|
会員ログイン |
2005年3月に厚生労働省より「医療情報システムの安全管理に関するガイドライン」(以下「安全管理ガイドライン」とする)として個人情報保護、電子保存、外部保存、e-文書法対応を統合したガイドラインが発行された。この「安全管理ガイドライン」では最新の技術動向を考慮した詳しい説明が行われているが、個別のベンダが具体的に自社のシステムを実装する段においては、実際にどのようなシステム製品がその要件を満たすのか、どのような仕様で開発したらよいのかが分かりにくい部分があった。JAHISとしては電子保存の促進のため、「より具体的で実装寄り」のガイドラインが必要と考え、2007年5月に本ガイドライン(初版)をまとめた。
その後、技術の進歩や周辺環境の変化に応じて三省ガイドラインが改訂され、本ガイドラインもそれに合わせて改定をし続けている。
今般、総務省と経済産業省のガイドラインが統合され「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、「サービス提供事業者ガイドライン」とする)として2020年8月に第1版が発行され、また、「安全管理ガイドライン」が2022年3月に第5.2版として発行されたため、各々の改版内容を反映し、本ガイドラインをVer.4として発行することとなった。
本ガイドラインは、JAHIS会員各社の意見を集約し、「JAHIS標準」の一つとして発行したものである。従って、会員各社がシステムの開発・更新に当たって、本ガイドラインに基づいた開発・改良を行い、本ガイドラインに準拠していることをその製品のカタログ・仕様書等に示し、さらにその製品のユーザに運用で担保すべきことを説明する場合などに使われることを期待している。
また、本ガイドラインを診療録及び診療諸記録の電子保存機能を持つシステムを導入しようとしている施設が参照し利用することは歓迎するところであるが、当該システムが厚生労働省通知並びに総務省通知及び経済産業省通知に合致しているか否かの判断は、自己責任の下で自ら判断する必要があること、及び、上記の三省ガイドラインは今後も改定が行われることが予想されるため、本ガイドラインにおいても必要に応じて改版を行う予定であるので、常に最新版を参照することにご留意いただきたい。
なお、本ガイドラインで扱うセキュリティ要件は、社会状況にあわせて常に変化するものであり、利用いただく時点で必ずしも適当ではない内容である可能性もある。我々としても継続的に検討を重ねてゆく所存であるが、本ガイドラインの利用者はその点もご留意頂くとともに、お気づきの点をフィードバックして頂けるとありがたい。
本ガイドラインが「法令に保存義務が規定されている診療録及び診療諸記録」を扱うシステムの、また関連する医療情報システムの開発に多少とも貢献できれば幸いである。
2022年6月
一般社団法人 保健医療福祉情報システム工業会
医療システム部会セキュリティ委員会
目 次
2. 概要... 3
3. 主な用語... 5
4. 適用範囲... 7
4.1. 「安全管理ガイドライン」との関係... 7
4.2. 本ガイドラインの対象システム及び対象情報... 8
4.3. 総務省及び経済産業省のガイドラインとの関係... 8
4.4. 他のJAHIS標準・技術文書との関係... 8
4.5. 引用規格・引用文献... 9
5. ベンダの責任のあり方... 10
5.1. 医療機関等の責任とベンダの提供する医療情報システムの関係... 10
5.2. ベンダの責任... 10
6. 医療情報システムの基本的な安全管理... 11
6.1. 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践... 11
6.1.1. ISMS構築の手順... 12
6.1.2. 取扱い情報の把握... 13
6.1.3. リスク分析... 13
6.2. 技術的安全対策... 15
6.3. 情報の破棄... 27
6.4. 医療情報システムの改造と保守... 29
6.5. 情報及び情報機器の持ち出し並びに外部利用について... 35
6.6. 災害、サイバー攻撃等の非常時の対応... 37
6.7. 外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理... 42
6.8. 法令で定められた記名・押印を電子署名で行うことについて... 54
7. 電子保存の要求事項について... 65
7.1. 真正性の確保について... 66
7.1.1. 入力者及び確定者の識別・認証... 67
7.1.2. 記録の確定手順の確立と、識別情報の記録... 71
7.1.3. 更新履歴の保存... 74
7.1.4. 代行入力の承認機能... 75
7.1.5. 機器・ソフトウェアの品質管理... 78
7.2. 見読性の確保について... 80
7.2.1. 情報の所在管理... 81
7.2.2. 見読化手段の管理... 81
7.2.3. 見読目的に応じた応答時間... 82
7.2.4. システム障害対策としての冗長性の確保... 83
7.3. 保存性の確保について... 84
7.3.1. 不適切な保管・取扱いによる情報の滅失、破壊の防止... 85
7.3.2. 媒体・機器・ソフトウェアの不整合による情報の復元不能の防止... 87
8. 診療録及び診療諸記録を外部に保存する際の基準... 89
8.1. 厚生労働省の「安全管理ガイドライン」に関する事項... 90
8.1.1. ネットワークを通じて医療機関等の外部に保存する場合の真正性の確保... 91
8.1.2. ネットワークを通じて医療機関等の外部に保存する場合の見読性の確保... 92
8.1.3. ネットワークを通じて医療機関等の外部に保存する場合の保存性の確保... 94
8.2. 総務省、経済産業省の「サービス提供事業者ガイドライン」に関する事項... 95
8.2.1. 安全管理のためのリスクマネジメントプロセス... 96
8.2.2. 制度上の要求事項... 96
9. 診療録等をスキャナ等により電子化して保存する場合について... 97
9.1. 共通の要件... 98
9.2. 診療等の都度スキャナ等で電子化して保存する場合... 101
9.3. 過去に蓄積された紙媒体等をスキャナ等で電子化保存する場合... 102
9.4. 紙の調剤済み処方箋をスキャナ等で電子化し保存する場合について... 104
付録―1.リスクアセスメントの実施例... 106
1―1 リスクアセスメントの手法... 106
1―2 情報セキュリティ基本方針... 106
1―3 リスクアセスメントの実施例... 106
付録―2.参考文献... 120
2―1 ヘルスケアPKI関連文書... 120
2―2 タイムスタンプ及び長期保存に関する標準やガイドライン... 120
付録―3.要求項目/技術的対策/運用的対策の記述方針まとめ表... 123
付録―4.作成者名簿... 124