○大田市立病院情報セキュリティ基本方針
令和6年10月1日
病院事業管理規程第42号
(目的)
1 IT技術の著しい進展により、医療分野においても医療情報システムの導入など電子化が急速に普及していることに伴い、情報漏えい等のリスクも高まっていることから、大田市立病院(以下「当院」という。)の保有する情報資産の機密性、完全性及び可用性を維持するため、当院が実施する情報セキュリティー対策について基本的な事項を定めることを目的とする。
(位置付け)
2 この基本方針及び情報セキュリティ対策基準をもって、大田市立病院情報セキュリティポリシーとする。
(定義)
3 この基本方針において用いる用語の定義は次のとおりとする。
(1) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
(2) 情報システム コンピュータ、ネットワーク及び電磁気的記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報資産 ネットワーク及び情報システムの開発と運用に係るすべての情報並びにネットワーク及び情報システムで取り扱うすべての情報をいう。
(4) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(5) 総合医療情報システム(以下「HIS」という。) 市立病院で運用する電子カルテシステム及び電子カルテシステムと接続する部門システム並びに接続機器など診療情報を取り扱うシステムをいう。
(6) インターネット系情報システム HISを除くインターネットに接続された情報システム及びその情報システムで取扱うデータをいう。
※ 医師及び学生が使用するDr系とそれ以外の職種が使用する事務系並びに一般利用者が使用するオープン系の3系統のシステムがある。
(7) 機密性 情報に関して正当な権限を持った者だけが、情報にアクセスできること。
(8) 完全性 情報に関して破壊、改ざん又は消去されていないこと。
(9) 可用性 情報に関して正当な権限を持った者が、必要時に中断することなく、情報にアクセスできること。
(10) 病院情報システム HISとインターネット系情報システムの両方を含め当院の情報を取り扱う全てのシステムをいう。
(適用範囲)
4 この基本方針の適用範囲は、HISで取り扱う電子情報だけでなく、HISへ入力する前の紙媒体の情報等、市立病院で扱う全ての医療情報及びインターネット系情報システムで取り扱う電子情報とし、適用対象者は、当院に勤務する全職員(雇用形態、職位等を問わない。)とする。
(HIS運用の基本原則)
5 当院のHISは、次に掲げる基本原則により運用する。
(1) 保存義務のある情報の電子媒体による保存については、情報の真正性、見読性及び保存性を確保すること。この場合において、情報の真正性、見読性及び保存性の確保とは、厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令(平成17年厚生労働省令第44号)第4条第4項第1号、第2号、第3号にそれぞれ対応する措置をいう。
(2) HISの利用にあたっては、守秘義務を遵守し、利用者の個人情報を保護すること。
(3) HISへのコンピュータウィルスの侵入及び外部からの不正アクセスに対して必要な措置を講ずること。そのため、原則として、ソフトウェアのインストール及び私物USBメモリなどの外部記憶媒体の接続を禁止すること。
(通常運用責任と事後責任)
6 病院情報システムの運用に当たっては、当院セキュリティポリシーに従い適正な管理を行うとともに、定期的に運用管理全般の見直しを行わなければならない。また、何らかの不都合な事態が生じた場合は、その事実を速やかに公表し、再発防止策を含む適切な対策を速やかに講じなければならない。
(組織体制)
7 病院情報システムの適正な運用を図るため、次の職及び組織を置く。
(1) 病院情報システム運用責任者及び個人情報保護責任者:病院情報システムの運用及び個人情報の保護に関する最終責任者であり、大田市立病院長(以下「院長」という。)をもって充てる。
(2) 病院情報システム管理者:病院情報システムを円滑に運用するための管理責任者であり、院長が指名する者をもって充てる。
(3) 総合医療情報システム部門管理者:HISに接続する各部門システムの責任者であり、それぞれの部門の管理責任者をもって充てる。
(4) 病院情報システム監査責任者:病院情報システムの適正な運用を図るため、定期的及び臨時的な監査を行う責任者であり、院長が指名するものをもって充てる。
(5) システム管理委員会:HISに関し必要な事項を審議するため設置するものであり、病院情報システム管理者を委員長とし、その運営については別に定める。
(情報の管理)
8 病院情報システムで取り扱う情報については、情報の取得から利用・保管・廃棄までの流れに沿ったリスク分析を実施し、そのリスクに対応した取扱い方法について規程を定めるなど、適切に管理運用しなければならない。
(保管期間)
9 HISで取り扱う情報の保管期間は、それぞれ該当する法令に定める保管期間を基本として別に定める。また、医療情報システムへのアクセスログについては、その記録を5年間保管しなければならない。
(使用者識別)
10 HISの使用に当たっては、使用者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止するための措置を講じなければならない。
(標準規格等)
11 HISにおいて用いられる各種規格については、医療情報システムの安全管理に関するガイドライン(令和5年5月厚生労働省)に掲載されている標準規格等に可能な限り準拠するものとし、その改訂状況を常に確認して、整合性を維持するよう努めなければならない。
(教育)
12 個人情報を扱う当院の職員は、情報セキュリティの重要性と、個人情報の適切な取扱い及び安全管理について、定期的に意識面及び技術面の向上を目的とした教育研修を継続的に受けなければならない。
(監査)
13 病院情報システムの適正な運用を維持するために、定期的に内部監査を実施し、その結果を病院情報システム運用責任者に報告するものとする。この場合において、問題点の指摘等があった場合は、病院情報システム運用責任者は、直ちに必要な措置を講じなければならない。
(改訂)
14 この基本方針を改訂する場合は、システム管理委員会及び病院情報システム運用責任者の承認を受けなければならない。
(問い合わせの窓口)
15 病院情報システムの運用に関して、利用者からの質問、問い合わせに応じる担当窓口を設置する。
附則
1 この規程は、令和6年10月1日から施行する。
2 病院総合情報システム運用管理規定(平成19年4月1日制定)は、廃止する。