|
|
会員ログイン |
JAHIS標準11-001
保存が義務付けられた診療録等の電子保存ガイドライン(第3版)
ま え が き
「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」(平成11年4月22日付け健政発第517 号・医薬発第587 号・保発第82 号厚生省健康政策局長・医薬安全局長・保険局長連名通知に添付。)により、それまで紙でしか保存が許されなかった「法令に保存義務が規定されている診療録及び診療諸記録」の大半を電子的に保存できることとなった。その後「診療録等の外部保存に関するガイドライン」(平成14年5月31日付け医政発第0531005 号厚生労働省医政局長通知)により外部保存が可能になった。そして2005年3月31日通知「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」ならびに2005年3月31日通知「『診療録等の保存を行う場所について』の一部改正について」を受けて、2005年3月に厚生労働省より「医療情報システムの安全管理に関するガイドライン」として個人情報保護、電子保存、外部保存、e文書法対応を統合したガイドラインが発行された。「医療情報システムの安全管理に関するガイドライン」ではB項の「考え方」において最新の技術動向を配慮した詳しい説明が行われているが、個別のベンダーが具体的に自社のシステムに実装するにおいては、実際にどのようなシステム製品がその要件を満たすのか、どのような仕様で開発したらよいのかが分かりにくかった。JAHISとしては電子保存を促進するためには、各要件を実際のシステムの機能を反映した「機能要件」や、その機能を補完する内容を含む「運用要件」を整理した、より具体的で実装寄りのガイドラインが必要と考え、同ガイドラインに対して、「技術的にどの範囲まで担保することが望ましいか、また技術的に対応しにくい要件を運用でどのように担保することが期待されるか」を具体的に示すことにより、診療録等の電子保存およびネットワークを介した送受信を適切に行うための基準を示すことを目的として、2007年5月に本ガイドライン(第一版)をまとめた。
「医療情報システムの安全管理に関するガイドライン」は技術の進歩や周辺環境の変化を受けて改定が実施され、2007年3月には第二版、2008年3月には第三版が発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、「医療情報システムの安全管理に関するガイドライン」の改定を受けて検討を実施、同ガイドライン第三版までの内容を反映し、2009年10月に第二版として発行した。
「医療情報システムの安全管理に関するガイドライン」は2009年3月に第4版、2010年2月に第4.1版が発行された。また、総務省の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理ガイドライン」(2009年7月)及び、経済産業省の「医療情報を受託管理する情報処理事業者向けガイドライン」(2008年7月)も発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、上記に発行された3つのガイドライン(更新版を含めると4つ)の内容を反映し、今般第3版として発行することとなった。
本ガイドラインは、JAHIS会員各社の意見を集約し、「JAHIS標準」の一つとして発行したものである。従って、会員各社がシステムの開発・更新に当たって、本ガイドラインに基づいた開発・改良を行い、本ガイドラインに準拠していることをその製品のカタログ・仕様書等に示し、さらにその製品のユーザに運用で担保すべきことを説明する場合などに使われることを期待している。
また、本ガイドラインを、診療録及び診療諸記録の電子保存機能を持つシステムを導入しようとしている施設が参照し利用することは歓迎するところであるが、当該システムが厚生労働省通知及び総務省通知及び経済産業省通知に合致しているか否かの判断は、自己責任の下で自ら判断する必要があること、及び、上記の関係通知は今後も改定が行われる予想されるため、本ガイドラインにおいても必要に応じて改版を行う予定であるので、常に最新版を参照することにご留意いただきたい。
なお、本ガイドラインで扱うセキュリティ要件は、社会状況にあわせて常に変化するものであり、利用いただく時点で必ずしも適当ではない内容である可能性もある。我々としても継続的に検討を重ねてゆく所存であるが、本ガイドラインの利用者はその点もご留意頂くとともに、お気づきの点をフィードバックして頂けるとありがたい。
本ガイドラインが「法令に保存義務が規定されている診療録及び診療諸記録」を扱うシステムの、また関連する医療情報システムの開発に多少とも貢献できれば幸いである。
2011年4月
一般社団法人 保健医療福祉情報システム工業会
セキュリティ委員会
電子保存WG
目 次
第1章 適応範囲
1.1 医療情報システムの安全管理に関するガイドラインとの関係
1.2 他のJAHIS標準・技術文書との関係
1.3 本ガイドラインの読み方
1.4 本ガイドラインの対象システム及び対象情報
1.5 総務省のガイドライン及び、経済産業省のガイドラインとの関係
第2章 引用規格・引用文献
第3章 用語の定義
第4章 記号および略語
第5章 ベンダーの責任のあり方
5.1 医療機関の責任とベンダーの提供する医療情報システムの関係
5.2 ベンダーの責任
第6章 情報システムの基本的な安全管理
6.1 医療機関における情報セキュリティマネジメントシステム(ISMS)の実践
6.1.1 ISMS構築の手順
6.1.2 取扱い情報の把握
6.1.3 リスク分析
6.2 技術的安全対策
6.3 情報の破棄
6.4 情報システムの改造と保守
6.5 情報および情報機器の持ち出しについて
6.6 災害等の非常時の対応
6.7 外部と個人情報を含む医療情報を交換する場合の安全管理
6.8 法令で定められた記名・押印を電子署名で行うことについて
第7章 電子保存の確保について
7.1 真正性の確保について
7.1.1 作成者の識別及び確証
7.1.2 記録の確定手順の確立と、作成責任者の識別情報の記録
7.1.3 更新履歴の保存
7.1.4 代行操作
7.2 見読性の確保について
7.2.1 情報の所在管理
7.2.2 見読化手段の管理
7.2.3 見読目的に応じた応答時間とスループット
7.2.4 システム障害対策としての冗長性の確保
7.2.5 システム障害対策としてのバックアップデータの保存
7.3 保存性の確保について
7.3.1 不適切な保管・取扱いによる情報の滅失、破壊の防止
7.3.2 媒体・機器・ソフトウェアの整合性不備による復元不能の防止
第8章 診療録及び診療諸記録を外部に保存する際の基準
8.1 電子媒体による外部保存をネットワークを通じて行う場合
8.1.1 電子保存の3基準の遵守
8.1.2 個人情報の保護
第9章 診療録等をスキャナ等により電子化して保存する場合について
9.1 共通の要件
9.2 診療等の都度スキャナ等で電子化して保存する場合
附属書A リスクアセスメントの実施例
A-1 リスクアセスメントの手法
A-2 情報セキュリティ基本方針
A-3 リスクアセスメントの実施例
付録1: 参考文献
ヘルスケアPKI関連文書
タイムスタンプ及び長期保存に関する標準やガイドライン
付録2: 作成者名簿