「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(2省ガイドライン)の改定でパブコメ実施 経産省/総務省
掲載:2024年10月07日
サイバー速報
目次
医療情報システムおよびサービスを提供する事業者向けにリスクマネジメントプロセスなどを示したガイドライン「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を「第1.1版」から「第2.0版」へと改定するとして、経済産業省と総務省は10月2日から同31日までの期間、意見公募を実施しています。ガイドラインの「第2.0版」(案)とともに、関連文書である「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ」(以下、FAQ)や「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」(以下、SLA参考例)の改定案も公表されました。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は経済産業省と総務省が共同で策定したものであり、2省ガイドラインと呼ばれています。一方、病院や薬局などの医療機関が準拠すべきガイドラインは厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」(第6.0版)であり、この2つのガイドラインを指して「3省2ガイドライン」と呼ばれています。
意見公募対象となっている情報システム・サービス提供者向けのガイドライン(以下、2省ガイドライン)は、2023年7月に改定され第1.1版が公表されました。今般の改定では、ガイドラインの対象範囲を明確化するとともに、関連文書についても見直しました。
2省ガイドラインは医療機関と「契約等」に基づいて医療情報システムやサービスを提供する事業者を対象としています。この「契約等」について第2.0版(案)では「医療情報システム等の運用又は管理、保守等に関する契約等が含まれる。例えば、医療機関等の外部において医療情報の保存等を行うサービス等の提供契約も、『契約』として挙げられる」などと追記されています。
関連文書では、FAQに「医療機器は本ガイドラインの対象となるか?」や「本ガイドラインの対象となる保守はどのような場合か?」などが追記されています。一方、SLA参考例では、対象読者が明記されました。医療機関と直接にはSLAの合意をしない場合でも、SLA参考例を理解する必要があるなどと記されています。
参考文献
おすすめ記事
- IMDRFガイダンス
- ISO31000:2018 リスクマネジメント―指針
- 暴露型ランサムウェアの傾向と対策~チェックシートの利用ガイド~ 暴露型ランサムウェア対応チェックシート
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- ランサムウェア被害は前年同期比87%増、2022年上半期の「サイバー空間をめぐる脅威の情勢等」を公表 警察庁
- サイバー攻撃を想定したBCP策定を推奨、令和6年度の医療機関向けチェックリストを公表 厚労省
- 医療機関のサイバーセキュリティ確保へ、「医療情報システムの安全管理に関するガイドライン」の第6.0版を公表 厚労省
- 医療機関向けにサイバーセキュリティ教育を強化、特設サイトを開設 厚労省