医療情報システム運用管理規定サンプル(5.1版/令和3年)

スポンサーリンク
  1. 第1章 総則
    1. 第1条 目的
    2. 第2条 対象
  2. 第2章 管理体制
    1. 第3条 管理者・責任者の任命
    2. 第4条 マニュアル・誓約書等の文書管理体制
    3. 第5条 監査体制と監査責任者
    4. 第6条 患者及びシステム利用者からの苦情・質問の受付体制
    5. 第7条 事故対策
    6. 第8条 システム利用者への教育・訓練などの周知体制
  3. 第3章 管理者及び責任者、利用者の責務
    1. 第9条 システム管理者及び運用管理者の責務・部門責任者の責務
    2. 第10条 利用者の責務
  4. 第4章 一般管理における運用管理事項
    1. 第11条 情報システムへのアクセス制限、記録、点検等のアクセス管理
    2. 第12条 個人情報を含む記録媒体の管理
    3. 第13条 個人情報を含む媒体の破棄の規定
    4. 第14条 リスクに対する予防及び発生時の対処法
    5. 第15条 無線L A Nに関する事項
    6. 第16条 技術的と運用的対策の分担を定めた文書の管理規程
  5. 第5章 業務委託の安全管理措置
    1. 第17条 委託契約における安全管理条項
    2. 第18条 再委託の場合の安全管理措置事項
  6. 第6章 情報及び情報機器の持ち出しについて
    1. 第19条 持ち出し対象となる情報及び情報機器の規程
    2. 第20条 持ち出した情報及び情報機器の運用管理規程
    3. 第21条 持ち出した情報及び情報機器への安全管理措置
    4. 第22条 盗難、紛失時の対応策
    5. 第23条 利用者への周知徹底方法
  7. 第24章 外部の機関と医療情報を交換する場合
    1. 第25条 安全を技術的、運用的面から確認する規程
    2. 第26条 リモートメンテナンスの基本方針
  8. 第7章 自然災害やサイバー攻撃等による非常時の対策
    1. 第27条 BCP の規程における医療情報システムの項
    2. 第28条 システムの縮退運用管理規程
    3. 第29条 報告先と内容一覧
  9. 第8章 教育と訓練
    1. 第30条 マニュアルの整備及びプライバシー保護に関する教育、研修
    2. 第31条 退職後の守秘規程

第1章 総則

第1条 目的

この規定は○○○病院(以下『当院』)において、情報システムで使用される機器、ソフトウェアおよび運用に必要な仕組み全般について、その取扱い及び管理に関する事項を定め、当院において、診療情報を適正に保存するとともに、適正に利用することを目的とする。

第2条 対象

  1. 対象システムは、電子カルテシステム、オーダーリングシステム、画像情報システム、検査システム、薬剤システム、医事システム、その他電子カルテシステムと連動するシステムであり、対象情報は、全ての診療に関する情報である。
  2. 対象システムの扱う情報については、そのシステムごとに別途定義と安全管理上の重要度の分類を行い、リスク分析の結果を表に記入し保管すること。

第2章 管理体制

第3条 管理者・責任者の任命

  1. 当院に情報システム管理者を置き、病院長をもってこれに充てる。また病院長は必要な場合、情報システム管理者を別に指名することができる。
  2. 情報システムを円滑に運用するため、情報システムに関する運用を担当する責任者(以下、『運用責任者』)を置き、病院長が指名した情報システム室長をもってこれに充てること。
  3. 情報システムに関する取扱い及び管理に関し必要な事項を審議するため、病院長のもとに情報システム管理委員会を置き、情報システム管理委員会の運営については、別途定めること。
  4. その他、この規程の実施に関し必要な事項がある場合については、情報システム管理委員会の審議を経て、病院長がこれを定めること。

第4条 マニュアル・誓約書等の文書管理体制

誓約書、マニュアル等の文書管理については、別途規定を定めること。

第5条 監査体制と監査責任者

  1. 情報システムを円滑に運用するため、情報システムに関する監査を担当する責任者(監査責任者)を置くこと。
  2. 監査責任者の責務は本規定の定めるものの他、別に定めるものとし、病院長が指名すること。
  3. 情報システム管理者は監査責任者に毎年1回、外部監査機関に情報システムの監査を実施させ、監査結果の報告を受け、問題点の指摘等がある場合には、直ぐに必要な措置をする。
  4. 監査の内容については、情報システム管理委員会の審議を経て、病院長がこれを定めること。

第6条 患者及びシステム利用者からの苦情・質問の受付体制

患者または利用者からの情報システムについての苦情を受け付ける窓口を設置し、苦情受付後はその内容を検討し、直ぐに必要な措置をすること。

第7条 事故対策

システム責任者は、緊急時及び災害時の連絡、復旧体制並びに回復手順を定め、非常時においても参照できるような紙媒体に保存し保管すること。

第8条 システム利用者への教育・訓練などの周知体制

システム管理者は、情報システムの取り扱いについてマニュアルを整備し、情報システムを利用するもの(以下「利用者」という)に周知の上、常に利用可能な状態にしておくこと。また利用者に対し定期的に情報システムの取扱い及びプライバシー保護に関する研修を行うこと。

第3章 管理者及び責任者、利用者の責務

第9条 システム管理者及び運用管理者の責務・部門責任者の責務

  1. 情報システム用にいる機器及びソフトウェアを導入するに当たって、システムの機能を確認し、情報システムの機能用件に挙げられている機能が支障なく運用される環境を整備する。また、診療情報の安全性を確保し、常に利用可能な状態に置いておくこと。
  2. 機器やソフトウェアに変更があった場合においても、情報が継続的に使用できるように維持すること。
  3. 管理者は情報システムの利用者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止するとともに、正しく利用させるため、教育と訓練を行うこと。

第10条 利用者の責務

  1. 自身の情報システムの情報や入力(以下「アクセス」という)に際して、パスワードによって自身を認識させ、これを他者に利用させてはならない。
  2. 情報入力に際しては、確定操作を行って入力情報に対する責任を明示すること。
  3. 与えられたアクセス権限を越えた操作を行ってはならない。
  4. 患者等のプライバシーを侵害してはならない。また参照した情報を目的外に利用したり、プライバシーを侵害したりしないこと。
  5. 離席する際は、ログアウトをする等して窃視防止を実施すること。
  6. 運用責任者の許可なく情報システム環境の改変をしてはならない。
  7. ウイルスに感染又はその恐れを発見した場合は、ネットワークから端末を切り離すととともに部門責任者へ連絡し指示を仰ぎその指示に従うこと。
  8. 利用申請の内容に変更が生じた際は、その内容を速やかに運用責任者に届け出なければならない。

第4章 一般管理における運用管理事項

第11条 情報システムへのアクセス制限、記録、点検等のアクセス管理

  1. 部門責任者は利用者の職務により定められた情報の機密度に応じたデータアクセス範囲を定め、必要に応じてハードウェア・ソフトウェアの設定を行うものとする。
  2. 利用者が入力した情報について、確定操作を行なった情報の記録及び更新日時を記録すること。
  3. 利用者が情報にアクセスした記録を保存し、これを追跡調査できるようにすること。

第12条 個人情報を含む記録媒体の管理

保管及びバックアップの作業に当たる者は、手順に従って行い、その作業の記録を残し、システム管理者の承認を得ること。

第13条 個人情報を含む媒体の破棄の規定

個人情報を記した媒体の廃棄に当たっては、安全かつ確実に行われることを、システム管理者が作業前後に確認し、結果を記録に残すこと。

第14条 リスクに対する予防及び発生時の対処法

システム管理者は、業務上において情報漏えい等のリスクが予想されるものに対し、運用管理規程の見直しを行うこと。また、事故発生に対しては、速やかに運用責任者に報告し利用者に周知すること。

第15条 無線L A Nに関する事項

システム管理者は、無線LANアクセスポイントの設定状態を適宜確認し、利用規則を院内関係者及び利用可能性のある入院患者へ説明をすること。

第16条 技術的と運用的対策の分担を定めた文書の管理規程

  1. 各システムは、その設計時及び運用開始時に、技術的対策と運用による対策を、基準適合チェックリストに記載し、必要時には第三者への説明に使える状態で保存すること。
  2. システムの保守時には、基準適合チェックリスト記載に従っていることを確認すること。
  3. システム改造時は、最新の基準適合チェックリストに従って、技術的対策と運用による対策の分担を見直すこと。
  4. 技術的対策内容は「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」別紙に示す「サービス仕様適合開示書」等で確認をすること。

第5章 業務委託の安全管理措置

第17条 委託契約における安全管理条項

業務を当院外の所属者に委託する場合は、守秘事項を含む業務委託契約を結び、契約の署名者を病院長とする。また、各担当者は委託作業内容が個人情報保護の観点から適正に且つ安全に行われていることを確認すること。

第18条 再委託の場合の安全管理措置事項

業務委託の契約書には、再委託での安全管理に関する事項を含むこと。

第6章 情報及び情報機器の持ち出しについて

第19条 持ち出し対象となる情報及び情報機器の規程

  1. システム管理者は、情報及び情報機器の持ち出しに関しリスク分析を行い、持ち出し対象となる情報及び情報機器を規定し、それ以外の情報および情報機器の持ち出しを禁止すること。
  2. 持ち出し対象となる情報若しくは情報機器は別表としてまとめ、利用者に公開すること。

第20条 持ち出した情報及び情報機器の運用管理規程

  1. 情報及び情報機器を持ち出す場合は、所属、氏名、連絡先、持ち出す情報の内容、格納する媒体、持ち出す目的、期間を別途定める書式でシステム管理者に届け出て、承認を得ること。
  2. システム管理者は、情報が格納された可搬媒体及び情報機器の所在について台帳に記録すること。その内容を定期的にチェックし、所在状況を把握すること。

第21条 持ち出した情報及び情報機器への安全管理措置

  1. 持ち出す情報機器について起動パスワード等を設定すること。推定しやすいパスワード等の利用を避ける等、適切なパスワードの設定・運用を行うこと。
  2. 持ち出す情報機器についてはウイルス対策ソフトをインストールしておくこと。
  3. 公衆無線LANを使用しないこと。
  4. 持ち出した情報機器には、別途定められている以外のアプリケーションをインストールしない、あるいは承認されていないサービスが利用しないこと。

第22条 盗難、紛失時の対応策

持ち出した情報及び情報機器の盗難、紛失時には、直ちにシステム管理者に届け出ること。

第23条 利用者への周知徹底方法

届出を受け付けたシステム管理者は、その情報及び情報機器の重要度にしたがって、別途定めるとおり対応すること。

第24章 外部の機関と医療情報を交換する場合

第25条 安全を技術的、運用的面から確認する規程

  1. システム管理者は、外部の機関と医療情報を交換する場合、リスク分析を行い、安全に運用されるように別途定める技術的及び運用的対策を講じること。
  2. 技術的対策が適切に実施され問題がないかを定期的に監査を行って確認すること。

第26条 リモートメンテナンスの基本方針

  1. 外部の保守会社からリモートメンテナンスを受ける場合、相手の保守会社等、電気通信事業者、運用委託業者等との間で、責任分界点や責任の所在を契約書等で明確にすること。
  2. 上記契約状態が適切に維持管理されているか定期的に監査を行って確認すること。

第7章 自然災害やサイバー攻撃等による非常時の対策

第27条 BCP の規程における医療情報システムの項

  1. 災害、サイバー攻撃等により、一部医療行為の停止等、医療サービス提供体制に支障が発生する非常時の場合、別途定める事業継続計画(BCP)に従って運用を行うこと。
  2. どのような状態を非常時とみなすかについては、別途定める基準、手順に従って運用責任者が判断すること。

第28条 システムの縮退運用管理規程

システムの縮退運用時や非常時の運用に関して運用管理規程を作成し、利用者に周知の上、常に利用可能な状態におくこと。

第29条 報告先と内容一覧

災害、 コンピュータウイルスの感染などによるサイバー攻撃を受けた(疑い含む)場合、サイバー攻撃により障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断した等の場合には、別途定める一覧の連絡先に連絡すること。

第8章 教育と訓練

第30条 マニュアルの整備及びプライバシー保護に関する教育、研修

  1. システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知の上、常に利用可能な状態におくこと。
  2. システム管理者は、利用者に対し、定期的に情報システムの取扱い及びプライバシー保護に関する研修を行うこと。また、研修時のテキスト、出席者リストを残すこと。

第31条 退職後の守秘規程

業務従事者は在職中のみならず、退職後においても業務中に知った個人情報に関する守秘義務を負う。

ホーム
トップ
タイトルとURLをコピーしました