2011.8.17 |
|
|
|
|
|
1.「医療情報システムの安全管理に関するガイドライン」について
|
|
|
|
|
平成17年4月の「個人情報の保護に関する法律」の全面実施に際して、平成16年12月に厚生労働省より「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」(以下、「個人情報GL」という)が公表され、医療・介護分野の個人情報保護に関する指針が示されました。この指針の中で、情報システム等の取扱いに関しては、別途定めるガイドラインで示すとされています。
平成17年3月に厚生労働省より公表された「医療情報システムの安全管理に関するガイドライン」(以下、「安全管理GL」という)は、「個人情報GL」で示した、情報システム等の取扱いに関する指針に位置づけられるものです。すなわち医療情報システムを利用する全ての事業者は、「個人情報GL」及び「安全管理GL」に準拠した、個人情報の取り扱い及び情報システムの安全管理が求められています。
|
|
|
|
|
2.医療情報システム安全管理評価制度
プレミス(PREMISs)とは
Program of Rating Evaluation for Medical Information
System Safety control
|
|
|
|
|
プレミス(PREMISs)*とは、「安全管理GL」への準拠性を第三者が客観的に評価する制度です。医療情報システム評価の視点には、経済性(費用対効果)、利便性(操作性等の機能)、安全性(技術面、運用面)の3点があります。従来、経済性と利便性が注目され、安全性に対する関心が比較的低い現状がありました。これは、情報が病院等の内部という比較的限られた範囲でのみ取り扱われたことにも起因します。しかし、これからはITの活用により医療連携や遠隔医療が可能となり、情報が地域や全国レベルで有効活用される時代となります。従って、一旦大事故に至れば、個人の人生に及ぼす影響は甚だ大きく、医療機関等の管理者の責任は非常に重いものとなります。
いくらIT導入にメリットがあっても、プライバシーが確保されないと患者は安心して医療機関等に受診できません。従って、今後益々医療情報システムの利便性と安全性の担保のバランスが求められることになります。PREMISsは、「安全管理GL」に準じた安全性の担保力を、技術面、運用面の観点から客観的に評価し、システムを利便性と安全性のバランスの取れたものとするためのツールといえます。
*PREMISsとは英語で「前提」という意味があります(正確なスペル 'Premise'
ですが 'Premiss' でも同義です)。医療情報システムを運用する医療機関等は、本制度の活用が前提となることを期待して命名しました。
|
|
|
|
|
|
|
|
|
PREMISsは、以下のような3つの特徴を持ちます。
1. 対応レベルの明確化
全ての医療機関等は、医療情報システムを「安全管理GL」に準拠して構築・運用することを求められていますが、その対応レベルには大きな隔たりがあります。PREMISsの認定を受けた医療機関等は、必要十分な対応レベルにあることを保証するとともに、そのレベルを3段階で示します。
A:必要十分な安全管理を実施し、説明責任を十分に果たしている
AA:上記に加え、管理責任、改善を行う責任を十分に果たしている
AAA:上記に加え、現状で最高レベルの安全管理措置(組織的、技術的)を実施している
2. 保証期間を設けず、審査時点での対応水準を評価
ITの進展は日進月歩であり、医療福祉分野における利用法も益々多様化します。そのような状況の中で、保証期間を設けることは無理があると考え、評価範囲を明確にして、審査時点での対応水準を評価することとしました。
3.評価結果の公開(任意)
制度及び評価の客観性・透明性を維持するには、評価結果を公表することは大切です。認定事業者の名称、評価範囲、評価結果等を希望によりホームページで公表します。
|
|
|
|
|
|
|
|
|
PREMISsの評価対象は、医療機関、保険調剤薬局、健診機関、介護事業者等の個人情報(医療情報)を直接、取得・利用・提供する事業者で運用される保健医療福祉に関わる情報を扱う全ての情報システムと、それらの導入、運用、利用、保守及び廃棄に関わる人または組織です。従って、データセンターや検査センター等の医療情報の取り扱いを委託される事業者は、対象外となります。
|
|
|
|
|
|
|
|
|
PREMISsの申請は、システム単位となります。ここで言うシステム単位とは、ベンダーが提供する製品単位ではなく、医療情報の取り扱い単位です。たとえば、マルチベンダーで構成された電子カルテシステムのように、基幹システムと部門システムが異なるベンダーの製品を組み合わせて構成されていても、1電子カルテシステムとみなし1申請単位とします。また、複数の事業所(医療機関等)を持ちながら、法人または地域等で全体で同一のシステムを共同で利用し(ネットワーク)、対策方法(組織的、物理的、技術的、人的)及び、管理者(院長、理事長等)が同一の場合も1システムとします。ただし、安全管理の対策(組織的、物理的、技術的、人的)が著しく異なる場合は、別システムとみなし個別の申請単位になります。
|
|
|
|
|
|
|
|
|
「安全管理GL」に準拠した、医療情報システムの安全管理体制の整備及び運用状況についての確認評価を行います。特に下記の事項については重要な条件となります。
1.体制の整備
管理者が指名され(運用責任者、システム管理者等)、安全管理についての組織内の責任、役割分担が明確である等、医療情報を適切に取り扱う体制が整備されている。
2.運用ルールの整備
基本方針(個人情報保護、情報セキュリティ)、運用管理規程、細則、手順書等の運用ルールが明文化されている(個人情報保護方針の公表を含む)。
3.安全管理措置
医療情報に対して、外部からの侵入又は内部からの漏えいが発生しないよう適正な安全措置を講じている。
4.取扱いの委託
組織外部への医療情報の提供、取扱いの委託を行う際には、 責任分担や守秘に係る契約を締結する等、
医療情報について適切な保護が講じられるよう措置している。
5.教育・運用
情報システムの利用者に対し、運用ルールに対する研修を定期的に実施して、運用ルールに則った運用をしている。
6.監査と見直し
申請までに1回以上、運用ルールに則った運用をしているかを検査し、問題があれば適切に見直している。ただし、医療情報システムの運用開始直後で本評価を監査と見直しに代用する場合は除く。
|
|
|
|
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
医療機関等の規模にかかわらず評価費用は同額ですが、診療所の評価費用については、上記の半額とします。
|
|
|
