安全管理措置についてのつづきです。
前回記事はこちら→
"http://infm.exblog.jp/963035">http://infm.exblog.jp/963035
3.組織的な安全管理対策について
(1)職員、従業者の責任体制を明確にし、具体的な取り組みをすすめるための管理者、監督者や委員会を設置します。
・システム運用責任者の設置および担当者の限定をする
(2)安全管理対策の規定等の整備(文章化)と運用をすすめます。
(3)医療情報取扱い台帳の整備します。
(4)個人データの漏洩等の問題が発生したときの報告、連絡体制を整備します。
(5)安全管理対策の評価、見直しおよび改善をすすめます。
4.物理的な安全管理対策について
(1)入退館、入退室の管理・電子カルテシステムのクライアントPCが設置してある区域への入退室管理は、名札等の着用を義務づけ、
台帳等に記入することによって入退室の事実を記録します。
(2)機器・装置の固定、盗難に対する予防措置・盗難防止用のチェーン設置、サーバには地震対策用の固定をします。
(3)窃視の防止・コンピュータのロック、スクリーンセーバーによるロックを行います。
※医療機関のクライアントPCは多くが共用使用なので、
クライアントPCのユーザ名固定になっていることも多いと思います。クライアントPCに最低限パスワードをつけることで、
コンピュータのロックはある程度効果があると考えます。
※スクリーンセーバーは、
電子カルテシステムの機能として持っていることが推奨されます。電子カルテシステム機能として持つことで、
ユーザIDとパスワードの認証ができますから、クライアントPCのようにユーザ名固定、パスワード固定の運用に比べ、
認証セキュリティーレベルがあがると考えます。
5.技術的な安全管理対策について
(1)ID、パスワードによる認証の強化・ユーザID、パスワード認証の技術面、運用面での強化が必要になります。
・特に、空パスワード、ユーザIDや氏名などを使用するパスワード等は禁止しし、英数大小文字すべて使用し、
6文字以上のパスワードを期間限定で使用します。これらの運用をシステムがチェックできる仕組みが当然必要になります。
(2)アクセス権限の管理・情報へのアクセス設定は、Need to Know(知る必要がある人だけ知る)を原則とします。
・一括でアクセス権限が管理できるシステムが必要になります。
(3)アクセスの記録・電子カルテシステムは記録したときにタイムスタンプや認証情報のログをとりますが、記録を見たこと、
印刷したこと、ログイン、スクリーンセーバーロックの解除なども含めて操作上のすべてのログが必要になります。
・電子カルテシステムとは別に、WindowsなどのOSの機能に対して安全管理も必要です。例えば、
Windowsの機能であるコンピュータのロックはWindows側を監視しないとわかりませんから、
電子カルテシステムからログをとることは困難です。Officeソフトの使用などもすべて管理するには、
別のシステムを導入するしかありません。 また、忘れがちなのは、プリントスクリーン(画面コピー)で、これのログをのこせるものは、
まだ少ないようです。
(4)ウイルス対策・ウイルス対策システムの導入
・Windowsセキュリティパッチの実施
・保存用デバイスの使用限定
6.人に対する安全管理
(1)職員について
・雇用形態を問わず、雇用契約時に、従業者の退職後も含めた守秘・非開示契約を締結します。
・教育訓練を行います。
(2)事務取扱委託業者の監督および守秘義務契約
・すべての委託業者には、個人情報保護に関する対策および契約を条件にします。
7.情報の破棄について
(1)情報種別毎の破棄の手順を定める
・診療の中で発生した印刷物や請求事務上でレセプト予備点検用に印刷したものなど、把握するすべての情報種別で、
具体的な廃棄の方法を含めて明確に示す必要があります。
・クライアントPCの廃棄時には、ハードディスクの初期化もしくは、物理的破壊を行います。・
運用管理規定に不要になった個人情報を含む媒体の廃棄を定める規定をつくる。
8.情報システムのカスタマイズ、保守について
・情報システムの保守を委託している場合は、委託業者との守秘義務契約は必須となります。
・オンライン保守の場合は、セキュリティについての運用管理やデータのアクセスの記録をつけて、監査できるようにします。
9.外部と診療情報を交換する場合の安全管理
(1)通信回線による伝送・暗号化
(2)オンライン保守・機密保持契約をかならず結ぶ。
(3)外部に保存する際の基準・安全管理・危機管理上バックアップデータを保存する場合の運用管理について
その他、受付での呼出や、病室入口の患者の名札の掲示については、
取り間違え防止などの安全な医療の推進のために必要という面もあるので、患者さんの希望を聞いて配慮していくことが望ましいと考えます。