1.IT 機器の安全対策えどがわ在宅ネットのみならず施設のあらゆる医療情報システムは厚生労働省の医療情報システムの安全管理に関するガイドライン第 4.2 版を考慮して安全管理の対策を適切に講じる必要がありますがここではえどがわ在宅ネットに関連する対策についてその主なポイントを記述

Size: px

Start display at page:

Download "1.IT 機器の安全対策えどがわ在宅ネットのみならず施設のあらゆる医療情報システムは厚生労働省の医療情報システムの安全管理に関するガイドライン第 4.2 版を考慮して安全管理の対策を適切に講じる必要がありますがここではえどがわ在宅ネットに関連する対策についてその主なポイントを記述"

しょうりこうだ
5 years ago
Views:

1 江戸川区在宅医療介護連携拠点事業えどがわ在宅ネット運用ポリシー目的第 1 条この運用ポリシーは江戸川区医師会における ICT を活用したえどがわ在宅ネットで使用される機器ソフトウエア及び運用に必要な仕組み全般についてその取扱い及び管理に関する事項を定めえどがわ在宅ネットを適正に利用することに資することを目的とする ( 法令及びガイドライン ) 第 2 条事業者は医師法医薬品医療機器等の品質有効性及び安全性の確保等に関する法律個人情報保護法等の各種法令を遵守し以下のガイドラインを十分理解したうえでえどがわ在宅ネットを利用することとする医療情報システムの安全管理に関するガイドライン最新版医療介護関係事業者における個人情報の適切な取扱いのためのガイドライン ( 利用申込 ) 第 3 条新たにえどがわ在宅ネットを利用する事業所は江戸川区医師会に対して誓約書を提出しえどがわ在宅ネットの適正な運用に努めるものとする ( 利用申込書別紙様式 1 連携守秘誓約書別紙様式 2 ) ( 連携元事業所 ) 第 4 条患者の情報共有を行う場合は情報を発出する事業所が連携元事業所となり患者情報の管理及びユーザーグループの管理を行う ( 連携元事業所の責務 ) 第 5 条連携元事業所は以下の業務を行うえどがわ在宅ネットのグループ登録 ( 患者グループ ) 及び削除管理えどがわ在宅ネットの各グループへの多職種連携メンバーの招待及び解除 ( 患者同意 ) 第 6 条連携元事業所はえどがわ在宅ネットで情報共有を行うにあたって患者もしくはその家族と患者同意書を交わし双方が所持することを推奨する ( 患者同意別紙様式 4) ( 事業所管理者 ) 第 7 条連携元事業所及び協力事業所の各事業所管理者は必要な情報にアクセスが許可されている従事者だけがアクセスできる環境を維持しえどがわ在宅ネットの管理運用を行う ( 事業所管理者の責務 ) 第 8 条連携元事業所及び協力事業所の事業所管理者はえどがわ在宅ネットの適正な利用がされるように以下の業務を行うえどがわ在宅ネットの患者情報個人情報等の管理全般えどがわ在宅ネットで利用する IT 機器の管理えどがわ在宅ネットの ID の管理附則第 1 条この規程は平成 27 年 12 月 1 日から施行する

2 1.IT 機器の安全対策えどがわ在宅ネットのみならず施設のあらゆる医療情報システムは厚生労働省の医療情報システムの安全管理に関するガイドライン第 4.2 版を考慮して安全管理の対策を適切に講じる必要がありますがここではえどがわ在宅ネットに関連する対策についてその主なポイントを記述します 1-1.ID パスワードの管理えどがわ在宅ネットは個人ごとに設定及び管理されたえどがわ在宅ネットの ID 及びパスワードによって利用することができます ID 及びパスワードの管理の推奨事項を記します (1) パスワードはメモを残したりせず人目にふれないように細心の注意を払ってユーザー個人が管理し共有しない (2) 一つの ID を複数人で共有しない (3) パスワードは英数混合 8ケタ以上とし定期的 ( 最長で2か月に1 回 ) に変更する (4) 利用が終わったら必ずログアウトする (5) パソコンの場合離席時にも必ずログアウトする (6) スマホやタブレットパソコンなど利用するすべての端末にはロックをかける 1-2.IT 機器のセキュリティ対策厚生労働省の医療情報システムの安全管理に関するガイドラインの情報及び情報機器の持ち出しについての B. 考え方ではノートパソコンやUSBメモリーのみならず情報をほとんど格納せずネットワークを通じてサーバにアクセスして情報を取り扱う端末 ( シンクライアント ) のような情報機器についても C. 最低限のガイドラインとして組織としてリスク分析を実施し情報及び情報機器の持ち出しに関する方針を運用管理規程で定めること運用管理規程には持ち出した情報及び情報機器の管理方法を定めること情報機器に対して起動パスワードを設定すること設定にあたっては推定しやすいパスワード等の利用を避けたり定期的にパスワードを変更する等の措置を行うことを勧めていますですのでえどがわ在宅ネットを在宅などモバイルの環境で利用する場合も上記ポイントに留意しながらスマートフォンタブレット等のモバイル端末についても下図ような運用をお勧めしますまた BYOD( ユーザー個人所有の端末の業務使用 ) を許可するかどうかは施設ごとの判断となりますが BYOD であるかどうかににかかわらず紛失時等の情報漏えいリスク等を考えて同様の運用をお勧めします

また施設内に設置されたサーバーパソコンノートパソコンなどをスタッフが施設外に持ち出すことは禁止するまたは持ち出す場合は管理者の承認を事前に得るなどの運用を決めておく必要がありますそのためには情報および情報機器を持ち出す場合は所属氏名連絡先持ち出す情報の内容格納する媒体持ち出す目的期間を別途定める書式でシステム管理者に届け出て承認を得ることシステム管理者は

3 また施設内に設置されたサーバーパソコンノートパソコンなどをスタッフが施設外に持ち出すことは禁止するまたは持ち出す場合は管理者の承認を事前に得るなどの運用を決めておく必要がありますそのためには情報および情報機器を持ち出す場合は所属氏名連絡先持ち出す情報の内容格納する媒体持ち出す目的期間を別途定める書式でシステム管理者に届け出て承認を得ることシステム管理者は情報が格納された可搬媒体および情報機器の所在について台帳に記録することそしてその内容を定期的にチェックし所在状況を把握すること ( 厚生労働省の医療情報システムの安全管理に関するガイドラインより抜粋 ) といった内容を設けることが考えられます 1-3. 個人情報漏えいの現状について IT 機器の紛失盗難等の実態について以下は IT 機器の紛失盗難等の実態調査結果ですこの調査結果では電子メールや FAX での誤送信の割合がとても高くなっていますのでそれらを利用する場合の注意を喚起する必要がありますまたえどがわ在宅ネットを利用する端末の紛失盗難時の情報漏えいのリスクを回避するためにも 3-1.ID パスワードの管理や 3-2.IT 機器のセキュリティ対策の徹底が重要になります

4 紛失盗難誤送信の年間発生確率調査対象 2010 年 2009 年携帯電話 6.4% 6.6% パソコン 3.7% 3.1% USBメモリ 4.7% 4.1% 電子メール ( 誤送信 ) 40.3% 17.1% FAX( 誤送信 ) 39.0% 12.1% 出典 :NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ報告の情報セキュリティインシデントに関する調査報告書 ~ 発生確率編 ~ 業種別での個人情報漏えいの人数以下は業種別での個人情報漏えいの人数です医療福祉関連の個人情報漏えい比率は 0.8% です漏えいしている事実に目を向けて個人情報管理の運用を日々徹底していく必要があります業種別比率 ( 人数 ) 出典 :NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ報告の 2012 年情報セキュリティインシデントに関する調査報告書 ~ 個人情報漏えい編 ~

5 個人情報漏えい件数の原因比率以下は個人情報漏えい件数の原因比率です管理ミス誤操作紛失置き忘れで約 90% を占めまた管理ミスの約半分は信用金庫や信用組合地方銀行での紛失や誤廃棄であったとのことですそれに対してバグセキュリティホールは 1.2% であり情報漏えいのほとんどがヒューマンエラー等人的な原因ですですのでシステム提供事業者によるさらなるセキュリティ向上と合わせて現場での教育等による個人情報管理の運用を日々徹底していく必要があります漏えい原因比率 ( 件数 ) 出典 :NPO 日本ネットワークセキュリティ協会セキュリティ被害調査ワーキンググループ報告の 2012 年情報セキュリティインシデントに関する調査報告書 ~ 個人情報漏えい編 ~

6 2. スタッフ誓約書と教育厚生労働省の医療情報システムの安全管理に関するガイドライン第 4.2 版の 6.6 人的安全対策の (1) 従業者に対する人的安全管理措置の C. 最低限のガイドラインにて医療機関等の管理者は個人情報の安全管理に関する施策が適切に実施されるよう措置するとともにその実施状況を監督する必要があり以下の措置をとることとして 1. 法令上の守秘義務のある者以外を事務職員等として採用するにあたっては雇用及び契約時に守秘非開示契約を締結すること等により安全管理を行うことまた 2. 定期的に従業者に対し個人情報の安全管理に関する教育訓練を行うことさらに 3. 従業者の退職後の個人情報保護規程を定めることとしています 2-1. スタッフ誓約書えどがわ在宅ネットを利用するかどうかにかかわらず上記ガイドラインに基づいた安全管理のためにも施設内スタッフとの契約は重要ですスタッフ誓約書の記載内容のポイントは以下の通りです (1) スタッフは就業規則やマニュアルなどの諸規定を遵守し患者等の個人情報のみならず施設内で知り得た業務に関連する一切の情報をも許可なく漏えいしてはならないとします (2) 退職後も漏えいしないとします (3)IT 機器についての取扱い返却時の注意点などを記載します (4) 施設が定めた利用目的外での使用を禁止します (5) 患者その他の第三者のプライバシーその他の権利を侵害するような行為を一切しないスタッフ誓約書のひな型を用意しましたので必要に応じ修正して作成し最適なもので誓約をとるようにしてください 2-2. スタッフ教育施設ごとに作成したえどがわ在宅ネット運用ポリシーを徹底するために施設責任者によってえどがわ在宅ネット管理者およびユーザーに対して定期的に教育を行っていきましょうまたえどがわ在宅ネットの位置づけをユーザー全員で共通認識したうえで取り扱っている個人情報等の重要性を日々認識し情報の取扱いに注意していくよう促しましょうまたパスワードの管理や離席時のログアウトなど基本的なことも日々心がけていくことが大切であることを共有しましょう

7 3. えどがわ在宅ネット運用ポリシーの作成と運用のポイントえどがわ在宅ネット運用ポリシーは以下のポイントを踏まえて施設ごとに最適な運用管理ができるように作成し作成したえどがわ在宅ネット運用ポリシーに基づいて全ユーザーで運用を徹底するように心がけてください 3-1. 情報漏えい発生時の対応について情報漏えい発生時の対応方法や体制を整え周知しておくことはとても重要です情報漏えいによる直接的間接的被害を最小限に抑えるためにもまた再発防止のためにも適正な措置を行うことができるよう対応方法を準備しておきましょう情報漏えいのタイプはパソコンやモバイル端末帳票などの紛失盗難メールやFAXなどの誤送信内部犯行システムへの不正アクセスなどさまざまですまた関係のない人に患者の情報をうっかり口頭で漏らしてしまうことも情報漏えいの一つといえます情報漏えいに関する兆候や具体的な事実を確認した場合は責任者に速やかに報告することを徹底し情報漏えい対応のための体制作りを行い必要な方策を講じてください適切な対応についての判断を行うためにも5W1H( いつどこでだれが何をなぜどうしたのか ) の観点で漏えいした情報の量 ( 件数 ) と内容どのような形で保存されていた情報か ( 暗号化認証パスワード保護など ) などの事実を調査し整理してください漏えいした情報に個人情報が含まれている場合は個人情報保護法に準拠した対応が必要となります詳しくは IPA( 独立行政法人情報処理推進機構セキュリティセンター ) が発行している情報漏えい発生時の対応ポイント集などを参考に準備をしておくことをお勧めします 3-2. 端末紛失時の対応について端末を盗難などにより紛失した場合も責任者に速やかに報告するとともにパスワードを変更することをお勧めしますまた株式会社日本エンブレースメディカルケアステーションサポートデスクに連絡を取り該当するえどがわ在宅ネットユーザー IDの一時停止をすることもお勧めします

MCS 運用ポリシー一般社団法人朝霞地区医師会平成 29 年 1 月 1 日施行平成 29 年 6 月 12 日法改正に伴う改訂

MCS 運用ポリシー一般社団法人朝霞地区医師会平成 29 年 1 月 1 日施行平成 29 年 6 月 12 日法改正に伴う改訂 MCS 運用ポリシー一般社団法人朝霞地区医師会平成 29 年 1 月 1 日施行平成 29 年 6 月 12 日法改正に伴う改訂目次頁はじめに 1 目的 ( 第 1 条 ) 2 法令及びガイドライン ( 第 2 条 ) 2 利用申込 ( 第 3 条 ) 2 連携元事業所 ( 第 4 条 ) 2 連携元事業所の責務 ( 第 5 条 ) 2 患者同意 ( 第 6 条 ) 2 MCS 管理者の設置