※ミス、漏れもありますので、必ず原典をご確認ください。
3省2ガイドライン(医療情報システムの安全管理に関するガイドライン 第6.0版および医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン 第2.0 版)を踏まえて、契約に盛り込んだ方が良いと私が考える事項についてのブログです。
- 引用時に特に記載がない場合は、厚労GL経営管理編 https://www.mhlw.go.jp/content/10808000/001102573.pdf
- 厚労GL企画管理編・システム運用編は、オンプレとかクラウドとかその他によって義務化しないで良い場合も有り。
- 契約に盛り込んだ方が良いと私が考える事項
- 〇3省2ガイドラインおよび法令等が求める要件に準拠すること
- △プライバシーマーク認定または ISMS 認証を取得し、契約期間中維持すること
- 〇死者情報も個人情報と同等の義務が生じることの明確化。死者情報も個人情報として取り扱うこと
- 〇関連ガイドラインを踏まえた安全管理措置を講じ、定期的および随時改善を行うこと
- 〇医療機関等の要求仕様へ適合すること、適切なリスク管理措置を検討・実施し、定期的および随時改善を行うこと
- 〇守秘義務等(特に、就業規則等で従業者の雇用中および退職後の守秘・非開示義務を定め、契約書で違反時のペナルティを定める)
- 〇医療情報の取扱制限(特に、閲覧範囲の制限、取扱権限の必要最小限化、保存情報等の独自利用・分析・提供等の禁止、持出の制限、匿名化妥当性検証、国内法適用の確保等)
- 〇教育訓練義務(特に、就業規則等で従業者への教育訓練の実施及び教育訓練の実施状況に関する経営層への定期的報告を定める)
- 〇再委託時の責任(必要な報告、改善、監督責任、再委託先の行為に対する責任)
- 〇情報セキュリティインシデントが生じた場合に直ちに報告し、事実整理、原因究明を行い、医療機関の承諾を得て再発防止策を講じ、医療機関の指示に従い個人情報保護委員会および本人対応を支援し、通常時から非常時を想定した体制や措置を講じ、システム関連事業者や外部関係機関と協働関係を構築しておくことその他誠実かつ迅速な対応を行うこと
- △責任分解、役割分担
- △医療機関が医療情報システムの安全管理等に関して、文書化および体制を整備し計画を策定できるよう支援すること
- 〇委託終了後に個人データを復元できない方法で破棄するか医療機関に返却すること、破棄時には破棄手順等を含む証跡等を提出すること
- 〇医療機関による合理的な指示・訓練への対応その他誠実な協力
- 〇運用・管理状況等について定期的および随時報告および情報提供を行うとともに、運用状況等以外についても医療機関からの指示に従い必要な報告および情報提供を定期的および随時行うこと
- △「サービス仕様適合開示書」「サービス・レベル合意書(SLA)」
契約に盛り込んだ方が良いと私が考える事項
〇3省2ガイドラインおよび法令等が求める要件に準拠すること
P3【遵守事項】
① 医療情報システムの安全管理に関係する法令等を遵守すること。
② 医療機関等で業務に従事する職員や関係するシステム関連事業者等に対して、医療情報システムに関係する法令等を遵守させること。P21【遵守事項】
① 委託する事業者を選定する場合には、本ガイドライン及び法令等が求める要件を満たすシステム関連事業者を選定するよう指示すること。
企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf P27【遵守事項】
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
-医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者にも本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等して遵守状況を確認すること。
- ×?医療情報システムの安全管理に関係する法令等を遵守すること
- ×?医療機関等で業務に従事する職員や関係するシステム関連事業者等に対して、医療情報システムに関係する法令等を遵守させること
- 本ガイドラインおよび「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」準拠は契約書に規定するとして、法令等準拠は書くべきかは微妙。
- いまいち意味がわからないところがある。
法令等とあるけど、法令といっても、医療情報システムの安全管理に関係する法令自体は、医療法施行規則第 14 条第2項(病院、診療所又は助産所の管理者のサイバーセキュリティの確保について必要な措置)、医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則第11条第2項(薬局の管理者のサイバーセキュリティの確保について必要な措置)位?
安全管理そのものじゃなくて、保存義務とかそういう義務を満たすようなシステム設計をと言っているのか?
https://www.mhlw.go.jp/content/10808000/001102575.pdfのP3-9にいろいろ書いてあるけど、電子保存する場合の要件って感じですよね・・・ - サービスとしての3省2ガイドライン準拠を規定し、関連法令遵守はもっと抽象的な条項に分けて規定してもきれいかもしれません。
△プライバシーマーク認定または ISMS 認証を取得し、契約期間中維持すること
P21【遵守事項】
② 委託する事業者を選定する場合には、JIS Q 15001、JIS Q 27001又はこれと同等の規格の認証を受けているシステム関連事業者を選定するよう指示すること。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P23
医療情報の機微性に鑑み、対象事業者は、医療情報を取り扱う事業者として、最低限の適格性を医療機関等へ示すため、情報セキュリティに係る公的な第三者認証等として、プライバシーマーク認定または ISMS 認証を取得すること。特に、プライバシーマーク認定を取得していることが望ましい。また ISMS 認証については、情報システム管理が適正になされていることを認証するものであり、安全対策の有効性までを認証するものではないことに留意する必要がある。そのため、ISMS認証のみを取得する場合には、事業者における具体的な管理方法の説明等を検討する等、医療機関等から有効性を示す資料の提供を求められた場合に対応できる状態としておくことが望ましい。医療情報を直接取り扱わない対象事業者の場合においても、プライバシーマーク認定または ISMS 認証の取得が強く求められる。
なお、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」(令和 3 年3 月 30 日各府省情報化統括責任者(CIO)連絡会議決定)で示されている「クラウドセキュリティ認証等」(表 4-1参照)は、プライバシーマーク認定やISMS認証と同等の認証等と認められるため、これに代えることも可能である。ただし、これら認証の取得をもって、本ガイドラインが求める安全管理水準を満たすわけではないことに留意すること。
なお、対象事業者が ISMS 認証を取得する場合、その適用範囲(スコープ)は、処理を受託する医療情報の入口から出口まで包括的に設定することが望ましい。また、適用宣言書の開示についても、医療機関等が委託先事業者を選定する際に確認できるよう、医療機関等への開示を前提として記載に配慮するとともに、医療情報を取り扱うために特別に配慮している管理策等を明確にすることが望ましい。 また、対象事業者がプライバシーマーク認定を取得する場合は「保健医療福祉分野のプライバシーマーク認定指針」を参照し、遵守に努めることが望ましい 。
- 契約書として条項を設けなくてもよいかも(ケースバイケース、どちら側がドラフトするか等にも拠る)。なぜならば、3省2ガイドライン準拠を規定した時点で、認証取得の必要性が出てくるため。
〇死者情報も個人情報と同等の義務が生じることの明確化。死者情報も個人情報として取り扱うこと
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P38
死者に係る情報であっても、個人情報と同等の安全管理措置の実施
- 安全管理措置の対象を生存者の個人情報のみならず死者情報を含むという規定を設けることも考えられる。
- ただ、それだと義務が狭いのではないか。例えば守秘義務であったり目的外利用制限であったり閲覧範囲制限であったりといった個人情報保護のための各種対応も、やはり死者情報を含むとした方が、安全管理措置の外延が不明瞭なために、事業者にとっても医療機関にとっても良いのではないかと思う。したがって、個人情報の定義や個人情報保護の規定近辺に、死者情報も同様の取扱いとする規定を設けることが良いと思う。
〇関連ガイドラインを踏まえた安全管理措置を講じ、定期的および随時改善を行うこと
P4【遵守事項】<定期的な見直し、必要に応じた改善を行う責任>
② 医療情報に関する安全管理を適切に維持するために、定期的な見直しを実施し、必要に応じて、改善措置を講じるよう、企画管理者及びシステム運用担当者に指示すること。
P6【遵守事項】
① 医療情報システムの安全管理について、システム関連事業者に委託する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に行うこと。
P10【遵守事項】
① リスク管理方針を踏まえ、医療情報及び医療情報システムといった医療機関等における情報資産のセキュリティに関する管理を、通常業務の一環として整え、ISMSを策定し、実施すること。
P15【遵守事項】
① 医療機関等において医療情報システムに関する安全管理対策が適切に実施されていることを確認するため、企画管理者やシステム運用担当者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に応じて改善に向けた対応を指示すること。
P15【遵守事項】
② 内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示するとともに、その対応結果をフォローすること。
P16【遵守事項】
② 情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影響が生じる場合に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指示するとともに、当該復旧手順について随時自己点検を行うよう指示した上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示すること。
P17【遵守事項】
② 情報セキュリティインシデントの未然防止策として、通常時から医療情報システムに関係する脆弱性対策やEOS(End of Sale, Support, Service:販売終了、サポート終了、サービス終了)等に関する情報を収集し、速やかに対策を講じることができる体制を整えるよう、企画管理者やシステム運用担当者に指示すること。
P19【遵守事項】
① 医療情報システムの安全管理に必要な対策項目(下表参照。)の概要を認識した上で、企画管理者やシステム運用担当者に対して、それぞれの対策項目に係る具体的な方法について整理する旨を指示し、それぞれの対策事項が対応できている旨を確認すること。
② 対応ができてない対策項目がある場合、その理由を確認し、対応の要否を判断の上、必要に応じて対応を指示すること。
(中略)
セキュリティ
クライアント側、サーバ側、インフラ等、医療機関等で医療情報システムを利用する際に、共通して求められるセキュリティの観点で必要な対策項目
・認証・認可に関する安全管理措置
・電子署名、タイムスタンプ
・証跡のレビュー、システム監査
・外部からの攻撃に対する安全管理措置企画管理編P37 https://www.mhlw.go.jp/content/10808000/001102575.pdf
⑤ 医療情報システムが利用するサービスに関して、安全管理の観点から、利用に適した状況にあることを定期的に確認すること。確認にあたっては、システム運用担当者に対してサービスにおける状況(サービスの機密性、クラウドサービス等における可用性、システム関連事業者が示す規約内容の変更状況等)が適切なものとなっていることを確認するよう指示し、報告を受けた上で、必要があれば契約変更等の対応を行うこと。システム運用編 https://www.mhlw.go.jp/content/10808000/001582980.pdf P41
⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今後、新規導入又は更新するに際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。
⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施すること。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワードに制限を設けること。 - 医療情報システム内のパスワードファイルは、パスワードを暗号化(不可逆変換によること)した状態で、適切な手法で管理・運用すること。
- 利用者のパスワードの失念や、パスワード漏洩のおそれなどにより、医療情報システムのシステム運用担当者がパスワードを変更する場合には、利用者の本人確認を行うとともに、どのような手法で本人確認を行ったのかを台帳に記載(本人確認を行った書類等のコピーを添付)すること。また、変更したパスワードは、利用者本人以外が知り得ない方法で通知すること。なお、パスワード漏洩のおそれがある場合には、速やかにパスワードの変更を含む適切な処置を講じること。
- 医療情報システムのシステム運用担当者であっても、利用者のパスワードを推定できないようにすること(設定ファイルにパスワードが平文で記載される等があってはならない)。
〇医療機関等の要求仕様へ適合すること、適切なリスク管理措置を検討・実施し、定期的および随時改善を行うこと
P4【遵守事項】<定期的な見直し、必要に応じた改善を行う責任>
② 医療情報に関する安全管理を適切に維持するために、定期的な見直しを実施し、必要に応じて、改善措置を講じるよう、企画管理者及びシステム運用担当者に指示すること。
P9【遵守事項】
① 取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決定すること。
② リスク分析を踏まえたリスク管理が必要な場面の整理、対策として求められる体制、並びにルール等の企画、整備及び管理について、企画管理者に指示すること。
③ 経営層の方針及びリスク分析を踏まえ、具体的にシステム面からの最適なリスク管理措置を検討し、実装、運用するよう、企画管理者に指示すること。
P10【遵守事項】
① リスク評価を踏まえ、医療情報の重要性及び医療の継続性並びに経営資源の投入及びリスク管理対策の実施の継続可能性等を鑑みて、リスク管理方針を決定すること。
② リスク評価結果及びリスク管理方針に関する説明責任を果たすこと。
P11【遵守事項】 ① 医療機関等のリスク管理方針に基づき、システム関連事業者による適切なリスク管理を実施し、医療機関等の要求仕様への適合性を確認し、管理すること。P15【遵守事項】
② 内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示するとともに、その対応結果をフォローすること。P16【遵守事項】
② 情報セキュリティインシデントにより、医療機関等内の医療情報システムの全部又は一部に影響が生じる場合に備え、医療情報システムの適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指示するとともに、当該復旧手順について随時自己点検を行うよう指示した上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示すること。P17【遵守事項】
② 情報セキュリティインシデントの未然防止策として、通常時から医療情報システムに関係する脆弱性対策やEOS(End of Sale, Support, Service:販売終了、サポート終了、サービス終了)等に関する情報を収集し、速やかに対策を講じることができる体制を整えるよう、企画管理者やシステム運用担当者に指示すること。企画管理編P37 https://www.mhlw.go.jp/content/10808000/001102575.pdf
⑤ 医療情報システムが利用するサービスに関して、安全管理の観点から、利用に適した状況にあることを定期的に確認すること。確認にあたっては、システム運用担当者に対してサービスにおける状況(サービスの機密性、クラウドサービス等における可用性、システム関連事業者が示す規約内容の変更状況等)が適切なものとなっていることを確認するよう指示し、報告を受けた上で、必要があれば契約変更等の対応を行うこと。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P40
5.1.1~5.1.6 に示したプロセスは、一度だけ実施すれば良いというものではない。対象事業者は、医療情報システム等における情報流や脅威の変化、想定外の事態の発生等に応じて、医療機関等との契約締結後も継続的に実施し、見直しを行うこと医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P25~
対象事業者は、本章に従い、医療情報システム等を提供する際に想定されるリスクを洗い出し、必要な対策をとりまとめること。図 5-1参照。(以下、水町の要約)
- 全体構成図を作成
- 洗い出した情報流について、当該情報流で処理を行う対象の情報の安全管理上の重要度に応じて分類
- 洗い出した情報流に対して、表 5-1に示す「医療情報システム等提供上の代表的な脅威」(「代表的な脅威」)をあてはめ、当該情報流に対してそれぞれの脅威が顕在化した場合に生じ得るリスクを特定。代表的な脅威以外の脅威についても、提供する医療情報システム等の構成に応じて検討し、リスクを特定
- 特定したリスクについて、「医療情報システム等への影響の度合い」(「影響度」)と「当該リスクが顕在化する可能性」(「顕在化率」)をもとに、「リスクの大きさの度合い」(「リスクレベル」)を算出
- 各リスクについて、リスクレベルをもとに対応要否を検討し、リスクアセスメント結果一覧を作成
- リスク対応策について、次に示す基本的な考え方と医療情報システム等特有の考慮事項を踏まえて設計
- 別紙 2 を用い、その全ての対策項目について対応していることを確認をすることは、対象事業者による対策の設計や妥当性の判断、説明義務への対応において必須
- 医療機関等へ対応を求める事項を整理した上で、それでも残存するリスクについて改めてリスク評価(5.1.3)を実施
- リスク対応の選択肢についての選定結果及び、選定結果に基づき設計した対応策を「リスク対応一覧」として文書化
- 医療機関による指示への対応・協力として規定し、例示する形も考えられるか
- 医療機関等のリスク管理方針に基づくリスク管理の提案、医療機関との協議に基づく当該リスク管理の実施などを規定することも考えられる
〇守秘義務等(特に、就業規則等で従業者の雇用中および退職後の守秘・非開示義務を定め、契約書で違反時のペナルティを定める)
企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf P27
【遵守事項】
① 医療情報を取り扱う者を職員として採用するに当たっては、雇用契約に雇用中及び退職後の守秘・非開示に関する条項を含める等の安全管理対策を実施すること。
③ 医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示に関する内容を含めること。
④ ③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めること。
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナルティを契約書等で定めること。
- これ、結構厳しい義務というか、NDAでもここまで入っていないことがあるので、要注意
〇医療情報の取扱制限(特に、閲覧範囲の制限、取扱権限の必要最小限化、保存情報等の独自利用・分析・提供等の禁止、持出の制限、匿名化妥当性検証、国内法適用の確保等)
企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf P27
【遵守事項】
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びその管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナルティを契約書等で定めること。
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させないこと。
- 保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルールについて定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないよう求めること。
- 保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること⑦ 医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を受託した医療情報を分析等の目的で取り扱わないこと。
- 保存を受託した医療情報の分析等は正当な目的の場合に限り許可されること。
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをしている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供する場合は、外部保存の委託先事業者に適切な利用者権限や閲覧の範囲を設定し、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こらないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施すること。P47
⑤ 医療機関等の外部の利用者について、医療情報システムの利用におけるアクセス権限とアクセス状況を管理すること。医療情報システムの利用用途とアクセス範囲、アクセス権限等をリスク評価に基づいて整理した上で、その内容に応じてIDやアクセス権限を付与すること。その具体的な手順については、担当者に作成を指示すること。
⑥ 医療情報システムの管理権限や、医療情報システム、情報機器等で用いるID等の安全管理を行うこと。管理権限については、担当者に対して、医療情報システムにおいて利用される管理権限の種類とそのID、利用が認められている者等を管理して一覧化するよう指示すること。システム等で用いるID等については、担当者に安全性の確認を指示し、必要に応じて認証に関する情報の変更等を指示すること。P55
⑨ 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いないことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる場合には、漏洩等が生じないために必要な対策を講じる旨を示し、その具体的な手順の策定を担当者に指示すること。システム運用編 https://www.mhlw.go.jp/content/10808000/001582980.pdf P16
② 保守業務を行う事業者に対して、原則として個人情報を含むデータの持出しを禁止すること。やむを得ず持ち出しを認める場合には、企画管理者の承認を得て許諾すること。
⑫ 保守作業等のどうしても必要な場合を除いてリモートログインを行うことができないように、適切に管理されたリモートログインのみに制限する機能を設けなければならない。システム運用編 https://www.mhlw.go.jp/content/10808000/001582980.pdf P26
① 動作確認等の保守作業で事業者が個人情報を含むデータを使用するときは、保守終了後に確実にデータを消去することを求め、その結果の報告を求めること。
② 診療録等の外部保存を受託する事業者においては、診療録等の個人情報の保護を厳格に行う必要がある。受託する事業者の管理者であっても、保存を受託した個人情報に、正当な理由なくアクセスできない仕組みが必要である。
③ 保守を実施するためにサーバに事業者の作業員(保守要員)がアクセスする際には、保守要員の専用アカウントを使用させ、個人情報へのアクセスの有無並びに個人情報にアクセスした場合の対象個人情報及び作業内容を記録すること。なお、これは利用者を模して操作確認を行う際の識別・認証についても同様である。
④ リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合には、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確認し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。 ⑤ リモートメンテナンス(保守)において、やむを得ず事業者が、ファイルを医療機関等へ送信等を行う場合、送信側で無害化処理が行われていることを確認すること。
⑥ 診療録等を保管している設備に障害が発生した場合等で、やむを得ず診療録等にアクセスをする必要がある場合も、医療機関等における診療録等の個人情報と同様の秘密保持を行うと同時に、外部保存を委託した医療機関等に許可を求めなければならない。システム運用編 https://www.mhlw.go.jp/content/10808000/001582980.pdf P28
① 非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができないように変更すること。システム運用編 https://www.mhlw.go.jp/content/10808000/001582980.pdf P31
⑥ 利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者による入力・参照が生じないよう対策を実施すること。
- かなり厳しくしっかり書かれている
- このほか、一般的な個人情報委託契約に含めることも追加
〇教育訓練義務(特に、就業規則等で従業者への教育訓練の実施及び教育訓練の実施状況に関する経営層への定期的報告を定める)
企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf P27
【遵守事項】
② 個人情報の安全管理に関する職員への教育・訓練を採用時及び定期的に実施すること。また、教育・訓練の実施状況について定期的に経営層に報告すること。
③ 医療機関等の事務、運用等を外部の事業者に委託する場合は、委託契約の契約書に守秘・非開示に関する内容を含めること。
④ ③の委託契約の際に、当該委託先事業者の就業規則等に①及び②の対応を含めるよう求めること。
- これ、結構厳しい義務というか、NDAでもここまで入っていないことがあるので、要注意
〇再委託時の責任(必要な報告、改善、監督責任、再委託先の行為に対する責任)
P6①解説で言及されている「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等 7.安全管理措置、従業者の監督及び委託先の監督(法第23条~第25条)」で以下の記載あり。
https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance/#a4-7
「受託者が、委託を受けた業務の一部を再委託することを予定している場合は、再委託を受ける事業者の選定において個人情報を適切に取り扱っている事業者が選定されるとともに、再委託先事業者が個人情報を適切に取り扱っていることが確認できるよう契約において配慮する(再委託の可否及び医療・介護関係事業者への文書による事前報告又は承認手続を求める等の事項を定めることが望ましい。)。」
「受託者が再委託を行おうとする場合は、医療・介護関係事業者は委託を行う場合と同様、再委託の相手方、再委託する業務内容及び再委託先の個人データの取扱方法等について、受託者に事前報告又は承認手続を求めること、直接又は受託者を通じて定期的に監査を実施すること等により、受託者が再委託先に対して法第25条に基づく委託先の監督を適切に果たすこと、再委託先が法第23条に基づく安全管理措置を講ずることを十分に確認することが望ましい。再委託先が再々委託を行う場合以降も、再委託を行う場合と同様とする。」
「受託者における個人情報の取扱いに疑義が生じた場合(患者・利用者等からの申出があり、確認の必要があると考えられる場合を含む。)には、受託者に対し、説明を求め、必要に応じ改善を求める等適切な措置をとる。」P22【遵守事項】
① 委託するシステム関連事業者に対して、業務実行体制を明確にし、医療情報の取扱い及び医療情報システムの管理に関して再委託を行う場合には、事前に医療機関等に情報を提供し、協議・合意形成を経た上で承認を得ること等を契約の内容に含めるよう、企画管理者に指示すること。
- ※再々委託以降も同様
- 〇再委託の事前報告(相手方、再委託業務内容及び再委託先の個人データの取扱方法等)/事前承認(相手方、再委託業務内容及び再委託先の個人データの取扱方法等)/禁止
- 〇~△適切な再委託先の選定、再委託先に関する報告義務
- △再委託先の監査受入
- 事前報告か事前承認かは、「協議・合意形成を経た上で承認を得ること等を契約の内容に含める」としか書かれていないので、事前報告でも否定されるものではないと思っている。実務を考えると都度事前協議は難しい場合も有、契約書で再委託あり想定での事前報告条項があればいいのではないかと思っている。
〇情報セキュリティインシデントが生じた場合に直ちに報告し、事実整理、原因究明を行い、医療機関の承諾を得て再発防止策を講じ、医療機関の指示に従い個人情報保護委員会および本人対応を支援し、通常時から非常時を想定した体制や措置を講じ、システム関連事業者や外部関係機関と協働関係を構築しておくことその他誠実かつ迅速な対応を行うこと
P5説明責任【遵守事項】
①情報セキュリティインシデントが生じた場合、患者の生命・身体への影響を考慮し、可能な限りの医療継続を図るとともに、その原因や対策等について患者、関係機関等に説明する体制を速やかに構築すること。P5善後策を講ずる責任【遵守事項】
①情報セキュリティインシデントが生じた場合、医療機関等内、システム関連事業者及び外部関係機関と協働して、インシデントの原因を究明し、インシデントの発生や経緯等を整理すること。P5善後策を講ずる責任【遵守事項】
② 情報セキュリティインシデントが生じた場合、その原因を踏まえた再発防止策を講じること。P5善後策を講ずる責任【遵守事項】
③ ①②の対応を可能とするため、通常時から非常時を想定し、システム関連事業者や外部関係機関と協働関係を構築するとともに、再発防止策を検討できるよう、通常時から非常時を想定した体制や措置を講じておくこと。P17【遵守事項】
① 情報セキュリティインシデントの発生に備え、システム関連事業者又は外部有識者と非常時を想定した情報共有や支援に関する取決めや体制を整備するよう、企画管理者に指示すること。
② 情報セキュリティインシデントの未然防止策として、通常時から医療情報システムに関係する脆弱性対策やEOS(End of Sale, Support, Service:販売終了、サポート終了、サービス終了)等に関する情報を収集し、速やかに対策を講じることができる体制を整えるよう、企画管理者やシステム運用担当者に指示すること。P18【遵守事項】
① 情報セキュリティインシデントの発生に備え、厚生労働省、都道府県警察の担当部署その他の所管官庁等に速やかに報告するために必要な手順や方法、体制などを整備するよう、企画管理者に指示すること。
② 情報セキュリティインシデントが発生した場合に、厚生労働省等への報告のほかに、患者等に対する公表・広報を適切に行える体制を、通常時から整備すること。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P19
対象事業者は、何らかの情報セキュリティ事故が発生した場合、発生した情報セキュリティ事故に関する詳細な情報を医療機関等へ提供することとなるが、この際、発生した情報セキュリティ事故の原因・範囲等、医療機関等の管理者が個々の患者、行政機関や社会へ説明・公表するために必要となる情報の収集をサポートできるよう、できる限り詳細な情報を提供するべきである。 また、対象事業者は、発生した情報セキュリティ事故について、速やかに善後策を講じなければならない。さらに、発生した情報セキュリティ事故自体に対応するための施策を講じるに留まらず、同様の情報セキュリティ事故が以降発生しないように再発防止策を医療機関等に提案すること。提案した内容については、医療機関等と適切に合意(再合意)形成を行った上で実行すること。
- インシデントに対する損害賠償義務についても、契約上の他の損害賠償義務と、範囲や上限を分けるか否かを検討する
- 「医療機関等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月29 日付け医政総発1029第1号・医政地発1029第3号・医政研発1029第1号厚生労働省医政局関係課長連名通知)https://www.mhlw.go.jp/content/10808000/001011697.pdf
△責任分解、役割分担
P7【遵守事項】 ①業務等を委託する場合には、委託する業務等の内容及び責任範囲並びに役割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に契約等の取決めを実施し、保管すること。
P23【遵守事項】
① システム関連事業者に委託を行う際の責任分界の管理に関する重要性を認識し、医療機関と委託先事業者との間での責任分界を明確にし、認識の齟齬等が生じないよう、書面等により可視化し、適切に管理することを、企画管理者やシステム運用担当者に指示すること。
- 現実的に、責任分界点を明確にすることは難しい場合が多いと思われる。かなり細かい仕様を決められれば、また別だが。
https://www.mhlw.go.jp/content/10808000/001102575.pdfのP13~
https://www.mhlw.go.jp/content/10808000/001582980.pdfのP5~にも書いてはあるけど。
△医療機関が医療情報システムの安全管理等に関して、文書化および体制を整備し計画を策定できるよう支援すること
P4【遵守事項】 <説明責任>
① 医療情報システムの安全管理に関して、原則として文書化し、管理する体制を整えること。
② 患者等への説明を適切に行うための窓口の設置等の対策を行うこと。
<定期的な見直し、必要に応じた改善を行う責任>
① 医療情報システムに関する安全管理を適切に維持するための計画を策定すること。企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf P27【遵守事項】
⑩ 外部保存の委託に当たり、あらかじめ患者に対して、必要に応じて個人情報が特定の外部の施設に送付・保存されることについて、その安全性やリスクを含めて院内掲示等を通じて説明し、理解を得ること。
- 文書化し体制を整えるよう、事業者に義務を貸すか、支援義務を課すことも考えられる
〇委託終了後に個人データを復元できない方法で破棄するか医療機関に返却すること、破棄時には破棄手順等を含む証跡等を提出すること
企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf
P27【遵守事項】
⑨ 委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容についてあらかじめ契約により取り決めておくこと。P32【遵守事項】
⑫ 保存等を委託している医療情報を破棄する場合、委託先事業者に対して、医療情報の破棄等(格納する記録媒体・情報機器等の破壊含む)を行ったことについての証跡等の提出を求めること。システム関連事業者のサービス等の性格上、破棄等を行ったことの証跡の提出を求めることが困難な場合には、当該事業者における破棄等の手順等の提供を求め、委託先事業者における破棄の手順等が、医療機関等が定める破棄の手順等に適合するよう、事前に協議した上で、委託契約等の内容にも含めること。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P18
対象事業者は、安全管理義務へ対応するために、予め医療機関等と合意した手順に則って情報(プログラム等も含む)の返却・移管・破棄を実施しなければならない。また、当該手順に則って情報の返却・移管・破棄を適切に実施したことの証跡を取得しておくことも必要である。
- 破棄手順提出を求めるのは、通常の個人情報だとあまりない
〇医療機関による合理的な指示・訓練への対応その他誠実な協力
P13【遵守事項】
① 医療機関等の規模や組織構成、特性等を踏まえた統制の内容を検討すること。
② 医療機関等において安全管理を直接実行する医療情報システム安全管理責任者及び企画管理者を設置すること。
③ 情報セキュリティ対策に関する統制は、医療機関等内の組織や人事等の統制とは区別し、医療機関等全体における統制の一つと位置付けて、組織横断的に実施すること。
④ 情報セキュリティ対策に関する統制の対象には、医療機関等に直接雇用されている職員だけでなく、システム関連事業者の担当者や派遣社員など、医療機関等が直接雇用していない者も含むこと。P12【遵守事項】 ① 統制の体系を理解し、医療機関等における情報セキュリティ対策に関する統制の実効性を確保するために必要な規程類、管理体制等を整備するとともに、適切に統制が機能しれているかを確認すること。
P14【遵守事項】
① 整備した規程類を適切に利用し、情報セキュリティ方針を遵守した対策が実施できるよう、通常時から情報セキュリティ対策に関する統制対象者すべてに対して定期的な教育・訓練を実施すること。P16【遵守事項】
③ 通常時に整備していた BCP が、非常時において迅速かつ的確に実施できるよう、通常時から定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指示すること。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P14
専門性の格差に鑑みて、対象事業者は、医療機関等に対し、委託契約又は信義則に基づく付随義務として、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務(以下、「説明義務」という。)を負う
〇運用・管理状況等について定期的および随時報告および情報提供を行うとともに、運用状況等以外についても医療機関からの指示に従い必要な報告および情報提供を定期的および随時行うこと
P4【遵守事項】<管理責任>
② 定期的に管理状況に関する報告を受けて状況を確認するとともに、組織内において監査を実施すること。P6①解説で言及されている「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」の「Ⅳ 医療・介護関係事業者の義務等 7.安全管理措置、従業者の監督及び委託先の監督(法第23条~第25条)」で以下の記載あり。
https://www.ppc.go.jp/personalinfo/legal/iryoukaigo_guidance/#a4-7
「受託者の安全管理措置が、少なくとも法第23条で求められるものと同等であることを確認するため、Ⅳ7.(2)の項目が、委託する業務内容に応じて確実に実施されることについて、受託者の体制、規程等の確認に加え、必要に応じて個人データを取り扱う場所に赴き、又はこれに代わる合理的な方法により確認を行った上で、個人情報保護に関する管理者、監督者等が、適切に評価することが望ましい。」
「受託者が個人情報を適切に取り扱っていることを定期的に確認する」P15【遵守事項】
① 医療機関等において医療情報システムに関する安全管理対策が適切に実施されていることを確認するため、企画管理者やシステム運用担当者に定期的に自己点検を行うよう指示し、その結果報告を受け、必要に応じて改善に向けた対応を指示すること。P15【遵守事項】
① 医療機関等内で、企画管理者及びシステム運用担当者から独立した組織による内部監査、または医療機関等とは異なる機関による外部監査を実施し、管理責任を果たすこと。
② 内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措置の改善に向けた対応を企画管理者やシステム運用担当者に指示するとともに、その対応結果をフォローすること。企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdf P27【遵守事項】
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等して遵守状況を確認すること。
⑧ 委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委託先事業者からの報告内容については、経営層に報告し、承認を得ること。企画管理編https://www.mhlw.go.jp/content/10808000/001102575.pdfP39【遵守事項】
② 医療情報システムの取扱いを委託している場合は、委託先事業者において医療情報システムの安全管理が適切になされていることを、委託先事業者からの報告に基づいて確認すること。医療情報システム・サービスの性格上、報告に基づく確認が難しい場合は、SLA に対する評価等の中で確認すること。
④ 医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際しては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果については、経営層に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図ること。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P18
対象事業者は、安全管理義務へ対応するために、自らが提供する医療情報システム等の運用状況等について医療機関等に対して定期的な報告を実施するとともに、実施しているセキュリティ対策に関しては定期的に自己点検し、その結果の報告を必要に応じて実施しなければならない。P20
対象事業者と医療機関等の合意形成においては、対象事業者から医療機関等への適切な情報提供が必要である。合意形成のために提供すべき情報とは何であるかを表 4-1に示す。対象事業者は、これら項目に係る情報提供にあたっては、医療機関等が容易に理解可能となるよう努め、適切に共通理解を得ること。P23
対象事業者は、医療情報システム等の安全管理の妥当性について、医療機関等と適切な共通理解を得るため、医療情報システム等の安全管理に係る評価を行い、評価結果を医療機関等へ情報提供すること。このとき、医療情報システム等関連業務に関与する担当者自らが評価を行うと、信頼性及び客観性が低下するため、対象事業者内部の独立した監査部門や第三者機関が評価を行うことが望ましい。医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P40
リスクコミュニケーションにおいては、対象事業者が行うリスクの管理体制や、リスクが選定時以降に上昇した場合の対応も含めた、随時の情報提供等を含めることが重要である。
- △医療機関からの要請があれば個人データを取り扱う場所等で現地監査を受けること
- 報告徴収程度であれば義務化しておくことが考えられる。現地監査については要判断。
△「サービス仕様適合開示書」「サービス・レベル合意書(SLA)」
企画管理編P27【遵守事項】https://www.mhlw.go.jp/content/10808000/001102575.pdf
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認することなどが挙げられる。)
「病院、診療所等の業務委託について」(平成5年2月15日指第14号)
- https://www.mhlw.go.jp/web/t_doc?dataId=00ta6374&dataType=1&pageNo=1
- 一般的な業務委託契約書の例
https://www.mhlw.go.jp/web/t_img?img=6418998
https://www.mhlw.go.jp/web/t_img?img=6418999
https://www.mhlw.go.jp/web/t_img?img=6419000
委託先選定時
企画管理編P27 https://www.mhlw.go.jp/content/10808000/001102575.pdf
【遵守事項】
⑥ 外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
a 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f プライバシーマーク認定又はISMS認証の取得
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASAクラウドセキュリティ推進協議会CSゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定 h 医療情報を保存する情報機器が設置されている場所(地域、国) i 委託先事業者に対する国外法の適用可能性
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P20
事業者の選定基準として少なくとも確認する必要がある項目(外部保存事業者が想定)
- 保存された医療情報を格納する情報機器等が、国内法の適用を受けることを確認すること
- 医療情報を保存する情報機器等が設置されている場所(地域、国)
- 受託事業者に対する国外法の適用可能性
- 医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
- 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得及び管理の状況
- 医療情報等の安全管理に係る実施体制の整備状況
- 実績等に基づく個人データ安全管理に関する信用度
- 財務諸表等に基づく経営の健全性
- プライバシーマーク認定又はISMS認証を取得していること
- プライバシーマーク認定、ISMS認証のいずれも取得していない場合は、「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「クラウドセキュリティ認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術又は医療情報システム等の適切な運用管理能力の有無を確認すること
・政府情報システムのためのセキュリティ評価制度(ISMAP)(ISMAP-LIUは含まない)
・米国 FedRAMP(LI-SaaSは含まない)
・AICPA SOC2(日本公認会計士協会 IT7号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor(ISACA認定)
・「民間事業者による医療情報に係るクラウドサービスの評価」(一般社団法人保健医療福祉情報安全管理適合性評価協会)医療機関等との共通理解を形成するために情報提供すべき項目
- 医療機関等との役割分担の明確化(4.2参照) 医療機関等の運用管理規程に定める必要がある事項
- 医療情報システム等の安全管理に係る評価(4.3参照) 医療情報システム等の安全管理に係る評価の結果
- リスクアセスメントの成果物 医療情報システム等の全体構成図 (5.1.1、5.2.1 参照)
- リスク対応の成果物 (5.1.5、5.2.2 参照) リスク対応一覧
- 運用管理規程に含める事項(5.1.6 参照)
医療情報システム等の安全管理に係る基本方針
医療情報システム等の提供に係る体制
契約書・マニュアル等の文書の管理方法
機器等を用いる場合の機器等の管理責任の所在・管理方法
リスク対応策の運用方法
事故発生時の対応方法及び医療機関等への報告方法
医療情報を格納する記憶媒体等の管理方法
医療機関等の危機管理対応時の受託事業者における体制・対応内容
医療情報の外部保存に係る患者等への説明方法
医療情報システム等に対する監査の実施方針制度上の要求事項への対応の成果物(第6章参照)
- 制度上の要求事項への対応
対象事業者における文書・規程
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版 P38-
- (ア)医療情報システム等の安全管理に係る基本方針 対象事業者は、医療情報システム等の安全管理に係る基本方針として、以下の事項を運用管理規程に含めること。
- 本ガイドライン及び医療情報安全管理ガイドラインの遵守
- 個人情報保護法やその他最新の関連法令等の遵守
- 個人情報に関して他の情報と区別した適切な管理
- 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス(平成 29年4月14日通知、令和6年3月27日最終改正)」に基づき、患者等が死亡した後においても、当該患者等の情報を保存している場合には、死者に係る情報であっても、個人情報と同等の安全管理措置の実施
- 情報セキュリティに関する基本方針等の情報セキュリティポリシーの策定
- 情報セキュリティポリシーの遵守を担保する組織体制の構築
- (イ)医療情報システム等の提供に係る体制
- 最終的な管理責任者や、十分な技術的能力及び経験31を有する責任者(システム管理者)、医療情報システム等の運用に関する事務を統括する責任者、個人情報保護に係る責任者を定め、これら責任者の役割や任命・解任等のルール、緊急時の対応と併せて運用管理規程に含めること。また、再委託を行う場合は、再委託先の体制に関する情報も運用管理規程に含めること。
- (ウ)契約書・マニュアル等の文書の管理方法
- 対象事業者は、契約書や運用管理規程を含むマニュアル等の管理については、必要に応じて速やかに内容を確認できるようにすること。また、文書の不正な閲覧・操作をアクセス制限等により防止することを運用管理規程に含め、第三者による不正な閲覧・操作を防止すること。なお、アクセス制限を侵害する行為については、検出・記録できるような仕組みが実装されていることが望ましい。
- (エ)機器等を用いる場合の機器等の管理責任の所在・管理方法
- 対象事業者は、機器等を用いる場合、機器等の管理責任の所在や管理方法について台帳管理等による所在確認を行う旨を運用管理規程に含めること。
- (オ)リスク対応策の運用方法
- 対象事業者は、リスクへの対応策の運用方法として、リスク対応にて決定したリスクへの対策のうち、対象事業者による運用が必要となる事項についての運用手順を運用管理規程に含めること。
- (カ)事故発生時の対応方法及び医療機関等への報告方法
- 対象事業者は、事故発生時の対応方法及び医療機関等への報告方法として、情報セキュリティ事故が発生した場合の被害拡大防止のための対応方法や緊急時の代替手段、原因調査のためのログ等の記録の保全及び医療機関等への報告タイミングや報告フローを運用管理規程に含めること。
- (キ)個人情報を格納する記憶媒体の管理方法
- 対象事業者は、個人情報を格納する記憶媒体の管理方法として、保管や取扱いの方法及び保管や取扱いに係る履歴の記録について運用管理規程に含めること。
- (ク)医療機関等の危機管理対応時の委託事業者における体制・対応内容
- 対象事業者は、医療機関等への危機管理対応内容に応じて構築すべき体制(事業者内の危機対応体制の構築の要否や責任者等)やその内容(情報提供方法、役割分担の設定の必要性の判断等)等を運用管理規程に含めること。
- (ケ)医療情報の外部保存に係る患者等への説明方法
- 対象事業者は、医療情報の外部保存に係る患者等への説明方法として、医療機関等へ必要な資料の提供又は、医療機関等に代わり対象事業者が直接患者等へ説明する場合は、その方法について、運用管理規程に含めること。
- (コ)医療情報システム等に対する監査の実施方針
- 対象事業者は、医療情報システム等に対する監査の実施方針として、提供する医療情報システム等の安全管理に係る監査の方針や内容のほか、監査の実施に係る記録についての保存・管理方法について運用管理規程に含めること。なお、医療機関等への医療情報システム等提供にあたり、他社が提供する医療情報システム等を利用する場合は、他社が提供する医療情報システム等に対する監査の方針及び内容又は、監査に代替する対応についても運用管理規程に含めること。
- (サ)医療機関等の管理者からの問い合わせ窓口
- 対象事業者は、医療機関等の管理者からの問い合わせ窓口として、医療機関等の管理者からの一元的な問い合わせ窓口となる連絡先及び連絡方法のほか、問い合わせを受け付ける時間帯について運用管理規程に含めること。
