医療情報システムの安全管理規定

 

1-1理念(基本方針と管理目標)

医療情報システムで取り扱う医療情報は、病歴等の機微性の高い情報を含む患者の個人情報である。 当該情報は、適切な管理がなされなければ、患者の生命、身体の安全に直接影響を及ぼす可能性があるものであるため、慎重な取扱いが求められる。加えて、医療情報は、インフォームド・コンセントの観点からも、医療機関等と患者等との信頼関係に基づいて取り扱われるものであるため、医療機関等が行う業務の範囲内で適切に管理されることが求められる。

当院の全職員は、「個人情報の保護に関する法律」、「同施行令」、厚生労働省「医療情報システムの安全管理に関するガイドライン」にもとづき、患者さんとその関係者(以下「患者等」という)に関する、医療情報を適切に取り扱い、患者等から信頼される医療機関であるよう、たゆまぬ努力を続けていくものとする。

 

1-2情報システムで取り扱う情報の範囲

当院における医療情報システムとはレセプトコンピュータおよび電子カルテを中心とした画像診断ワークステーション、健診ソフトウエア等をネットワークで結んだ連携システムのことを指す

 

1-3医療情報システムの運用

当院医療情報システムは、次の各号に掲げる基本原則に則り運用する。

(1) 保存義務のある情報の電子媒体による保存については、情報の真正性、見読性、保存性を確保する。

(2) 施設医療情報システムの利用にあたっては、守秘義務を遵守し、患者個人の情報を保護する。

(3) 施設医療情報システムへのコンピュータ・ウィルスの進入及び外部からの不正アクセスに対しては、必要な対策を直ちに講じる。ソフトのインストールは安全運情報責任者が必要と認定したもののみとし、それ以外のインストールを禁止する。USB端末等を通し て、フロッピー、USBメモリー等との接続を禁止する。

(4)サーバ、クライアント端末PC、ネットワーク機器の台帳管理を行う。

(5)サービス事業者より医療情報セキュリティ開示書(MDS/SDS)を提出してもらう。

 

1-4利用者の登録・認証

(1)利用者のユーザ認証は、ユーザIDとパスワードを用いる。

(2)ユーザIDの付与は、個人単位とし共有することはない。

(3)システム管理者は、職員等の採用時、異動時、退職時に合わせ、速やかにユーザの登 録、変更、削除の措置を取る。

(4)ユーザ登録時は、システム管理者の登録処理による初期値のパスワードとし、その後 速やかに、利用者が個々のパスワードへ変更する手順とし、システム管理者であって もパスワードを推定できない仕組みとする。

(5)利用者が、パスワードを紛失し、情報システムの利用ができなくなった場合は、シス テム管理者へパスワードの初期化依頼を提出する。

(6)システム管理者は、利用者からのパスワード紛失の申請書を受け、ユーザ登録の確認 後、パスワードの初期化を行ない、利用者へ知らせることとする。この場合、利用者は、速やかにパスワードを変更することとする。

 

1-5端末管理

(1)盗難の恐れがある端末(ノートPC等)は、盗難防止用ワイヤーロックで固定するか、使用しない際は鍵のかかる保管庫に保管管理すること。

(2)離席時など、特定の時間使用しなかった場合は、なりすましによる使用を防ぐため、 パスワード付きスクリーンロック又は、自動ログオフ機能を設定すること。 (3)端末の使用に際しては、画面を廊下側に向けない、窃視防止フィルムを貼るなどの、 窃視防止に努めること。

(4)私有のPCを持込み、院内LANに接続することは、禁止とする。

(5)全端末の時刻情報はサーバ時刻と同期させる。

 

1-6ネットワーク管理

(1)院内LANへの接続は、システム管理者の判断・責任により行う。

 

1-7インターネットの利用・管理

インターネットの利用を許可されたネットワークにおける利用・管理については以下定める。

(1)インターネット利用は、業務上必要な場合に限られ、私的利用は禁止とする。

(2)業務遂行上必要のないインターネットサイトからデータ・ソフトウェア等のダウンロード、インストール等の行為は、原則禁止とする。

(3)システム管理者は、ホームページを含む不正アクセスや改ざんの防止のため、インターネットに係る各サーバ、ルータ等に適切な管理策等の措置を講じる。

(4)システム管理者は、ホームページの利用状況を監視し、不正アクセスやホームページ の改ざんの有無を確認し、問題がある場合は、適切な措置(予防・是正)を講じる。

(5)当院の情報を、ホームページを用いてインターネットへ公開、又は公開情報を変更・ 削除する場合は、システム管理者へ申請する。

(6)システム管理者は、内容の確認後に、登録・変更を実施する。

 

1-8 ウイルス対策ソフトの導入と運用

(1)悪意のあるソフトウェア等から保護するため、全ての端末にウイルス対策ソフトを導入し、パターンファイルは常に最新のものを使用する。

(2)定期的にソフトウェア等のウイルスチェックを行ない、感染の有無を確認する。

(3)ウイルス対策ソフトは、常に稼動させておくこととする。

(4)電子メールサーバは、すべての着信メールについてウイルスチェックを行ない、感染の有無を確認する。

(5)ネットワークに接続するサーバと端末は、配信型のウイルス対策ソフトの利用を可能 とし、パターンファイルの更新は自動更新で行うこと。

 

1-9 セキュリティパッチの適用

(1)院内情報システムのサーバ及び端末には、ベンダーからの保証がない限り、原則として修正プログラムは適用しない。

(2)インターネットへの接続を許可された端末については、オペレーティングシステムや パッケージソフト等のパッチなどの修正プログラムがメーカーより発行された場合、 必要であれば既存システムの影響を考慮して適切に実施し、その記録を残す。

 

1-10情報の取り扱い、保存方法および期間

電子カルテにおける診療録の保存期間は診療の完了日から5年間

保存方法は電子カルテ内(クラウド)

 

1-11医療情報システム安全管理責任者を設置する。システム管理者を兼任する。

村林泰三

 

1-10苦情・質問の窓口

村林泰三 murabaya@sirius.ocn.ne.jp

 

1-11インシデント対応の体制 (別途サイバーセキュリティマニュアルを作成、参照)

インシデント発生時における組織内と外部関係機関の連携体制図を作成(別紙参照)

インシデント発生時に診療を継続するための対応 紙カルテを使用し診察を継続またはバックアップ用PCを利用する。

予備電源を利用しネットワーク機器およびサーバー機を立ち上げ、受付ができるようにする。

 

1-12定期的なリスク評価

施設医療情報システムの運用管理状況等についての監査を実施するため、システム管理責任者が監査責任者を指名する。  監査責任者は、施設医療情報システムの運用が安全かつ合理的に行われているかを監査し、問題解決の改善策を提案するように努める。