医療情報システム運用管理規定を知りたい

• 医療情報システムの安全管理に関するガイドライン第6.0版に沿って求められる医療情報システム運用管理規程を知りたい

• 「医療情報システム運用管理規定ひな型」以降の文章をコピーいただき、規定を作成ください

医療機関が定めるべき規程類ないし文書体系については、経営管理編 [Governance]、企画管理編 [Management]およびシステム運用編 [Control]に記載されています。特に運用管理規程については具体的な要請が記載されております：

• 「施行通知」では、電子カルテにおける記録の確定に関して、記録の確定、更新履歴、代行入力などに関する利用者の識別や権限等の機能の必要性を定めている。 企画管理者は、運用管理規程等にこれらの内容を含めるほか、担当者に対して、運用管理規程等に定めた内容に対応する措置を医療情報システムに反映するよう指示し、管理する必要がある。

• 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な保管及び取扱いを行うよう関係者に周知徹底するとともに、教育を実施すること。

• 医療情報システムが情報を保存する場所（内部、可搬媒体）を明示し、その場所ごとの保存可能容量（サイズ）、期間、リスク、レスポンス、バックアップの頻度や方法等を明確にすること。これらを運用管理規程に定め、その運用を関係者全員に周知徹底すること。

  • システム運用担当者は、バックアップについては、企画管理者が運用管理規程等に定めたルールに基づいて、適切に確保し、非常時に利用できるよう管理することが求められる。運用管理規程では、バックアップ頻度、方法等を明らかにすることとされているが、非常時に利用できることを想定し、「１１．１ 通常時における運用対策」に示すバックアップ対応を、非常時の事象発生原因に応じて行うことが求められる。

• 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いないことを運用管理規程等に含めること。また、やむを得ず医療情報を用いる場合には、漏洩等が生じないために必要な対策を講じる旨を示し、その具体的な手順の策定を担当者に指示すること。

• 情報機器、ソフトウェアの品質管理に関する対応を運用管理規程で定めるとともに、具体的な手順の作成と実施を担当者に指示すること。

• （BYODを用いる場合）運用による対策として、運用管理規程によって利用者による OS の設定変更を禁止し、かつ安全性の確認できないアプリケーションがモバイル端末にインストールされていないことを管理者が定期的に確認すること等、適切な対策を選択・採用し、十分な安全性が確保された上で行う必要がある。

なお以下についても定められておりますが、当文書作成時点（2025年5月）でHenryが関係機能を提供していない、あるいはHenryが提供する機能ではないため、このひな形の対象には含めないものとします。他システムで関連機能が利用されている場合は運用管理規程に含めることをご検討ください。

• 紙媒体で作成した医療情報を含む文書等をスキャナ等で読み取り、電子化する場合には、これに必要な情報機器等の条件や手順等を運用管理規程等に定めること。

• 紙媒体で作成した医療情報を含む文書等をスキャナにより電子化する場合、スキャナによる読み取りに係る責任を明確にするため、作業責任者（実施者又は情報作成管理者）が電子署名法に適合した電子署名を遅滞なく行う旨を、運用管理規程等に定めること。

• 診療等の都度スキャナ等で電子化して保存する場合、情報が作成されてから又は情報を入手してから一定期間以内にスキャンを行うことを運用管理規程等に定めること。

• 企画管理者は、運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存を行う場合、以下の措置を講じること。

  • 情報作成管理者が、スキャナによる読み取り作業が適正な手続で確実に実施される措置を講じる旨を運用管理規程等に定めること。

• （診療録等をスキャナ等により電子化して保存する場合の共通要件）企画管理者は、このような場合の手順等や情報機器等の条件について、医療に関する業務等に支障が生じることのないことを確認しつつ整理し、運用管理規程等に定めることが求められる。

• （電子カルテシステム等で PC 等の汎用入力端末により記録が作成される場合）一定時間経過後に記録が自動確定するような運用の場合は、入力者及び確定者を特定する明確なルールを運用管理規程に定めること。

• （電子カルテシステム等で PC 等の汎用入力端末により記録が作成される場合）確定者が何らかの理由で確定操作ができない場合における記録の確定の責任の所在を明確にすること。例えば、医療情報システム安全管理責任者が記録の確定を実施する等のルールを運用管理規程に定めること。

• IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程を定めること。

• （臨床検査システム、医用画像ファイリングシステム等、特定の装置又はシステムにより記録が作成される場合）運用管理規程等に当該装置により作成された記録の確定ルールを定義すること。その際、当該装置の管理責任者や操作者の氏名等の識別情報（又は装置の識別情報）、信頼できる時刻源を用いた作成日時を記録に含めること。

経営管理編 [Governance]に以下の記載があるとおり、運用管理規程は各医療機関の実態に合わせた運用管理規程が必要となるためです：

具体的な情報セキュリティ対策の整備に当たっては、自医療機関等の実態を踏まえて、実際に運用可能な内容を整備することが求められる。例えば、他の医療機関等で策定された運用管理規程やアクセス管理規程等をそのまま自医療機関等の規程等に転用したとしても、実態と合致していない場合、情報セキュリティ対策の運用ルールが適切に示されていないことになり、却って情報セキュリティリスクが増大する危険性が生じる。また、極端に厳格な内容の規程類を整備しても、実際の運用が困難である場合には、実質的には死文化してしまうこととなり、有効な対策とはならない可能性がある。

規程類の整備に際しては、参考資料を利用する場合でも、実態との整合性を図ることが求められ、実際に運用可能なものであって、適切な内容が記載されたものを整備する必要がある。

このひな形では罰則を定めておりません。就業規則やその他ルールとの整合性を考慮したうえで、必要であれば定めてください。

1. この規程はXX病院（以下「本院」という）の医療情報を適正に保存し安全かつ合理的に活用するために必要な、医療情報システムで使用されるハードウェア、ソフトウェアおよびその運用全般についての取り扱いに必要な事柄を定める。

2. この規程は以下のガイドラインや医療法施行規則で求められる医療情報システムの安全管理ならびにサイバーセキュリティ対策を維持管理するために必要な事柄を定める。

   1. 医療情報システムの安全管理に関するガイドライン 第6.0版

   2. 令和５年厚生労働省令第 20 号

1. 医療情報システム

   1. 医療情報システムとは、医療機関等のレセプト作成用コンピュータ（レセコン）、電子カルテ、オーダリングシステム等の医療事務や診療を支援するシステムだけでなく、何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するようなコンピュータや携帯端末も範疇として想定する。また、医療情報が通信される院内・院外ネットワークも含む。

      この定義は医療情報システムの安全管理に関するガイドラインに付属のQ&Aから引用しています

2. 医療情報システム安全管理責任者

   1. 情報セキュリティ対策に関する統制の実効性を確保するために、安全管理を実行する責任者で、経営者の中から任命される。

      病院規模に応じて経営者ではないシステム管理者等が医療情報システム安全管理責任者に任命されることも、医療情報システムの安全管理に関するガイドラインでは想定されています。

   2. 医療情報システムの安全管理に関するガイドライン 第6.0版（概説編）ないし同　第6.0版（経営管理編）の内容を踏まえて、医療情報システム運用責任者や企画管理者に対して必要な指示を出す。

3. 企画管理者

   1. 医療情報システムの安全管理を行うために必要な運用管理の管理責任者を指す。ここでいう「運用管理」には、安全管理のうち「組織的な対応」と「技術的な対応」のいずれをも含んだものである。

   2. 医療情報システムの安全管理に関するガイドライン 第6.0版（概説編）ないし同　第6.0版（企画管理編）の内容を踏まえ、経営層の指示を受けて、適切な対応をシステム運用担当者に指示、管理する。

   3. 企画管理者は、本規定を定め、また本規程等に定めた内容に対応する措置を医療情報システムに反映するよう指示し、管理する。

4. 医療情報システム運用責任者

   1. 医療情報システムの安全管理に関するガイドライン 第6.0版（概説編）ないし同　第6.0版（システム運用編）の内容を踏まえ、経営層や企画管理者の指示を受けて、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を実施する。

5. 医療情報に関する管理責任者

   1. 医療情報システムで扱われる各医療情報に関して管理責任を負う。

   2. 部門システムで管理される医療情報については部門に管理責任者を配置する。

   3. 企画管理者に対して管理状況を定期的に報告する。

6. 利用者

   1. 医療情報システムの利用者となる本院の従業員を指す。

   2. 本規定および医療情報システム安全管理責任者や企画管理者が定めた従業員教育に基づいた医療情報システム活用を行う。

1. 本規定の対象システム

   1. 本規定の対象システムは、本院で用いる電子カルテシステム、オーダエントリシステム、レセプトコンピュータ、各部門システムである。また従業員間の連絡に用いるグループウェアないしチャットツールも対象とする。

      グループウェアやチャットツールで医療情報を扱わない整理とする場合は本規定の対象から外れますが、その場合はグループウェアやチャットツールで医療情報を扱わないことを別途規程にて定めてください。

2. 本規定の対象となる情報

   1. 対象システムで扱う情報全般を対象とする。

   2. 対象システムの扱う情報については、そのシステムごとに医療情報に関する管理責任者を置き、別途定義と安全管理上の重要度の分類を行わせ、リスク分析の結果を表に記入し保管する。

      よくあるリスク例としては以下のようなものが挙げられます。それぞれリスクマトリクスを作るなどして重要度を分類します。医療提供者が起こした個人情報漏洩の事故原因に関する研究（大分県立看護科学大学）も参考にしてください。

      ① 医療情報システムに格納されている電子データ

      （a）権限のない者による不正アクセス、改ざん、毀損、滅失、漏えい

      （b）権限のある者による不当な目的でのアクセス、改ざん、毀損、滅失、漏えい

      （c）コンピュータウイルス、マルウェア、ワーム等様々な形態・呼称を持つ不正ソフ

      トウェア（以下「不正ソフトウェア」という。）や標的型メール等を用いたサイ

      バー攻撃等による不正アクセス、改ざん、毀損、滅失、漏えい

      ② 入力の際に用いたメモ・原稿・検査データ等（院内で医療情報を「どこで/だれが/どのように/なんのために扱っているのか」を整理）

      （a）メモ・原稿・検査データ等の覗き見

      （b）メモ・原稿・検査データ等の持ち出し

      （c）メモ・原稿・検査データ等のコピー

      （d）メモ・原稿・検査データの不適切な廃棄

      ③ 個人情報等のデータを格納したノートパソコン等の情報端末

      （a）情報端末の持ち出し

      （b）ネットワーク接続による不正ソフトウェアによるアクセス、改ざん、毀損、滅失、

      漏えい

      （c）情報端末に格納されたデータの漏えい

      （d）情報端末の盗難、紛失

      （e）情報端末の不適切な破棄

      ④ データを格納した可搬媒体等

      （a）可搬媒体の持ち出し

      （b）可搬媒体のコピー

      （c）可搬媒体の不適切な廃棄

      （d）可搬媒体の盗難、紛失

      （e）可搬媒体接続による不正ソフトウェア感染

      ⑤ 参照表示した端末画面等

      （a）端末画面の覗き見

      ⑥ データを印刷した紙やフィルム等

      （a）紙やフィルム等の覗き見

      （b）紙やフィルム等の持ち出し

      （c）紙やフィルム等のコピー

      （d）紙やフィルム等の不適切な廃棄

      上記に加え「置き忘れ」「誤送付・誤配布・郵送中の事故」「メール誤送信」「設定ミス」なども検討する。

1. 医療情報システム安全管理責任者の任命

   1. 本院に医療情報システム安全管理責任者を置き、院長をもってそれに充てる。

      前述のとおり、病院規模に応じて経営者ではないシステム管理者等が医療情報システム安全管理責任者に任命されることも、医療情報システムの安全管理に関するガイドラインでは想定されています。

2. 企画管理者の任命

   1. 本院に企画管理者を置き、医療情報システム安全管理責任者が指名する。あるいは医療情報システム安全管理責任者が兼任する。

3. 医療情報システム運用責任者の任命

   1. 本院に医療情報システム運用責任者を置き、企画管理者が指名する。

4. 医療情報システム運用担当者の限定

   1. 医療情報システム運用担当者は一部従業員が担当するものとし、その責務や権限を広く利用者に付与することがあってはならない。

1. 企画管理者の責務

   1. 企画管理者は定期的に医療情報システム運用責任者から管理状況の報告を受け、リスク分析結果を更新し、判明した課題に対して必要な措置を講じなければならない。

   2. 企画管理者は医療情報に関する管理責任者や医療情報システム運用責任者からの問題点の報告を受けた場合、判明した課題に対して必要な措置を講じなければならない。

2. 運用責任者の責務

   1. 運用責任者は、医療情報システムの機能が支障なく運用される環境を整備しなければならない。

   2. 運用責任者は、監査責任者に監査を実施させ、その結果の報告を受けて、問題点の指摘等がある場合には、直ちに必要な措置を講じなければならない。

3. 運用担当者の責務

   1. 医療情報システム運用担当者は医療情報システム運用責任者の監督の元、利用者のアカウント管理やその権限管理、その他情報システムの保守業務を実施する。

1. インシデント発生への供え

   1. 医療情報システム安全管理責任者は、インシデント発生時における組織内と外部関係機関（事業者、厚生労働省、警察等）への連絡体制図を作成し本院内に周知する。

      連絡先については厚生労働省の「医療分野のサイバーセキュリティ対策について」、「厚生労働分野における個人情報の適切な取扱いのためのガイドライン等」ないし「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を参照してください。

   2. 医療情報システム安全管理責任者は、緊急時及び災害時の連絡・復旧体制並びに回復手順をマニュアルに定め文書化し、利用者に周知のうえ、災害が生じても利用可能な状態におく。

      医療情報システムの安全管理に関するガイドライン 5.2版（旧版）に添付された「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」も参考にしてください。

      「障害が生じても利用可能」とは、すなわち電源が得られなくなったり平時利用しているインターネットが接続不能になったりした場合でも利用できることを指します。緊急時に利用する電源や回線が確保できない場合は、印刷して各部署に保管することも検討してください。

   3. 医療情報システム安全管理責任者は、サイバー攻撃を想定した事業継続計画（BCP）を別途策定する。

   4. 医療情報システム安全管理責任者は、マニュアルをもとに災害の発生を想定した訓練を、年1回以上実施する。

2. 従業員の教育

   1. 医療情報システム安全管理責任者は、マニュアルをもとにシステム利用者が守るべき運用についての教育と理解度確認を、利用者が配属されたタイミングで実施する。

   2. 医療情報システム安全管理責任者は、マニュアルをもとにシステム利用者が守るべき運用についての教育と理解度確認を、年1回以上定期的に実施する。

3. 窓口の設置

   1. 医療情報システム安全管理責任者は、医療情報システムに関する苦情、相談等を受け付ける窓口を設置するものとし、その運用等については、別に定める。

4. 監査の実施

   1. 運用責任者は、システム構成やソフトウェアの動作状況に関する内部監査を年1回以上定期的に実施し、その結果を企画管理者に報告する。

5. 動作確認

   1. 医療情報システムの動作確認や保守においては、原則として個人情報を含む医療情報を用いずにダミーの情報を用いる。

   2. 利用者はやむを得ず個人情報を含む医療情報を用いる場合、運用責任者に事前に相談しなければならない。相談を受けた運用責任者は漏洩等が生じないために必要な対策を講じ、その具体的な手順の策定を運用担当者ならびに相談者に指示する。

1. ユーザアカウントの発行

   1. OSを含む各システムの利用に必要なユーザアカウントは、従業員ひとりに対してひとつ割り当てる。複数の従業員がひとつのアカウントを共有することは避ける。

2. ユーザアカウントの剥奪

   1. ユーザアカウントを持った従業員が異動、休職、退職によってユーザアカウントを必要としなくなった場合、医療情報システム管理責任者はすみやかにそのユーザアカウントに対するログイン権限を剥奪する。

3. ユーザアカウントの権限

   1. 各ユーザアカウントに対して、業務上必要な最低限の権限を付与する。

   2. ユーザアカウントを持った従業員が異動、休職、退職によって権限を必要としなくなった場合、医療情報システム管理責任者はすみやかにそのユーザアカウントの不要となった権限を剥奪する。

4. ユーザアカウントの認証

   1. 可能な限り2要素認証を用いる。

   2. 認証にパスワードを用いる場合、容易に類推できない英数字と記号を混在させた8桁以上のパスワードを使用しつつ、その定期的な変更を行う。ただし利用するパスワードが 13 文字以上のランダムな設定がなされており、パスワード管理の安全性などが担保されているシステムを用いている場合には、パスワードの定期的変更は必ずしも求められない。

      医療機関におけるパスワード管理の考え方は、医療情報システムの安全管理に関するガイドラインFAQに詳細が記載されています。

   3. 認証に用いるパスワードや物理デバイスは個人間で貸し借りをせず、必ず各従業員固有のものを用いる。

5. 代理入力

   1. とある従業員Aの代理として従業員Bが入力を行う場合、従業員Aのユーザアカウントを用いるのではなく、従業員Bのユーザアカウントに代理入力権限を付与することでこれを行う。

      時間経過による自動承認などの機能を用いる場合、誰の責任のもとに承認を行うのかを定める必要があります。

6. アクセスログ

   1. すべての医療情報システムにおいてアクセスログを取得し、10年間これを保存する。

      保管年数については法務担当者とご相談のうえ決定されることをおすすめします。Henryでは5年間保存としております。

   2. アクセスログが不用意に削除・改変されないように、従業員が用いるアカウントの権限を管理する。

7. データの保存場所

   1. データは原則として国内法が及ぶ国内に置かれたサーバに保存する。

   2. 国外のサーバにデータを保存する場合、バックアップを定期的に国内に置かれたサーバに転送することで、国外のサーバが予期せぬ事態により利用できなくなった場合に備える。

8. 情報機器ならびにソフトウェアの品質管理

   1. 運用責任者は、本院で調達する情報機器ならびにソフトウェアについて、管理ないし情報セキュリティの維持に最低限必要な調達基準を別途定め、これを運用担当者に提示する。

   2. 運用責任者は、本院で利用する情報機器ならびにソフトウェアについて、その品質の維持に関する対応を別途定め、これを運用担当者に提示する。

9. ハードウェアの管理

   BYODをする場合はその管理についての記載が必要です。

   1. 運用責任者は、本院が管理するすべてのサーバ、端末 PC、ネットワーク機器は台帳管理を行い、OSが最新の状態であるか、ファームウェアやアンチマルウェアツールの定義ファイルが更新されているか、などを管理する。

   2. 運用責任者は、本院が管理するすべてのネットワーク機器にセキュリティパッチ（最新のファームウェアや更新プログラム）を適用する。

   3. 運用責任者は、本院が管理するすべてのネットワーク機器に接続元制限を実施して業務上不要な接続

   4. 運用責任者は、本院が管理するすべてのサーバや端末PCなどにおいて、バックグラウンドで動作している不要なソフトウェア及びサービスを停止する。

   5. 運用責任者は、本院に設置されているが本院の管理下にないサーバ、端末 PC、ネットワーク機器については、その管理者（事業者）から毎月管理台帳を提出させ、本節 ハードウェアの管理 で示された状態が維持されていること、また事業者が院内ネットワークに接続することがあるか、そのためにどの機器を利用しているかを確認する。

10. インシデント発生への備え

    1. 運用責任者は、インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を第6条: 組織的安全対策 で定めた訓練において確認する。

    2. 運用責任者は、各事業者の責任分界点を明確にし、インシデント発生時の一次対応を本院で実施できる状態を維持する。

    3. 運用責任者は、医療情報システムを通常運用できないときに備え、それぞれ医療情報システムの縮退運用及び非定常時運用の規程を別に定め、運用担当者ならびに利用者に周知のうえ、常に利用可能な状態にしておかなければならない。

    4. 運用責任者は、事業者から製造業者/サービス事業者による医療情報セキュリティ開示書（MDS/SDS）の提出を受け、当院の医療情報システム運用管理規程を満たすことができるか確認する。

全体的に厳しい方に倒しています。端末間データ移動などで恒常的な媒体の利用が想定される場合は、実際の運用にあった規程を定めてください。

1. USBメモリやCD-ROMなどの記録媒体は、原則としてこれを利用しない。

2. USBメモリやCD-ROMなどの記録媒体が必要と思われる業務が報告された場合、運用責任者は当該部門の医療情報に関する管理責任者とともに代案を検討する。

3. 運用責任者は、記録媒体の利用について、利用することによるリスク分析を行ったうえで、利用者に対して一次的な許可を出すことができる。このとき媒体がいつ・誰に・何の目的で・どのような情報を扱うために使われたかを台帳管理しなければならない。

4. 運用責任者は、記録媒体が暗号化され、第三者によって内容が読み取られることがないようにする。

5. 運用責任者は、記録媒体を破棄する場合に、破棄された媒体から情報の再生が不可能な状態とし、その手段、実施者ないし日時の記録を残す。

6. 運用責任者は、記録媒体の廃棄業務を事業者に委託する場合も、前項で定めた条件を満たす方法で廃棄を行ったことを、事業者に書類で提出させなければならない。

7. 運用責任者は、医療情報を保管する場所を管理し、その場所ごとの保存可能容量（サイズ）、期間、リスク、レスポンス、バックアップの頻度や方法等を明確にすること。

8. 事業者が管理する記録媒体および記録機器においても、本条を適用する。

全体的に厳しい方に倒しています。研究などにより恒常的な持ち出しが想定される場合は、実際の運用にあった規程を定めてください。

1. 本院の保有する医療情報およびそれを取り扱う情報機器の院外への持ち出しについては、原則として行わない。なお利用者が本院内において医療情報をクラウドサービスに保管する、あるいはクラウドサービスから取り出す場合は、本院外への持ち出しとしてはみなさない。

2. 運用責任者は、院外に持ち出す必要のある医療情報および情報機器について、持ち出すことによるリスク分析を行ったうえで、利用者に対して一次的な持ち出し許可を出すことができる。このとき医療情報や情報機器がいつ・誰に・何の目的で・どのような情報を扱うために持ち出されたかを台帳管理しなければならない。

3. 利用者が本院の外部から医療情報にアクセスする場合、本院の管理下にある情報機器のみによってアクセスを行い、またダウンロードした情報は利用が終わりしだい速やかに削除しなければならない。

4. 事業者が情報および情報機器を持ち出す場合、別途合意のない限り、事業者から運用責任者に対して事前に許可を得なければならない。これは事業者が保守の目的で医療情報にアクセスする場合も同様である。

1. 企画管理者は、業務上において情報漏洩等のリスクが予想される場合、運用管理規程の見直しを含めた予防対策を行わなければならない。

2. 企画管理者が本規定を更新する場合、医療情報システム安全管理責任者の承認を得なければならない。

3. 企画管理者が本規定を更新する場合、施行前に利用者や事業者に対して新しい規定を提示するとともに、運用の実現に必要な教育の提供や調整を行うものとする。

1. この運用管理規程は、令和X年X月X日から施行する。