〒216-0003
神奈川県川崎市宮前区有馬1-22-16
TEL 044-855-9977 
無料駐車場、平日19時まで診察

医療情報システムに関する運用規定

医療情報システムに関する運用管理規定
一般管理における運用管理規定

1.(目的)
この規定は当院において、情報システムで使用される機器、ソフトウェアおよび運用に必要な仕組み全般について、その取扱い及び管理に関する事項を定め、当院において、診療情報を適正に保存するとともに、適正に利用することを目的とする。

2.(対象)
対象者は、情報システムを扱う全ての利用者である。対象システムは、電子カルテシステム、オーダーエントリシステム(画像管理システム、医事システム)、FDチェックシステム、健診システム等である。
対象システムの扱う情報については、そのシステムごとに別途定義と安全管理上の重要度の分析を行い、リスク分析の結果を表に記入し保管すること。
3.(標準規格)
 システム管理者は、情報システムで使われている標準規格についてベンダへ情報提供を要求し、標準規格の改定への対応をシステムの変更・改造時の対象とすること。
4.(管理体制)
1)当院に運用責任者、個人情報保護責任者、情報システム管理者を置き、院長をもってこれに充てる。院長は必要な場合、情報システム管理者を別に指名する。
2)情報システムに関する取扱い及び管理、この規程の実施に関し必要な事項は、情報システム管理者が定める。

5.(契約書・マニュアル等の文書管理)
1)契約書・マニュアル等の文書の管理については、事務長または事務長が指定する者が所定の鍵付きキャビネット等へ適切に保管する。
2)システム管理者は、情報システムに関する全体構成図(ネットワーク構成図・システム図等)を作成し、常に最新の状態を維持すること。
6.(監査体制と監査責任者の任命)
1)情報システムを円滑に運用するため、情報システムに関する監査を担当する責任者(監査責任者)を置く。
2)監査責任者の責務は本規定の定めるものの他、別に定めるものとし、院長が指名することとする。
3)情報システム管理者は監査責任者に毎年1回、情報システムの監査を実施させ、監査結果の報告を受け、問題点の指摘等がある場合には、直ぐに必要な措置をする。
4)監査の内容については、情報システム管理委員会の審議を経て、院長がこれを定め、臨時の監査が必要な場合は監査責任者に命ずる。

7.(苦情の受付窓口の設置)
患者または、利用者からの、情報システムについての苦情を受け付ける窓口を設置し、
苦情受付係りは、その内容を検討し、直ぐに必要な措置をする。

7.(事故対策)
情報システム管理者は、緊急時及び災害時の連絡、復旧体制並びに回復手順を定め、文書化し、利用者に周知の上、常に診療録が利用可能な状態におく。

8.(利用者への教育・周知体制)
情報システム管理者は、情報システムの取扱いについて、マニュアルを整備し、利用者に周知の上、常に利用可能な状態にしておくこと。また利用者に対し定期的に情報システムの取扱い及びプライバシー保護に関する研修を行う。

9.(システム管理者や運用管理者の責務)
1)情報システム用にいる機器及びソフトウェアを導入するに当たって、システムの機能を確認し、情報システムの機能用件に挙げられている機能が支障なく運用される環境を整備する。また、診療情報の安全性を確保し、常に利用可能な状態に置いておくこと。
2)機器やソフトウェアに変更があった場合においても、情報が継続的に使用できるように維持する。
3)管理者は情報システムの利用者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止するとともに、正しく利用させるため、教育と訓練を行う。
4)情報システムを正しく利用させるため、作業手順書の整備を行い利用者の教育と訓練を行うこと。
5)患者及び利用者から、情報システムについての問合せや苦情を受け付ける窓口を設けること。
6)外部のサービス事業の利用に当たっては、必要なガイドラインへの適合性を、サービス事業者からの文書等により確認し、文書の保存を行うこと。

10.(利用者の責務)
1)利用者は自身の認証番号やパスワードを管理し、これを他者に利用させではならない。
2)利用者は情報システムの情報の参照や入力(以下『アクセス』)に際して、認証番号やパスワード等によって、システムに自身を認識させ、情報入力に際しては、確定操作を行って入力情報に対する責任を明示すること。
3)利用者は与えられたアクセス権限を越えた操作を行ってはならない。また参照した情報を目的外に利用したり、プライバシーを侵害したりしないこと。
4)利用者はシステムの異常や不正アクセスを発見した場合、速やかに運用責任者に連絡し、その支持にしたがう。
5)利用者は離席する場合画面をロックする。



11.(来訪者の記録・識別・入退の制限とアクセス管理)
IDカード利用による個人情報が保管されている機器の設置場所および記録媒体の保存場所ではかならず、スタッフが常駐又は、記録媒体は鍵のかかるロッカー棚に保管する。


12.(情報システムへのアクセス制限、記録、点検等の管理)
システム管理者は職務により定められた、情報によるデータアクセス範囲を定め、必要に応じてハードウェア・ソフトウェアの設定を行う。また、その内容に沿って、アクセス状況の確認を行い、監査責任者に報告をすること。

13.(委託契約における安全管理条項)
業務を当院外の所属者に委託する場合は、守秘事項を含む業務委託契約またはこれに順ずる契約を結び、契約の署名者を、その部門の長とする。また、各担当者は委託作業内容が個人情報保護の観点から適正に且つ安全に行われていることを確認する。

14.(個人情報の記録管理)
1)保管、バックアップの作業に当る者は、手順に従い行い、その作業の記録を残し、責任者の承認を得ること。
2)個人情報を記した媒体に当たっては安全かつ確実に行われることを、システム管理者が作業前後に確認し、結果を記録に残す。

15.(リスクに対する予防、発生時の対応)
情報システム管理者は、責務上において情報漏えいなどのリスクが予想されるものに
対し、運用規程の見直しを行う。また、事故発生に対しては、速やかに責任者に報告
することを周知する。

16(教育と訓練)
1)システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知の上、常に利用可能な状態におくこと。
2)システム管理者は、情報システムの利用に対し、定期的に取扱い及びプライバシー保護に関する研修を行う。

運用管理の実施規定

1.(作成者の識別および認証)
1)システム管理者は、電子保存システムの利用者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止するとともに、正しく利用させるために、利用者の教育と訓練を行う。
2)利用者は電子保存システムの情報の参照やアクセスに際して、認証番号(パスワード)を管理し、システムに自身を認識させる。また、作業終了あるいは、離席する際は、自動ログアウトで画面ロックを行う。

2.(情報の確定手順と作成責任者の識別情報の記録)
1)利用者は電子保存システムの情報入力に際して、確定操作を行って入力情報に対する責任を明示し、代行入力の場合、入力権限を持つ者が最終的に確定操作を行い、入力情報に対する責任を明示する。
2)一つの診療記録を複数者で共同して作成する場合には、各自でログインすること。

3.(システムの見読性確保)
1)電子保存に用いる機器及びソフトウェアを導入する際は、システムの機能を確認し、これらの機能が『法令に保存義務が規定されている診療録および、診療諸記録の電子媒体による保存に関するガイドライン』に示されている各項目に適合するものか確認する。
2)システム管理者は、応答時間の劣化がないように維持に努め、必要な対策をとるとともに、障害時の対応体制が最新のものであるように管理すること。

4.(ソフトウェアの保存性確保)
1)記録媒体は、記録された情報が保護されるよう、別の媒体にも補助的に記録し、劣化が予想される記録媒体は、あらかじめ別の媒体に複写する。
2)システム管理は新規の業務担当者には、操作前に教育を行うこと。
3)運用責任者は、電子保存システムで使用されるソフトウェアを、使用の前に審査を行い、情報の安全性に支障がないことを確認し、ネットワークや可搬媒体によって情報を受け取る機器について、必要に応じこれを限定する。また、定期的にソフトウェアのウィルスチェックを行い、感染の防止に努めること。
4)電子保存システムの記録媒体を含む主要機器は独立した電算機室に設置し、出入り口は常時施錠し、運用責任者がその入退出を管理する。
5)電算機室には無水消化装置、電防止装置、無停電源装置を備え、定期的に点検を行い、機器やソフトウェアに変更があった場合は、電子保存された情報が継続的に使用できるように維持すること。
5.(システム改造および保守データの参照)
1)システム管理者は、保守会社における保守作業に関し、その作業者、作業内容、報告を求め、適切であることを確認する。
2)システムの導入にあたっては、保守時における守秘義務条項をふくむ業務委託契約の締結を行い、必要時には保守会社の体制を確認する。

6.(スキャナ読み取りと書類の運営)
診療に関する情報のスキャナ読み取り作業に関しては、取り込み作業者、取り込み日時をシステムへ記録すること。また元票は、適正期間廃棄せず保存することとする。

7.(アクセス権限の見直し)
1)担当者が移動または、変更になった場合アクセス権限をシステム管理者が変更する。
2)社内の組織変更がなされた場合、アクセス権限をシステム管理者が見直しする。
3)情報漏洩が予測できた場合、アクセス権限をシステム管理者が変更する。
4)退職者が出た場合、関連するアクセス権限について見直しをする。

外部保管における運用管理規定

1.(管理体制と責任)
1)この規定は当院において、法令に保存義務が規定されている診療録および診療記録のネットワークを経由して外部へ委託し保管するための事項を定めたものである。
2)運用管理者は保管内容を示す記録を監査し、正しいことを確認し、異常の発見時には直ぐに管理責任者に報告するともに外部保管に、対処を指示し、結果を確認する。これらの監査記録は必ず残すこと。
3)管理責任者は『診療記録』流出の危険があると判断したときには、直ぐに外部保管への運営を停止する。

2.(外部保存契約終了時の処理)
外部保管先との契約終了時には、それまでの保管を委託した全ての『診療記録』を当院に戻す(あるいは利用不可な状態で破棄する)こととし、その結果は当院の監査を受ける。また外部保存先が委託期間中に異常への対応等で『診療記録』の内容にアクセスした場合、その内容についての守秘義務は、保管委託終了後も有効である。

3.(委託元への成りすまし防止策)
1)委託元の医療機関への成りすまし防止として、両施設間でお互いに相手方の証明書を認識し可能な認証局を選定すること。
2)運営管理者は記録において、委託元、委託先双方の成りすましが無いことを確認するとともに、通信上の改善の発見に努め、ログインの記録時に正常なログインと不正なログインが識別可能な記録レベル、監査機関より長い保存期間であるようにする。

4.(緊急診療情報への対処)
運用管理者は、院内システムにおいて緊急に必要が予想される診療情報を格納するに充分な記録容量を管理するとともに、委託先施設での障害等による見読性の確保として、データのコピーやバックアップを取り、委託先施設とは異なる場所に保持しておく。また、その保持先へのアクセスが可能であることの確認も行う。

5.(外部保存の確認機能)
1)運用管理者は外部保存を受託する施設での保存確認機能として、保存記録の委託元への送信機能(1時間〜1日単位)を用い改竄されることの無いデータとして保存されたことを確認する。
2)当院と外部委託先は互いに各自のシステム変更に当たって、相互にデータ通信の継続に配慮し、変更内容が外部保管の障害にならないように協議すること。
3)監査者は、電気通信回線や外部保存を受託する施設設備の劣化対策として、必要に応じて劣化に意を払い、機能の保全につとめるとともに、保管データの故意または過失による破壊に備えて回復機能を備えなること。
4)外部保存を受託する施設内での秘匿性の確保のため、メッセージの暗号化が可能な通信手段、暗号の強度は電子署名法に準じること。
5)通信の起点・終点識別のため、認証局を使う場合は、両施設間でお互いに相手方の証明書を認証可能な認証局を選定すること。
6)運用管理者は、記録による動作の監査において、委託元、受託先双方が正当であることを確認する。

6.(個人情報保護策)
1)監査者は必要に応じて、外部保存委託している施設で「診療記録」の保管業務に従事する従業員に対し、「個人情報保護の重要性」の教育を年一回行う。また、業務を離れた後も有効な守秘契約を当該従業員と交わすこと。
2)外部委託保存業者は、正当な理由無く、保管した「診療記録」およびログにアクセスしてはならない。出来る限り、事前に当院の許可を得ることとし、やむなきを得ない事情で許可を得ずアクセスした場合は遅滞無く当院に報告するものとする。また、目的外に利用してはならないし、正当で明確な目的が無く他の媒体などに保管してはならない。

7.(患者への説明と同意)
1)管理者責任者は、外部保管している事の患者への周知が計られていること(例、掲示内容・指示内容・位置)また同意を得られなかった患者の「診療記録」の管理状況を適宜(例、1回/月)確認する。
2)外部保存を行っている旨を院内掲示等で周知し、同意を得る。

情報及び情報機器の持ちだしについて

1.(持ち出し対象となる情報及び情報機器の規定)
1)システム管理者は、情報機器の持ち出しに関しリスク分析を行い、持ち出し対象となる情報及び情報機器の持ち出しを禁止する。
2)持ち出しする情報若しくは情報機器は禁止とする。
3)個人保有又は個人管理下の情報機器の業務利用は、認めない。

2.(外部の機関と医療情報を交換する場合)
1)外部からのアクセスを禁止する。
2)社内メンテナンスを行い外部委託は行わない。

自然災害やサイバー攻撃等による非常時の対策
1)災害、サイバー攻撃等により、一部医療行為の停止等、医療サービス提供体制に支障が発生する非常時の場合、別途定める事業継続計画に従って運用を行う。
2)どのような状態を非常時とみなすかについては、別途定める基準、手順に従って運用責任者が判断する。
3)システムの縮退運用時や非常時の運用に関して運用管理規定を作成し、利用者に周知の上、常に利用可能な状態にする。
4)重要なファイルは数世代バックアップを複数の方式で取得し、その一部は不正ソフトウェアの混入による影響が波及しない手段で管理するとともに、バックアップから重要なファイルの復元手順を整備する。
5)災害、不正ソフトウェアの混入などによるサイバー攻撃を受けた(疑い含む)場合、サイバー攻撃により障害が発生発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのおそれがある事案であると判断した場合には、別途定める一覧の連絡先に連絡すること。
6)所管官庁への連絡については、「医療機関等ににおけるサイバーセキュリティ対策強化について」医政総発 1029 第1号 医政地発 1029 第3号 医政研発 1029 第1号平成30年10月29日)に基づき行う。

教育と訓練
1)システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知の上、常に利用可能な状態におく。
2)システム管理者は、利用者に対し、定期的に情報システムの取扱い及びプライバシー保護に関する研修を行うこと。また、研修時のテキスト、出席者リストを残す。
3)当院の業務従事者は在職中のみならず、退職後においても業務中に知った個人情報
に関する守秘義務を負う。
監査
1)情報システムを円滑に運用するため、情報システムに関する監査を担当とる責任者(以下「監査責任者」という。) を置く。
2)監査責任者の責務は本規定に定めるものの他、別に定める。
3)監査責任者は院長が指名すること。
4)システム管理者は、監査責任者に毎年1回、情報システムの監査を実施させ、監査結果の報告を受け、問題点の指摘等がある場合には、直ちに必要な措置を講じる。
5)監査の内容については、情報システム管理委員会の審議を経て、院長がこれを定める。
6)システム管理者は、必要な場合、臨時の監査を監査責任者に命ずる。

その他
1)運用管理規定の改定については、改定毎に改版履歴をのこし、運用管理規定の公開についてはホームページ等で広く公開する。