(1)　医療情報システム運用責任者(以下「運用責任者」という。)

(2)　個人情報保護責任者

(3)　医療情報システム管理者(以下「システム管理者」という。)

(4)　医療情報システム部門管理者(以下「部門管理者」という。)

(5)　医療情報システム監査責任者(以下「監査責任者」という。)

(6)　医療情報システム管理委員会(以下「管理委員会」という。)

(1)　医療情報システムに用いる機器及びソフトウェアを導入する場合は、それにより医療情報システムの機能に支障が生じないよう十分に確認すること。

(2)　医療情報の漏えい等に対して十分な安全性を確保すると同時に、医療情報が常に利用可能な状態に置いておくこと。

(3)　医療情報システムに用いる機器やソフトウェアに変更があった場合にも、医療情報が支障なく継続して使用できるように維持すること。

(4)　関係職員の医療情報システム利用者登録を管理し、そのアクセス権限を規定して、不正な利用を防止すること。

(5)　医療情報システムを正しく使用させるため、マニュアル等を整備し、関係職員の教育と訓練を行うこと。

(6)　医療情報システムの運用にあたり、院外の事業者を利用する場合は、当該事業者の提供するサービスが、医療情報システムの安全管理に関するガイドライン(令和3年1月厚生労働省)等に適合していることを文書等で確認すること。

(7)　その他、医療情報システムの維持管理に必要と認められること。

(1)　自部門のシステムの運用管理に責任を持つこと。

(2)　自部門のマスターを管理すること。

(3)　自部門のマスターに変更又は追加が生じた場合は、速やかに書面をもって関連部門の部門管理者及びシステム管理者に通知すること。

(4)　その他、部門システムの維持管理に必要と認められること。

(1)　自身の認証番号やパスワードを厳重に管理し、他者に利用させないこと。

(2)　医療情報システムを使用する場合は、認証番号やパスワードにより、同システムに自身を認識させること。

(3)　医療情報システムへの入力に際しては、確定操作(入力情報が正しいことを確認する操作をいう。)を行って、入力情報に対する責任を明示すること。

(4)　与えられたアクセス権限を超えた操作を行わないこと。

(5)　医療情報システムで参照した情報を目的外に利用しないこと。

(6)　患者のプライバシーを侵害しないこと。

(7)　システムの異常を発見した場合は、速やかに部門管理者及びシステム管理者に連絡し、その指示に従うこと。

(8)　不正アクセスを発見した場合は、速やかに部門管理者及びシステム管理者に連絡し、その支持に従うこと。

(9)　離席する際は、ログアウト操作を行うこと。

(1)　事前にシステム管理者の許可を得ること。

(2)　廃棄にあたっては、次のいずれかの方法により、記録の再生が不可能な状態とすること。

(3)　廃棄の手段、実施者及び日時の記録を残すこと。

(1)　無線LANアクセスポイントの設定状態を適宜確認すること。

(2)　ANY接続拒否等の対策を実施する等、適切な利用者以外に利用されないようにすること。

(3)　MACアドレスによるアドレス制限を実施する等、不正アクセス対策を実施すること。

(4)　WPA2―AES等により通信を暗号化すること。

(5)　携帯ゲーム機等、電波を発する機器による電波干渉に留意すること。

(1)　厚生労働省の定める準拠性監査基準を満たす保健医療福祉分野PKI認証局又は認定特定認証事業者等の発行する電子証明書を用いて電子署名を施すこと。

(2)　電子署名を含む文書全体にタイムスタンプを付与すること。

(3)　タイムスタンプを付与する時点で有効な電子証明書を用いること。

(1)　業務委託契約を締結するときは、契約内容に受託者の守秘義務を含めるとともに、個人情報の保護に関する双方の責任を明確化する等、十分な個人情報の保護水準を担保できるようにすること。

(2)　システム管理者及び各部門管理者は、委託した業務内容が、個人情報保護の観点から適正かつ安全に行われていることを確認すること。

(3)　受託者が許可なく個人情報を含むデータを院外に持ち出すことのないようにすること。

(1)　保守要員専用のアカウントを使用してること。

(2)　作業について事前申請されていること。

(3)　作業者、作業内容、作業結果等について報告されていること並びに報告どおりの作業結果となっていること。

(4)　その他、医療情報システムの安全管理に関するガイドライン中6.8(医療情報システムの改造と保守)のC(最低限のガイドライン)及びD(推奨されるガイドライン)の各項目を遵守していること。

(1)　起動パスワードを設定しておくこと。この場合、推定しやすいパスワード等の使用を避けるとともに、定期的な変更等の対策を実施すること。

(2)　ウィルス対策ソフトをインストールしておくこと。

(3)　公衆無線LANを使用させないこと。ただし、やむを得ず使用させるときは、医療情報システムの安全管理に関するガイドライン中6.11(外部と個人情報を含む医療情報を交換する場合の安全管理)の基準を満たしていることを確認すること。

(4)　持ち出した医療情報を、システム管理者が承認していないアプリケーションがインストールされ、又はシステム管理者が承認していないサービスが利用できる情報機器で扱わせないこと。

(5)　持ち出した情報機器には、システム管理者が承認していないアプリケーションやサービスを使用させないこと。

(1)　外部の機関との情報通信に当たって関わる電気通信事業者等の関連組織との間で、次に掲げる事項についての責任分界点、責任の所在を契約書等で明確にすること。

(2)　院内において、次に掲げる事項を明確にしておくこと。

(3)　電気通信事業者やオンラインサービス提供事業者と契約を締結する際には、脅威に対する管理責任の範囲や回線の可用性の品質を確認すること。

(4)　患者等に情報を院外から閲覧させる場合、患者等への危険性や提供目的についての納得できる説明を行い、それぞれの責任を明確にすること。

(1)　システム管理者は、医療情報システムの入力者及び確定者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止すること。

(2)　システム管理者は、認証の有効回数、超過した場合の対処について、別に定めること。

(3)　入力者及び確定者は、自身の認証番号やパスワードその他認証に係る情報を管理し、それらを他者に利用させないこと。

(4)　確定者が何らかの理由で確定操作ができない場合には、管理責任者が自身の責任において確定操作を行うこと。

(5)　代行入力の場合、確定者が最終的に確定操作を行い、入力情報に対する責任を明示すること。

(6)　運用責任者は、システム構成やソフトウェアの動作状況に関する内部監査を定期的に実施すること。

(1)　定期的に情報機器や記録媒体のリストを作成し、その所在場所を確認すること。

(2)　電子保存に用いる機器及びソフトウェアを導入するに当たって、保存義務のある情報として電子保存された情報ごとに、見読用機器を常に利用可能な状態にしておくこと。

(3)　情報を見読化するための応答時間が業務上必要とされる時間内に維持されるよう必要な対策を行うこと。

(4)　医療情報システムの障害時の対応体制が常に最新のものであるように管理すること。

(5)　データバックアップ作業が適切に行われていることを確認すること。

(1)　医療情報システムで使用されるソフトウェアについて、使用前に審査を行い、情報の安全性に支障がないことを確認すること。

(2)　医療情報システムの記録媒体を含む主要機器は、システム管理者によって入退室管理された場所に設置すること。

(3)　定期的にソフトウェアのウィルスチェックを行い、感染の防止に努めること。

(4)　医療情報システムに関する機器の設置場所には、漏電防止装置、無停電電源装置を備えること。

(5)　定期的に設置機器の点検を行うこと。

(6)　不適切な保管や取扱いによる情報の滅失、破壊を防止するため、業務担当者の変更があったときは、新任の業務担当者に対し操作前に教育を行うこと。

(7)　記録媒体は、記録された情報が保護されるよう、別の媒体にも補助的に記録すること。

(8)　品質の劣化が予想される記憶媒体は、あらかじめ別の媒体に複写すること。

(9)　機器、記録媒体及びソフトウェアの変更に当たっては、データ移行のための業務計画をつくること。