厚生労働省 意見募集 医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) (2023.02.16)
こんにちは、丸山満彦です。
厚生労働省が「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)」について意見募集をしていますね。。。
このガイドラインは、「健康・医療・介護情報利活用検討会
」の「医療等情報利活用ワーキンググループ」で議論されてきていますので、合わせて関係しそうな資料も・・・
まずは、e-Govのパブコメ...
● e-Gov
・2023.02.16 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)に関する御意見の募集について
・[PDF] 「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) [downloaded]
2.第 6.0 版の骨子(案)
○ ガイドライン第 5.2 版の本編と別冊について、内容面の必要な見直しを行った上で、対象とする読者類型ごとに分冊化を行い、①各編に共通する前提内容を整理した概説編(Overview)、②医療機関等において組織の経営方針を策定し意思決定を担う経営層を対象とした経営管理編(Governance)、③医療情報システムの安全管理(企画管理、システム運営)の実務を担う担当者を対象とした企画管理編(Management)、④医療情報システムの実装・運用の実務を担う担当者を対象としたシステム運用編(Control)の4編構成とする。
○ 4編については、それぞれ以下の内容を記載するものとする。
① 概説編(Overview)
各編を理解する上で前提となる考え方や各編の概要等を示すものとする。主な内容は以下のとおり。
・ ガイドラインの目的
・ ガイドラインの対象
(医療機関等の範囲、医療情報・文書の範囲、医療情報システムの範囲)
・ ガイドラインの構成、読み方
・ ガイドラインの各編を読むに当たって前提となる考え方
(医療情報システムの安全管理の目的、安全管理に必要な要素、関連する法令等)
等
② 経営管理編(Governance)
主に以下の内容について、経営層として遵守・判断すべき事項、企画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理に関する責任・責務
・ リスク評価を踏まえた管理
(情報セキュリティマネジメントシステム(ISMS)の実践等)
・ 医療情報システムの安全管理全般
(経営層による内部統制、情報セキュリティ対策の設計及び管理、事業継続計画(BCP)の整備を含む情報セキュリティインシデントへの対策等)
・ 医療情報システム・サービス事業者との協働
(当該事業者の選定、管理、当該事業者との責任分界等)
等
③ 企画管理編(Management)
主に以下の内容について、医療機関等において組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示・管理を行うに当たって遵守すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理全般
(関連する法制度、安全管理方針の策定、責任分界、管理・監査体制、必要な規程・文書類の整備、職員及び委託先の医療情報システム・サービス事業者の人的管理等)
・ リスクアセスメント(リスク分析・評価)とリスクマネジメント(リスク管理)
・ 情報管理(情報の持ち出し、破棄等)
・ 医療情報システムに用いる情報機器等の管理
・ 非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
(通常時、サイバー攻撃に起因する非常時及び復旧対応時における対応を整理した計画の整備等)
・ 医療情報システムの利用者に関する認証等及び権限管理
・ 法令で定められた記名・押印のための電子署名
等
④ システム運用編(Control)
主に以下の内容について、医療機関等の経営層や企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え方を示すものとする。
・ 医療情報システムの安全管理における技術的対策
(端末等の情報機器、ソフトウェア、ネットワークに対する安全管理措置等)
・ システム設計・運用に必要な規程類と文書体系
・ 技術的な対応における責任分界
・ リスクアセスメントを踏まえた安全管理対策
・ 非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策
・ サイバーセキュリティ対策
(情報機器等の脆弱性対策、バックアップの実施・管理等)
・ 医療情報システムの利用者や連携するアプリケーションの認証等及び権限管理
・ 電子署名に関する技術的対応
等
○ 各医療機関等が、それぞれの特性に応じたかたちでガイドラインを遵守し、必要な安全管理を確保できるよう、医療機関等の組織体制(専任のシステム運用担当者の有無)や稼働している医療情報システムの構成(オンプレミス型/クラウドサービス型)、採用しているサービス形態(医療情報システム・サービス事業者による提供サービスの範囲)等に応じたガイドラインの参照パターンを例示するとともに、当該パターンに応じた参照項目を示すこととする。
○ 4編に加え、Q&Aや用語集、小規模医療機関(病院、診療所、薬局等)向けの特集、サイバーセキュリティ対策に関する特集等により、4編の内容面の補足を行うものとする。
この骨子に至る議論に一端...
● 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ
・2023.02.13 第14回
「医療情報システムの安全管理に関するガイドライン」について
・資料
- [PDF] 【資料1】【概要】「医療情報システムの安全管理に関するガイドライン」第6.0版の骨子(案)
- [PDF] 【参考資料1】「医療情報システムの安全管理に関するガイドライン」改定に向けた今後の進め方について
・2022.12.15 第13回
- (1)救急医療時における「全国で医療情報を確認できる仕組み (ACTION1) 」について
- (2)「医療情報システムの安全管理に関するガイドライン」について
- (3)医療機関におけるサイバーセキュリティ対策について(報告)
- (4)インシデント発生時初動対応支援事例及び課題報告(一般社団法人ソフトウェア協会講演)
- (5)その他
・議事録
森田座長はもちろんですが、高倉先生、山本先生、喜多先生、萩原さん等、知った方が活躍されていますね。。。
・資料
- [PDF] 議事次第
- [PDF] 【資料1】救急医療時における「全国で医療情報を確認できる仕組み (ACTION1) 」について
- [PDF] 【資料2-1】「医療情報システムの安全管理に関するガイドラインについて
- [PDF] 【資料3】サイバーセキュリティインシデント事案の初動対応報告
- [PDF] 【資料4】インシデント発生時初動対応支援事例及び課題報告(ソフトウェア協会講演)
- [PDF] 【参考資料1】医療等情報利活用ワーキンググループ開催要綱
- [PDF] 【参考資料2】第5回健康・医療・介護情報利活用検討会及び第4回医療等情報利活用WG主なご意見
- [PDF] 【参考資料3】医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)(令和4年11月10日付け事務連絡)
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.04.04 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)
・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について
・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表
・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)
・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。
・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集
10年以上遡ると...
・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」
・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正
・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」
・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」
・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版
・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」
・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」
・2005.04.09 医療情報システムの安全管理に関するガイドライン
・2005.03.05 医療情報システム パブコメ
« ENISA 相互運用可能なEUのリスク管理フレームワーク・ツールボックス | Main | 英国 科学技術省 上場企業等のアニュアルレポートにおけるサイバーセキュリティの開示に関する研究を開始... »
Comments