|
|
会員ログイン |
JAHIS標準13-002
ま え が き
「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」(平成11年4月22日付け健政発第517 号・医薬発第587 号・保発第82 号厚生省健康政策局長・医薬安全局長・保険局長連名通知に添付。)により、それまで紙でしか保存が許されなかった「法令に保存義務が規定されている診療録及び診療諸記録」の大半を電子的に保存できることとなった。その後「診療録等の外部保存に関するガイドライン」(平成14年5月31日付け医政発第0531005 号厚生労働省医政局長通知)により外部保存が可能になった。そして2005年3月31日通知「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」ならびに2005年3月31日通知「『診療録等の保存を行う場所について』の一部改正について」を受けて、2005年3月に厚生労働省より「医療情報システムの安全管理に関するガイドライン」として個人情報保護、電子保存、外部保存、e文書法対応を統合したガイドラインが発行された。「医療情報システムの安全管理に関するガイドライン」ではB項の「考え方」において最新の技術動向を配慮した詳しい説明が行われているが、個別のベンダーが具体的に自社のシステムに実装するにおいては、実際にどのようなシステム製品がその要件を満たすのか、どのような仕様で開発したらよいのかが分かりにくかった。JAHISとしては電子保存を促進するためには、各要件を実際のシステムの機能を反映した「機能要件」や、その機能を補完する内容を含む「運用要件」を整理した、より具体的で実装寄りのガイドラインが必要と考え、同ガイドラインに対して、「技術的にどの範囲まで担保することが望ましいか、また技術的に対応しにくい要件を運用でどのように担保することが期待されるか」を具体的に示すことにより、診療録等の電子保存およびネットワークを介した送受信を適切に行うための基準を示すことを目的として、2007年5月に本ガイドライン(第一版)をまとめた。
「医療情報システムの安全管理に関するガイドライン」は2009年3月に第4版、2010年2月に第4.1版が発行された。また、総務省の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理ガイドライン」(2009年7月)及び、経済産業省の「医療情報を受託管理する情報処理事業者向けガイドライン」(2008年7月)も発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、上記に発行された3つのガイドライン(更新版を含めると4つ)の内容を反映し、2011年4月に第3版として発行した。
上記の後、総務省の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理ガイドライン」は2010年12月に第1.1版、及び、経済産業省の「医療情報を受託管理する情報処理事業者向けガイドライン」は2012年10月に第2版が発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、上記に発行された2つのガイドラインの内容を反映し、第3.1版として発行することとなった。
本ガイドラインは、JAHIS会員各社の意見を集約し、「JAHIS標準」の一つとして発行したものである。従って、会員各社がシステムの開発・更新に当たって、本ガイドラインに基づいた開発・改良を行い、本ガイドラインに準拠していることをその製品のカタログ・仕様書等に示し、さらにその製品のユーザに運用で担保すべきことを説明する場合などに使われることを期待している。
また、本ガイドラインを、診療録及び診療諸記録の電子保存機能を持つシステムを導入しようとしている施設が参照し利用することは歓迎するところであるが、当該システムが厚生労働省通知及び総務省通知及び経済産業省通知に合致しているか否かの判断は、自己責任の下で自ら判断する必要があること、及び、上記の関係通知は今後も改定が行われる予想されるため、本ガイドラインにおいても必要に応じて改版を行う予定であるので、常に最新版を参照することにご留意いただきたい。
なお、本ガイドラインで扱うセキュリティ要件は、社会状況にあわせて常に変化するものであり、利用いただく時点で必ずしも適当ではない内容である可能性もある。我々としても継続的に検討を重ねてゆく所存であるが、本ガイドラインの利用者はその点もご留意頂くとともに、お気づきの点をフィードバックして頂けるとありがたい。
本ガイドラインが「法令に保存義務が規定されている診療録及び診療諸記録」を扱うシステムの、また関連する医療情報システムの開発に多少とも貢献できれば幸いである。
2013年4月
一般社団法人 保健医療福祉情報システム工業会
医療システム部会 セキュリティ委員会
目 次
1. はじめに
2. 概要
3. 主な用語
付録―1.リスクアセスメントの実施例
2. 概要
3. 主な用語
4. 適応範囲
4.1. 医療情報システムの安全管理に関するガイドラインとの関係
4.2. 本ガイドラインの対象システム及び対象情報
4.3. 総務省のガイドライン及び、経済産業省のガイドラインとの関係
4.4. 他のJAHIS標準・技術文書との関係
4.5. 引用規格・引用文献
5. ベンダーの責任のあり方
5.1. 医療機関の責任とベンダーの提供する医療情報システムの関係
5.2. ベンダーの責任
6. 情報システムの基本的な安全管理
6.1. 医療機関における情報セキュリティマネジメントシステム(ISMS)の実践
6.1.1. ISMS構築の手順
6.1.2. 取扱い情報の把握
6.1.3. リスク分析
6.2. 技術的安全対策
6.3. 情報の破棄
6.4. 情報システムの改造と保守
6.5. 情報および情報機器の持ち出しについて
6.6. 災害等の非常時の対応
6.7. 外部と個人情報を含む医療情報を交換する場合の安全管理
6.8. 法令で定められた記名・押印を電子署名で行うことについて
7. 電子保存の要求事項について
7.1. 真正性の確保について
7.1.1. 作成者の識別及び認証
7.1.2. 記録の確定手順の確立と、作成責任者の識別情報の記録
7.1.3. 更新履歴の保存
7.1.4. 代行操作
7.2. 見読性の確保について
7.2.1. 情報の所在管理
7.2.2. 見読化手段の管理
7.2.3. 見読目的に応じた応答時間とスループット
7.2.4. システム障害対策としての冗長性の確保
7.2.5. システム障害対策としてのバックアップデータの保存
7.3. 保存性の確保について
7.3.1. 不適切な保管・取扱いによる情報の滅失、破壊の防止
7.3.2. 媒体・機器・ソフトウェアの整合性不備による復元不能の防止
8. 診療録及び診療諸記録を外部に保存する際の基準
8.1. 厚生労働省の医療情報システムの安全管理に関するガイドラインに関する事項
8.1.1. ネットワークを通じて医療機関等の外部に保存する場合の真正性の確保
8.1.2. ネットワークを通じて医療機関等の外部に保存する場合の見読性の確保
8.1.3. ネットワークを通じて医療機関等の外部に保存する場合の保存性の確保
8.2. 経済産業省の医療情報を受託管理する情報処理事業者向けのガイドラインに関する事項
8.2.1. 情報の分類
8.2.2. 情報処理装置及びソフトウェアの保守
8.2.3. 悪意のあるコードに対する管理策
8.2.4. 情報交換に関するセキュリティ
8.2.5. 情報処理システムに対するセキュリティ要求事項
8.2.6. アプリケーションに対するセキュリティ要求事項
8.2.7. 暗号による管理策
8.2.8. ログの取得及び監査
8.2.9. アクセス制御方針
8.2.10. 作業者アクセス及び作業者IDの管理
8.3. 総務省のASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドラインに関する事項
8.3.1. 真正性の確保におけるASP・SaaS事業者への要求事項
8.3.2. 外部保存におけるASP・SaaS事業者への要求事項
8.3.3. ASP・SaaSの提供終了におけるASP・SaaS事業者への要求事項
9. 診療録等をスキャナ等により電子化して保存する場合について
9.1. 共通の要件
9.2. 診療等の都度スキャナ等で電子化して保存する場合
付録―1.リスクアセスメントの実施例
1-1 リスクアセスメントの手法
1-2 情報セキュリティ基本方針
1-3 リスクアセスメントの実施例
付録―2.参考文献
ヘルスケアPKI関連文書
タイムスタンプ及び長期保存に関する標準やガイドライン
付録―3.作成者名簿