)を設置し、医療情報の重要性から見た高度な安全性確保の要求を踏まえ、医療情報がASP・SaaSによって適正かつ安全に取り扱われ、医療情報におけるASP・SaaSの利用の適切な促進を図るための検討を実施してきました。・・・。
=====
ということのようです。。。
■総務省
・2009.05.19 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」に対する意見募集
・・ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)
サービスを停止する場合のことがあったり、SLAの話があったりでなかなかおもしろそうです。。。
目次
=====
第1章 本ガイドラインの前提条件及び読み方
1.1 本ガイドラインの目的
1.1.1 医療情報の重要性とASP・SaaS利用の活用
1.1.2 本ガイドラインの目的
1.2 本ガイドラインの対象範囲
1.3 対象とする事業者と他のガイドラインとの関係、ASP・SaaS提供に際しての前提事項
1.3.1 本ガイドラインで対象とする事業者等
1.3.2 他のガイドラインとの関係
1.3.3 ASP・SaaS提供に際して前提となる事項
1.4 本ガイドラインで対象とするASP・SaaS
1.4.1 ASP・SaaSの定義
1.4.2 ASP・SaaSの分類
1.5 本ガイドラインの構成
1.6 本ガイドラインで用いる用語の定義
1.6.1 厚生労働省ガイドラインで使用されている語の定義
1.6.2 情報セキュリティ対策ガイドラインにおける定義を踏襲している用語
1.6.3 本ガイドラインで定義する用語
第2章 ASP・SaaS事業者が医療情報の処理を行う際の責任等
2.1 医療情報を処理する際の医療機関等の責任
2.2 ASP・SaaS事業者と医療機関等の管理者との責任分界の考え方
2.3 医療情報の処理におけるASP・SaaS事業者の責任
2.3.1 通常運用における責任
2.3.2 事後責任
2.4 医療情報に関わるASP・SaaS事業者に関連する第三者認証等の考え方
第3章 安全管理に関してASP・SaaS事業者への要求事項
3.1 本章の読み方
3.1.1 ASP・SaaS事業者が実施すべき内容
3.1.2 本章で記述する表の見方
3.2 医療情報サービスに求められる安全管理に関するASP・SaaS事業者への要項
3.2.1 組織的安全管理対策
3.2.2 物理的安全管理策
3.2.3 技術的安全管理策
3.2.4 人的安全管理対策
3.2.5 情報の破棄
3.2.6 情報システムの改造と保守
3.2.7 情報および情報機器の持ち出しについて
3.2.8 災害等の非常時の対応
3.2.9 外部と個人情報を含む医療情報を交換する場合の安全管理
3.2.10 法令で定められた記名・押印を電子署名で行うことについて
3.3 外部保存におけるASP・SaaS事業者への要求事項
3.3.1 外部保存に対する要求事項が求められる文書
3.3.2 真正性の確保におけるASP・SaaS事業者への要求事項
3.3.3 見読性の確保におけるASP・SaaS事業者への要求事項
3.3.4 保存性の確保におけるASP・SaaS事業者への要求事項
3.3.5 外部保存におけるASP・SaaS事業者への要求事項 .
3.4 ASP・SaaSの提供終了におけるASP・SaaS事業者への要求事項
3.4.1 ASP・SaaSの提供終了が発生する場面
3.4.2 ASP・SaaSの提供終了における実施項目
3.4.3 ASP・SaaS事業者間のサービス移行における留意点
第4章 安全管理の実施における医療機関等との合意形成の考え方
4.1 契約、SLA等の合意文書の位置付け
4.2 安全管理の実施において医療機関等と合意形成を行なう内容
4.2.1 組織体制及び運用管理に係る対応内容 .
4.2.2 医療情報サービス全般で合意すべき機能に関する対応内容
4.2.3 外部保存を行う医療情報サービスで合意すべき機能に関する対応内容
4.3 契約、SLA等の合意における注意点 .
4.3.1 サービスレベルとコストに見合った提案 .
4.3.2 医療機関等との責任分界の明確化
4.4 サービスレベルマネジメントの実践 .
=====
Comments