「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集

こんにちは、丸山満彦です。

総務省と経済産業省から「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集がされていますね。

総務省のクラウドサービス事業者を対象とする「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン（第1版）」（平成30年7月策定）と、経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン（第2版）」（平成24年10月策定）をマージした感じですね。。。

●総務省 情報流通行政局 情報流通振興課

・2020.03.05「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見の募集

   ○別紙1：[PDF] 医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会構成員
　○別紙2：[PDF] 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）
　－別添2-1：[PDF] ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書（SLA）参考例
　－別添2-2：[PDF] 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表

 

●経済産業省 商務情報政策局 情報産業課

・2020.03.05 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）に対する意見を募集します

医療情報の安全管理のため、医療情報を取り扱う情報システムやサービス（以下、「医療情報システム」）の提供事業者に対して、総務省の「クラウド事業者ガイドライン」及び経済産業省の「情報処理事業者ガイドライン」は、それぞれ必要な対策等を規定してきました。
近年、情報サービスの提供形態の多様化により、医療情報システムの提供事業者がこれら２つのガイドラインの両方を参照して対応する必要が生じていることから、2つのガイドラインを統合・改定することとしました。今般、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（案）を取りまとめましたので、令和2年3月6日（金曜日）から同年4月6日（月曜日）までの間、同ガイドライン案に対する意見を募集します。

• [PDF] 別紙1　医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会構成員
• [PDF] 別紙2　医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(案)
• [PDF] 別添2-1　ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書（SLA）参考例
• [PDF] 別添2-2　旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表

＝＝＝＝＝

【参考】

●厚生労働省

・医療情報システムの安全管理に関するガイドライン　第5版（平成29年5月）

　・ [PDF] 医療情報システムの安全管理に関するガイドライン　第5版
　　・ [PDF] 付表
　　・ [PDF] 付録

　・[PDF] 医療情報システムを安全に管理するために（第2版）　「医療情報システムの安全管理に関するガイドライン」全ての医療機関等の管理者向け読本 全文

　・[PDF ] 別冊用語集  全文

　・[PDF]  Q&A 全文

1．概要

総務省及び経済産業省では、医療情報を電子的に作成し保存する際の安全を確保するため、医療情報システムの提供事業者に対して、ガイドラインを各省ごとに定めてきました。具体的には、総務省では、ASP・SaaS、PaaSやIaaS等のクラウドサービス事業者を対象とする「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン（第1版）」（平成30年7月策定。以下「クラウド事業者ガイドライン」という。）により、経済産業省では、情報処理事業者を対象とする「医療情報を受託管理する情報処理事業者における安全管理ガイドライン（第2版）」（平成24年10月策定。以下「情報処理事業者ガイドライン」という。）によって、医療情報の安全管理について必要な対策等を規定してきました。

近年、情報サービスの提供形態の多様化により、医療情報システムの提供事業者が「情報処理事業者ガイドライン」と「クラウド事業者ガイドライン」の両方を参照して対応する必要が生じていることから、2つのガイドラインを統合・改定することとしました。改定に際しては、下記の方針で検討を進めています。

• 他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの遵守と同等の安全管理水準が確保されるようにする。
• 医療情報システムの特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセス を定義する。
• 医療機関等と医療情報システムの提供事業者においてセキュリティ対策について正しい共通理解と明示的な合意のもと医療情報システムを運用するために、リスクコミュニケーションを重視する。
• 医療情報システムに関連する法令の求めに対して対策の抜け漏れを防止するために、医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする。

=====

 

1. 本ガイドラインの基本方針

1.1 本ガイドライン策定の経緯

1.1.1 医療情報に関する法整備
1.1.2 医療情報安全管理ガイドライン
1.1.3 総務省・経済産業省ガイドライン
1.1.4 状況の変化に対する改訂の必要性

1.2 本ガイドラインの策定方針

1.3 本ガイドラインの構成

 

2. 本ガイドラインの対象

2.1 本ガイドラインが対象とする医療情報と事業者

2.2 医療情報システムの代表的な提供形態

2.2.1 1社で提供するケース
2.2.2 複数の事業者が提供するケース
2.2.3 医療機関等が複数社と契約するケース

 

3. 医療情報の安全管理に関する義務・責任

3.1 法律関係

3.1.1 安全管理義務
3.1.2 対象事業者の説明義務
3.1.3 事後責任

3.2 医療情報システムのライフサイクルにおける義務と責任

3.2.1 契約前の合意形成及び契約中の合意の維持
3.2.2 通常時の義務
3.2.3 危機管理対応時の義務及び責任

 

4. 対象事業者と医療機関等の合意形成

4.1 医療機関等へ情報提供すべき項目

4.2 医療機関等との役割分担の明確化

4.3 医療情報システムの安全管理に係る評価

4.4 第三者認証等の取得に係る要件

 

5. 安全管理のためのリスクマネジメントプロセス

5.1 リスクマネジメントの実践

5.1.1 リスク特定
5.1.2 リスク分析
5.1.3 リスク評価
5.1.4 リスク対応の選択肢の選定
5.1.5 リスク対応の実施手順
5.1.6 リスクコミュニケーション
5.1.7 継続的なリスクマネジメントの実践

5.2 リスクアセスメント及びリスク対応の実施例

5.2.1 リスクアセスメント
5.2.2 リスク対応

 

6. 医療分野における制度上の要求事項

6.1 医療分野の制度が求める安全管理の要求事項

6.2 電子保存の要求事項

6.3 法令で定められた記名・押印を電子署名で行うことについて

6.4 その他取扱いに注意を要する文書等について

6.5 外部保存の要求事項

 

用語集