厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
こんにちは、丸山満彦です。
厚生労働省が、医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)を公表していますね。。。
ランサムウェアによる被害の増加等の影響も踏まえての改訂となっているようですね。。。
あと、電子署名関係の改訂もありますね。。。
ランサムウェア対策
ランサムウェアによる攻撃への対応としてのバックアップのあり方等の対策を示した(6.10章)
適切なリスク分析を行い、被害に遭った際の対策を速やかに講じられるよう、医療情報システムに関する全体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業 者等含む)を整備する旨について示した(6.2章)
医療機関等が利用する医療情報システムにおいて外部サービスとの連携が進む中で、アプリケーション間の安全性を確保する観点から、外部アプリケーションとの連携における利用者の認証・認可に関する記述を示した(6.5章)
本ガイドラインにおいて従来から利用が認められているシステムやサービスの利用形態に関して、
これらの利用が安全に管理されている状況下で利用が可能であることを、改めて示すよう、一部記述の追記等をした
例えば、BYOD については安全に管理されている環境下での利用について具体的な記述を行った(6.9 章)
また外部ネットワークを利用する上で医療機関等が負うべき管理内容を明示した
電子署名
リモート署名や立会人型電子署名など新たな利用形態が普及しつつあることを踏まえて、電子署名に関する記載を整理した(6.12章)
例えば、文書の作成者に資格が必要な場合に求められる署名についての要件等について示した
その他関係制度の変更等に伴う修正を行った
電子署名が求められる文書の長期保存に必要なタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修正を行った(6.12章)
電子署名に用いる暗号アルゴリズムの参照規格について、実務の状況を勘案して、JISから ISOに参照規格を変更する旨を示した(6.12章)
外部保存を行う際の事業者の選定に関して、「医療情報を取り扱う情報システム・サービスの提供 事業者における安全管理ガイドライン」(総務省・経済産業省 令和 2 年 8 月 21 日)における基準に揃えた(8.3章)
分かりやすさや表現の平仄を合わせる観点から一部構成を修正した
● 厚生労働省
・2022.03.31 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
・[PDF]「「医療情報システムの安全管理に関するガイドライン第5.2版」の策定について」(医政発0331第50号)
| 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月) | |
| 本編 | [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(本編)(令和4年3月)  |
| 別冊 | [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(別冊)(令和4年3月) |
| 付表、付録、別添、Q&A | |
| 付表 | [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 |
| 付録 | [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付録 |
| 別添 | [PDF] 医療情報を安全に管理するために(管理者読本)第2.2版 [PDF] 医療情報システムの安全管理に関するガイドライン別冊用語集 |
| 「医療情報システムの安全管理に関するガイドライン 第5.2版」に関するQ&A | |
| 2022.04.21 | [PDF] 「医療情報システムの安全管理に関するガイドライン 第5.2版」に関するQ&A |
| 「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」 | |
| 2022.05.06 | [XLSX] 「医療機関のサイバーセキュリティ対策チェックリスト」 [PDF] 「医療機関のサイバーセキュリティ対策チェックリスト」 [XLSX] 「医療情報システム等の障害発生時の対応フローチャート」 [PDF] 「医療情報システム等の障害発生時の対応フローチャート」 |
| 参考 | |
| [PDF] 「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の結果について [PDF] 「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の解説付き回答要領 |
|
本編と別冊の目次
| 【本編】 | 【別冊】 |
| 1. はじめに | 1. はじめに |
| 2. 本ガイドラインの読み方 | 2. 本ガイドラインの読み方 |
| 3. 本ガイドラインの対象システム及び対象情報 | 3. 本ガイドラインの対象システム及び対象情報 |
| 3.1. 7 章及び 9 章の対象となる文書について | 3.1. 7 章及び 9 章の対象となる文書についての解説 |
| 3.2. 8 章の対象となる文書等について | 3.2. 8 章の対象となる文書等についての解説 |
| 3.3. 紙の調剤済み処方箋と調剤録の電子化・外部保存について | 3.3. 紙の調剤済み処方箋と調剤録の電子化・外部保存について |
| 3.4. 取扱いに注意を要する文書等 | 3.4. 取扱いに注意を要する文書等 |
| 4. 電子的な医療情報を扱う際の責任のあり方 | 4. 電子的な医療情報を扱う際の責任のあり方 |
| 4.1. 医療機関等の管理者の情報保護責任について | 4.1. 医療機関等の管理者の情報保護責任について |
| 4.2. 委託と第三者提供における責任分界 | 4.2. 委託と第三者提供における責任分界 |
| 4.2.1. 委託における責任分界 | 4.2.1. 委託における責任分界に関する解説 |
| 4.2.2. 第三者提供における責任分界 | 4.2.2. 第三者提供における責任分界に関する解説 |
| 4.3. 例示による責任分界点の考え方の整理 | 4.3. 例示による責任分界点の考え方の整理における具体的な責任分界例の解説 |
| 4.4. 技術的対策と運用による対策における責任分界点 | 4.4. 技術的対策と運用による対策における責任分界点 |
| 5. 情報の相互運用性と標準化について | 5. 情報の相互運用性と標準化について |
| 5.1. 基本データセットや標準的な用語集、コードセットの利用 | |
| 厚生労働省標準規格 | |
| 基本データセット | |
| 用語集・コードセット | |
| 5.2. データ交換のための国際的な標準規格への準拠 | |
| 5.3. 標準規格の適用に関わるその他の事項 | |
| 6. 医療情報システムの基本的な安全管理 | 6. 医療情報システムの基本的な安全管理 |
| 6.1. 方針の制定と公表 | 6.1. 方針の制定と公表に関する解説 |
| 6.2. 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践 | 6.2. 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践 |
| 6.2.1. ISMS 構築の手順 | ISMS 構築の手順 |
| 6.2.2. 取扱い情報の把握 | 取扱い情報の把握 |
| 6.2.3. リスク分析 | リスク分析に関する解説 |
| 6.3. 組織的安全管理対策(体制、運用管理規程) | 6.3. 組織的安全管理対策(体制、運用管理規程) |
| 6.4. 物理的安全対策 | 6.4. 物理的安全対策 |
| 6.5. 技術的安全対策 | 6.5. 技術的安全対策 |
| 6.6. 人的安全対策 | 6.6. 人的安全対策 |
| 6.7. 情報の破棄 | 6.7. 情報の破棄 |
| 6.8. 医療情報システムの改造と保守 | 6.8. 医療情報システムの改造と保守に関する解説 |
| 6.9. 情報及び情報機器の持ち出し並びに外部利用について | 6.9. 情報及び情報機器の持ち出し及び外部利用についての解説 |
| 6.10. 災害、サイバー攻撃等の非常時の対応 | 6.10. 災害、サイバー攻撃等の非常時の対応に関する解説 |
| 6.11. 外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理 | 6.11. 外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理 |
| 6.12. 法令で定められた記名・押印を電子署名で行うことについて | 6.12. 法令で定められた記名・押印を電子署名で行うことについて |
| 7. 電子保存の要求事項について | 7. 電子保存の要求事項について |
| 7.1. 真正性の確保について | 7.1. 真正性の確保に関する解説 |
| 7.2. 見読性の確保について | 7.2. 見読性の確保に関する解説 |
| 7.3. 保存性の確保について | 7.3. 保存性の確保に関する解説 |
| 8. 診療録及び診療諸記録を外部に保存する際の基準 | 8. 診療録及び診療諸記録を外部に保存する際の基準 |
| 8.1. 電子保存の 3 基準の遵守 | 8.1. 電子保存の 3 基準の遵守 |
| 8.2. 運用管理規程 | 8.2. 運用管理規程 |
| 8.3. 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準 | 8.3. 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準に関する解説 |
| 8.4. 個人情報の保護 | 8.4. 個人情報の保護 |
| 8.5. 責任の明確化 | 8.5. 責任の明確化 |
| 8.5.1. 留意事項 | 旧 8.4 外部保存全般の留意事項について |
| 旧 8.4.2 外部保存契約終了時の処理に関する解説 | |
| 旧 8.4.3 保存義務のない診療録等の外部保存について | |
| 9. 診療録等をスキャナ等により電子化して保存する場合について | 9. 診療録等をスキャナ等により電子化して保存する場合について |
| 9.1. 共通の要件 | |
| 9.2. 診療等の都度スキャナ等で電子化して保存する場合 | |
| 9.3. 過去に蓄積された紙媒体等をスキャナ等で電子化保存する場合 | |
| 9.4. 紙の調剤済み処方箋をスキャナ等で電子化し保存する場合について | |
| 9.5(補足) 運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存を行う場合 | |
| 10. 運用管理について | 10. 運用管理について |
| 付則 | |
| 付則 1 電子媒体による外部保存を可搬媒体を用いて行う場合 | |
| 付則 2 紙媒体のままで外部保存を行う場合 | |
| 別紙 | 別紙 |
| 付表 1 一般管理における運用管理の実施項目例 | 付表 1 一般管理における運用管理の実施項目例 |
| 付表 2 電子保存における運用管理の実施項目例 | 付表 2 電子保存における運用管理の実施項目例 |
| 付表 3 外部保存における運用管理の例 | 付表 3 外部保存における運用管理の例 |
| 付録 (参考)外部機関と診療情報等を連携する場合に取り決めるべき内容 | 付録 (参考)外部機関と診療情報等を連携する場合に取り決めるべき内容 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)
・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について
・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表
・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)
・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。
・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集
10年以上遡ると...
・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」
・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正
・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」
・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」
・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版
・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」
・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」
・2005.04.09 医療情報システムの安全管理に関するガイドライン
・2005.03.05 医療情報システム パブコメ
« 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度 | Main | 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案 »
Comments