興部町例規集

○興部町国民健康保険病院医療情報システム運用管理規程

(平成27年7月3日訓令第34号)

第1章　総則

(目的)

第1条　この規程は、興部町国民健康保険病院(以下「当院」という。)の医療情報システム(以下「情報システム」という。)の安全かつ合理的な運用を図り、併せて法令に保存が義務付けられている診療録(診療諸記録を含む。)の電子媒体による運用の適正な管理を図るために必要な事項を定めることを目的とする。

(対象情報)

第2条　情報システムとは、当院で運用する電子カルテシステム及び電子カルテシステムと接続する部門システム並びに接続機器など診療情報を取り扱うシステムをいう。

2　管理対象となる情報は、情報システムで取り扱う電子情報だけでなく、情報システムへ入力する前の紙媒体の情報や、従業者の履歴書等全ての個人情報を適用対象とする。

第2章　管理体制

(管理者及び責任者)

第3条　当院に情報システム運用責任者(以下「運用責任者」という。)を置き、病院長あるいは病院長が指名した者を充てる。

2　情報システムを円滑に運用するため、情報システムに関する運用を統括する情報システム管理者(以下「システム管理者」という。)を置き、病院長が指名する。

3　各部門システムを円滑に運営管理するため、各部門に情報システム部門管理者(以下「部門管理者」という。)を置き、各部門の長をもって充てる。

(医療情報システム管理委員会の設置)

第4条　情報システムに関する取扱い及び管理に関し必要な事項を審議するため、病院長のもとに「医療情報システム管理委員会」(以下「委員会」という。)を設置する。

2　委員会の運営については、別に定める。

3　この規程の実施に関し必要な事項がある場合については、委員会の審議を経て、病院長がこれを定める。

(監査体制)

第5条　病院長は、情報システムを円滑に運用するため、公平、かつ、客観的な、立場にある情報システム監査責任者(以下「監査責任者」という。)を内部の者から指名し、監査の実施及び報告を行う責任及び権限を他の責任に関わりなく与え、業務を行わせなければならない。

(事故対策体制)

第6条　システム管理者は、緊急時及び災害時の連絡又は復旧体制並びに回復手順を定め、これを文書化し、利用者に周知し及び常に利用可能な状態にしておかなければならない。

(教育及び訓練体制)

第7条　システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知し及び常に利用可能な状態にしておかなければならない。

2　システム管理者は、情報システムの利用者に対し、定期的に情報システムの取扱い及びプライバシー保護に関する研修を行う。

第3章　管理者及び利用者の責務

(運用責任者の責務)

第8条　運用責任者の責務は次のとおりとする。

(1)　情報システムの機能要件に挙げられている機能が支障なく運用される環境を整備する。

(2)　患者又は利用者からの、情報システムについての苦情を受け付ける窓口を設ける。

(3)　監査責任者に監査を実施させ、監査結果の報告を受け、問題点の指摘等がある場合には、直ちに必要な措置を講じる。

(システム管理者の責務)

第9条　システム管理者の責務は次のとおりとする。

(1)　情報システムに用いる機器及びソフトウェアを導入するに当たって、システムの機能を確認する。

(2)　診療情報の安全性を確保し、常に利用可能な状態に置くものとする。

(3)　機器やソフトウェアに変更があった場合においても、情報が継続的に使用できるよう維持する。

(4)　情報システムの利用者の登録を、人事異動等による利用者の担当業務の変更等に併せて管理及び権限を規定し、不正な利用を防止する。

(5)　情報システムを正しく利用させるため、作業手順書の整備を行い利用者の教育と訓練を行う。

(6)　情報システムの安全管理の見直し及び改善の基礎として、運用責任者に情報システムの運用状況を報告する。

(監査責任者の責務)

第10条　監査責任者の責務は次のとおりとする。

(1)　監査責任者は、監査計画を立案し、監査を指揮し及び監査報告書を作成して運用責任者に報告する。

(2)　監査責任者は、情報システムの監査を円滑に実施するため、情報システムに関する監査を担当する監査員を置くことができる。

(3)　監査員の選定及び監査の実施においては、監査の客観性及び公平性を確保する。

(4)　監査員は自らの所属する部門を監査しない。

(部門管理者の責務)

第11条　部門管理者の責務は次のとおりとする。

(1)　部門管理者は、自部門のシステムの運用管理に責任を持つ。

(2)　部門管理者は、自部門のマスタを管理する。

(3)　自部門のマスタに変更又は追加が生じた場合には、速やかに書面をもって関連部署部門管理者並びにシステム管理者に提出する。

(4)　制度改正が生じる場合は、改正事項の解析とプログラム修正計画書をシステム委員会に提出し、承認を得る。

(5)　マスタの変更の際に、過去の情報に対する内容の変更が起こらない機能を備えること。

(利用者の定義と責務)

第12条　情報システムを利用できる者は、次の各号に掲げる利用資格者のうち、システム管理者が利用を許可した者とする。

(1)　当院の職員で医療業務に従事する者

(2)　研修登録医

(3)　診療従事者の許可を得ている者

(4)　その他システム管理者が必要と認めた者

2　利用者の責務は次のとおりとする。

(1)　利用者は、情報システムの情報の参照や入力(以下「アクセス」という。)に際して、認証番号やパスワード等によって、システムに自身を認識させる。

(2)　利用者は、自身の認証番号やパスワードを管理し、これを他者に利用させない。

(3)　利用者が、正当な認証番号及びパスワード等の管理を行わないために生じた事故や障害に対しては、その利用者が責任を負う。

(4)　利用者は、情報システムへの情報入力に際して、確定操作(入力情報が正しい事を確認する操作)を行って、入力情報に対する責任を明示する。

(5)　利用者は、与えられたアクセス権限を越えた操作を行わない。

(6)　利用者は、情報システム及び参照した情報を、目的外に利用しない。

(7)　利用者は、患者等のプライバシーを尊重し、職務上知ることが必要な情報以外の情報にアクセスしてはならない。

(8)　利用者は、法令上の守秘義務の有無に関わらず、アクセスにより知り得た情報を目的外に利用し、又は正当な理由なしに漏らしてはならない。この場合において、異動、退職等により職務を離れた場合においても同様とする。

(9)　利用者は、システムの異常を発見した場合は、速やかにシステム管理者に連絡し、その指示に従う。

(10)　利用者は、不正アクセスを発見した場合は、速やかにシステム管理者に連絡し、その指示に従う。

(11)　利用者は、離席する際は、窃視防止策を実施する。(ログアウト又はスクリーンロック等)

(12)　ウイルスに感染又はそのおそれを発見した場合は、ネットワークから端末を切り離すとともに、システム管理者へ連絡し、指示を仰ぎ、その指示に従う。

第4章　一般管理における運用管理事項

(利用者の登録及び認証)

第13条　利用者の登録及び認証は次のとおりとする。

(1)　利用者のユーザ認証は、ユーザIDとパスワードを用いる。

(2)　ユーザIDの付与は、個人単位とし共有することはない。

(3)　パスワードは5桁以上の英数記号を組合わせたものとする。

(4)　システム管理者は、情報システムの利用者の申請を受け、審査し、登録する。

(5)　システム管理者は、職員等の採用時、異動時及び退職時に合わせ、速やかにユーザの登録、変更又は利用終了日の設定等の措置を取る。

(6)　利用者が、パスワードを紛失し、情報システムの利用ができなくなった場合は、システム管理者へパスワードの初期化依頼を提出する。

(7)　システム管理者は、利用者からのパスワード紛失の申請書を受けときは、ユーザ登録の確認及びパスワードの初期化を行ない利用者へ知らせる。

(端末管理)

第14条　端末機器の管理は次のとおりとする。

(1)　盗難のおそれがある端末(ノートPC等)は、盗難防止用ワイヤーロックで固定するか、使用しない際は鍵の掛かる保管庫で管理する。

(2)　離席時など、特定の時間(5分以内)使用しなかった場合は、なりすましによる使用を防ぐため、パスワード付きスクリーンロック又は、自動ログオフ機能を設定する。

(3)　端末の使用に際しては、画面を廊下側に向けない、窃視防止フィルムを貼るなどの、窃視防止に努める。

(4)　私有のPCを持込み、院内LANに接続することは、原則禁止する。

(5)　システム保守のため委託先等の部外者が院内へPCを持込み院内LANへ接続する場合は、システム管理者に申請し、許可を得なければならない。

(6)　全端末の時刻情報はサーバ時刻と同期させる。

(ネットワーク管理)

第15条　診療情報等の個人情報にアクセスするための病院情報システムネットワーク(以下「院内LAN」という。)は、インターネット等の院外と情報交換ができるネットワークとは物理的に遮断する。

2　院内LANへ接続を行う場合は、利用者はシステム管理者に申請し、承認を得る。

(ソフトウェアの管理)

第16条　システム管理者は、情報システムで使用されるソフトウェアを、使用前に審査を行い、情報の安全性に支障がないことを確認する。

2　システム管理者はネットワークや可搬型媒体によって情報を受け取る機器について、必要に応じてこれを限定する。

3　システム管理者は定期的にソフトウェアのウィルスチェックを行い、感染の防止に努める。

(記録媒体の管理)

第17条　個人情報を記録した可搬型記録媒体(CD、DVD、USBメモリ等)は、施錠できるキャビネットに保管し、その所在を台帳に記録して管理する。

2　個人情報を可搬型記録媒体で授受する場合は、授受の記録を残す。

3　特に許可した場合を除き、データのバックアップ業務以外には外部記憶媒体への個人情報の複写を禁止する。

4　媒体使用時は、必ずウイルス等の不正なソフトウェアの混入がないか確認する。

(廃棄)

第18条　個人情報を記した媒体(紙媒体及び情報機器を含む。)の廃棄に当たっては、安全かつ確実に行われることを、システム管理者が作業前後に確認し、結果を記録に残す。

2　紙媒体の廃棄は、原則シュレッダーによる粉砕処理とする。大量に廃棄する場合などは、外部業者に委託することができるが、その場合は、廃棄証明書を受領するものとする。

3　電子媒体の廃棄は、原則粉砕処理とする。

4　PCのハードディスク等については、データの上書処理により既存データを書き換え、その後データを消去する。この場合において、データの消去処理を外部業者に委託することができるが、その場合は、消去証明書を受領するものとする。また、レンタル及びリース切れによるPCの返却等により処分する場合も、PC上の不要データの完全消去を行うこととする。

5　特に重要な情報を廃棄する場合は、必要に応じて立ち会うものとする。

(無線LANの管理)

第19条　無線LANを利用する際は、以下の措置を実施する。

(1)　システム管理者は、無線LANアクセスポイントの設定状態を適宜確認する。

(2)　システム管理者は、利用者以外に無線LANの利用を特定されないように設定する。(ステルスモード、ANY接続拒否、暗号化等)この場合において、暗号化にはWPA2/AES等を採用する。

(3)　不正アクセスの対策を施す。(少なくともSSID やMAC アドレスによるアクセス制限を行う)

(4)　不正な情報の取得を防止するため、通信を暗号化し情報を保護する。

(5)　電波を発する機器(携帯ゲーム機等)によって電波干渉が起こり得るため、無線LAN利用規則を院内関係者及び利用可能性のある入院患者へ説明をする。

(6)　その他無線LANのセキュリティ対策については、総務省発行の「安心して無線LANを利用するために」を参考にして対策を実施する。

第5章　サーバ管理における運用管理事項

(サーバの管理)

第20条　システム管理者は、情報システムの開発及び保守により情報システム機器やソフトウェア等を導入又は取替える場合には、システム要件を明確にするとともに、システムのセキュリティ要件を文書化しなければならない。

2　システム管理者は、情報システムのリプレース時のデータ移行や関連するデータを交換する場合には、以下の事項を確認しなければならない。

(1)　アクセス制御に関する要件の確認

(2)　データ入力の権限及び入力エラーとする要件及びエラー時の対処方法についての必要性の確認

(3)　データ変更及び削除権限、処理順序の制限、障害時の回復処理及び手順等の要件の確認

(4)　データ出力の方法、装置等に対する要件の確認

(5)　情報システムの重要度に応じた要件の確認

(6)　既存システムへの影響(サーバ、ネットワーク等)の有無の確認

(保安及び環境維持措置の管理)

第21条　運用責任者は、個人情報が保管されている機器の設置場所及び記録媒体の保存場所(以下「サーバ室等」という。)における火災、その他の災害及び盗難に備えて、非常電源装置、無停電装置、自動消火装置、監視カメラ及び入退制限装置などによる必要な保安措置を講じなければならない。

2　サーバ室等は、適切な温度、湿度等の環境により保持されなければならない。

3　システム管理者は、サーバ室の出入口は常時施錠管理し、その入退室を記録及び管理する。

(アクセス管理)

第22条　システム管理者は、職務により定められた権限によるデータアクセス範囲を定め、必要に応じてハードウェア及びソフトウェアの設定を行う。また、以下の内容に沿って、アクセス管理を行い、定期的に管理状況を運用責任者に報告をする。

(1)　情報区分とアクセス権限に基づくアクセスできる診療録等の範囲を定め、アクセス管理を行う。

(2)　ID、パスワード等により診療録データへのアクセスにおける識別と認証を行う。

(3)　IDには原則として管理者権限は付与しない。(ユーザ権限とする)ただし、サーバ管理のために必要な場合は、システム管理者の承認を得たうえで、管理者権限を付与する。(原則2名とする)

(4)　Administrator等のOSのディフォルトIDは使用せず、個別IDとする。

(5)　システム管理者は、情報システム及びデータへの使用状況を監視するため、以下の事項を含むアクセスログを取得する。

ア　利用者ID

イ　端末ID

ウ　操作の日時

エ　データへのアクセス結果(誰が、いつ、誰の情報に、どのようなアクセスをしたか)

(6)　システム管理者は、取得したアクセスログを定期的に検証し、問題がある場合は、速やかに措置を講じる。

(7)　取得したアクセスログは、情報システムの重要度に合わせ定期的(月1回以上)に検証し、問題のないことを確認しする。ただし、問題がある場合は、速やかに適切な措置を講じる。

(8)　アクセスログは、重要度に合わせ定めた方法、場所及び期間に従い保管する。

(9)　アクセスログを廃棄する場合は、第18条第3項の電子媒体の廃棄方法に準じて実施する。

[第18条第3項]

(10)　アクセスログは、特定の担当者以外アクセスできない仕組みとする。この場合において、アクセスログへのアクセス確認を別人が実施すること。

(データのバックアップ)

第23条　情報システムの重要度に応じて、システムファイル及びデータのバックアップを定期的に取得する。

2　バックアップの作業に当たる者は、その作業の記録を残し、システム管理者の承認を得る。

3　バックアップ媒体は、施錠できるキャビネット又は耐火金庫等に保管し、その所在を台帳に記録して管理する。

4　バックアップ媒体は1年間に1回新品に交換する。ただし、媒体に品質の劣化が予想される場合や、劣化原因と思われる障害が発生した場合は、直ちに新品に交換を行う。

5　システム管理者は、記録媒体及び機器のログを確認し、記録媒体の劣化や機器の不具合を確認する。この場合において、エラー又は警告のログが発見された場合は、直ちに新品の記録媒体に記録を複写すること。

6　情報が棄損した場合には、バックアップされたデータを用いて棄損前の状態に戻せることことを確認し、リストア手順を規定する。

(障害対策)

第24条　システム管理者は、病院情報システムに係る障害が発生した場合には、事態の掌握、収拾及び被害を最小限に止め、復旧作業の軽減、時間の短縮等を図るため、次の措置を講じなければならない。

(1)　緊急時及び災害時の連絡及び復旧体制並びに回復手順を定め、非常時においても参照できるような媒体に保存し保管する。

(2)　利用者に対しては、事故発生時には、速やかにシステム管理者に報告することを周知させる。

(3)　業務上において情報漏えいなどのリスクが予想されるものに対し、運用ルール等の見直しを実施する。

(4)　基幹システム以外の部門システムで障害が発生した場合は、当該部門の部門管理者に報告し、部門管理者は、部門システムの担当SEと連携して復旧対策を講じるとともに、障害内容をシステム管理者に報告する。

(5)　部門管理者は、障害内容が部門間インターフェイスの要因であると判断した場合は、関係部門に報告するとともに、システム管理者に報告し、復旧対策の指示を待つこと。

(6)　障害の状況に応じて、情報システムから伝票での運用に切り替え、通常業務の稼働に努めること。

第6章　業務委託の安全管理措置

(業務委託における安全管理措置)

第25条　情報システムの保守等に係る業務を当院外の所属者に委託する場合は、以下の措置を講じなければならない。

(1)　守秘事項を含む業務委託契約を結ぶ。

(2)　委託作業内容が個人情報保護の観点から適正にかつ安全になものかを確認する。

(3)　委託先が、許可無く個人情報を含むデータを組織外に持ち出すことは禁止する。

(4)　業務委託の契約書には、次に示す事項を規定し、個人情報の保護に努めなければならない。

ア　委託者及び受託者の責任の明確化

イ　個人情報の安全管理に関する事項

ウ　再委託に関する事項(再委託する事業者にも委託先と同等の義務を課すこと)

エ　個人情報の取扱状況に関する委託者への報告の内容及び頻度

オ　契約内容が遵守されていることを委託者が確認できる事項

カ　契約内容が遵守されなかった場合の措置

キ　事件又は事故が発生した場合の報告及び連絡に関する事項

ク　一連の委託業務終了後に関する事項(終了報告、確実にデータを消去する等)

ケ　保守要員のアカウント情報の管理に関する事項(適切に管理することを求める)

(委託作業報告の確認)

第26条　システム管理者は、業務委託における保守作業等について、以下のような確認を実施する。

(1)　保守要員用のアカウントの確認(保守要員個人の専用アカウントを使用すること)

(2)　保守作業等の情報システムに直接アクセスする作業の際には、作業者、作業内容及び作業結果を確認する。

(3)　保守契約における個人情報保護の徹底

(4)　保守作業の安全性についてログによる確認

(リモートメンテナンス時の安全管理)

第27条　外部の保守会社からリモートメンテナンスを受ける場合、相手の保守会社等、通信事業者、運用委託業者等との間で、責任分界点や責任の所在を契約書等で明確にする。

2　適切なアクセスポイントの設定、プロトコルの限定、アクセス権限管理等を行って不必要なログインを防止する。

3　上記契約状態が適切に維持管理されているか定期的に監査を行って確認する。

(モバイル端末等のアクセス管理)

第28条　外部からアクセスを許容する機器については別途定める規定に従ったものに限定し、規定には、以下の内容を定める。

(1)　医療機関等の内部のシステムに不正な侵入等を防止する技術的対策

(2)　外部からアクセスを許容する機器及びその状態

(3)　外部からアクセスを許容した機器が、その許容状態を保持しているのかを確認する手順

2　前項により許可された機器が、許可の際の状態を保持していることを定期的に確認すること。

第7章　情報及び情報機器の持ち出しについて

(情報及び機器の持ち出し禁止)

第29条　情報及び情報システムは、管理区域以外に持ち出してはならない。ただし、特段の事情により、システム管理者の許可を得た場合は、この限りではない。

2　前項ただし書による持ち出しの対象となる情報及び情報機器については、次のとおり安全策を講じ、最大限の注意をもって管理しなければならない。

(1)　持ち出す情報機器について起動パスワードを設定する。

(2)　持ち出す情報機器について、ウイルス対策ソフトをインストールしておく。

(3)　持ち出した情報を、別途定められている以外のアプリケーションがインストールされた情報機器で取り扱わない。

(4)　持ち出した情報機器には、別途定められている以外のアプリケーションをインストールしない。

(5)　持ち出した情報機器をネットワークや他の外部媒体と接続することを禁ずる。

(盗難及び紛失時の対応)

第30条　情報に対し暗号化及びアクセスパスワードの設定するなど、容易に内容を読み取られないよう措置を講じなければならない。

2　持ち出した情報及び情報機器の盗難又は紛失時には、速やかにシステム管理者に届出しなければならない。

3　届出を受け付けたシステム管理者は、その情報及び情報機器の重要度に従って対応しなければならない。

(職員への周知)

第31条　システム管理者は、情報及び情報機器の持ち出しについてマニュアルを整備し、利用者に周知し及び常に利用可能な状態にする。

2　システム管理者は、利用者に対し、情報及び情報機器の持ち出しについて研修を行う。

第8章　外部の機関と医療情報を交換する場合の措置

(外部接続におけるシステム管理者の事前承認)

第32条　外部機関と医療情報を交換する場合は、あらかじめシステム管理者の承認を得なければならない。

(ウィルスなどの脅威に対する対策)

第33条　システム管理者は、外部の機関と医療情報を交換するネットワークを構築する場合、セキュアな回線の利用やデータの暗号化等により、盗聴、ウィルス侵入、マルウェア、改ざん、妨害等の脅威を防止するための必要な対策を講じなければならない。

(安全性が確保されていないネットワークでの保守作業の禁止)

第34条　システム管理者は、安全性が確保されていないネットワークを経由して行う情報システムの保守作業等を許可してはならない。

(契約文書の管理と契約状態の維持管理)

第35条　外部の機関と医療情報を交換する場合、相手の医療機関等、通信事業者、運用委託業者などとの間で、責任分界点や責任の所在を契約書等で明確にする。

2　上記契約状態が適切に維持管理されているか定期的に監査を行って確認する。

第9章　災害等の非常時の対策

(非常時のシステム運用)

第36条　災害又はサイバー攻撃などにより一部医療行為の停止など医療サービス提供体制に支障が発生する非常時の場合は、医療サービスを提供し続けるための「非常時」と判断する仕組みや正常復帰時の手順などの運用マニュアルを別途定めるものとする。

第10章　教育と訓練

(マニュアルの整備)

第37条　システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知し及び常に利用可能な状態にしておかなければならない。

(研修の実施)

第38条　システム管理者は、情報システムの利用者に対し、定期的に情報システムの取扱い及びプライバシー保護に関する研修を行い、研修時のテキスト及び出席者リストを残しておかなければならない。

(人的安全管理措置)

第39条　当院の業務従事者は在職中のみならず、退職後においても業務中に知った個人情報に関する守秘義務を負うものとする。

2　法令上の守秘義務のある者以外を採用する場合は、雇用契約時に守秘及び非開示契約を締結しなければならない。

第11章　監査

(監査の内容)

第40条　監査の内容は、医療情報システム管理委員会の審議を経て、システム管理者がこれを定めること。

2　監査責任者は、年1回以上の頻度で情報システムの監査を実施し、監査結果をシステム管理者に報告すること。

3　システム管理者は、監査責任者から監査結果の報告を受け、問題点の指摘等がある場合には、直ちに必要な措置を講じなければならない。

4　システム管理者は、必要に応じて、臨時の監査を監査責任者に命ずることができる。

第12章　是正処置及び予防処置

第41条　システム管理者は、患者、システム利用者等からの苦情、緊急事態の発生、監査報告、外部審査機関等からの指摘で、システムの機能、運用状況等に問題がある場合には、問題に対する是正処置及び予防処置を確実に実施するための責任及び権限を定める手順を確立しまた実施しかつ維持することとし、その手順には、次の事項を含める。

(1)　問題の内容を確認する。

(2)　問題の原因を特定し、是正処置及び予防処置を立案する。

(3)　期限を定め、立案された処置を実施する。

(4)　実施された是正処置及び予防処置の結果を記録する。

(5)　実施された是正処置及び予防処置の有効性を確認する。

第13章　真正性の確保

(作成者の識別及び認証)

第42条　システム管理者は、情報システムの利用者の登録を管理し、またそのアクセス権限を規定するなど、不正な利用を防止しなければならない。

2　利用者は、自身の認証番号やパスワードを管理し、これを他者に利用させてはならない。

3　利用者は、情報の参照や入力に際して、認証番号やパスワード等によって、システムに自身を認識させなければならない。

4　利用者は、作業終了あるいは離席する際は、必ずログアウト操作を行わねばならない。

(確定手順と識別情報の記録)

第43条　利用者は、情報システムへの情報入力に際して確定操作を行い、入力情報に対する責任を明示しなければならない。

2　代行入力の場合は、入力権限を持つ利用者が最終的に確定操作を行い、入力情報に対する責任を明示しなければならない。

(更新履歴の保存)

第44条　システム管理者は、技術的に更新履歴を保管し、必要に応じて更新前の情報を参照する機能を持たせなければならない。

(代行操作の承認記録)

第45条　システム管理者は、代行者を依頼する可能性のある担当者に、確定の任務を徹底すると同時に適宜履歴の監査を行わねばならない。

(機器・ソフトウェアの品質管理)

第46条　システム管理者は、機器・ソフトウェアの品質維持のため、保守点検を行わなければならない。

第14章　見読性の確保

(情報の所在管理)

第47条　システム管理者は、定期的に情報の所在確認を行わなければならない。

(見読化手段の管理)

第48条　システム管理者は、電子保存に用いる機器及びソフトウェアについて、保存義務のある情報として電子保存された情報毎に見読用機器を常に利用可能な状態に置かなければならない。

(応答時間と処理速度の維持)

第49条　システム管理者は、応答時間の劣化がないように維持に努め、必要な対策をとらなければならない。

(システム障害対策)

第50条　システム管理者は、障害時の対応体制が最新のものであるように管理しなければならない。

2　システム管理者は、データバックアップ作業が適切に行われている事を確認しなければならない。

第15章　保存性の確保

(ソフトウェア・機器・媒体の管理)

第51条　システム管理者は、システムで使用されるソフトウェアをあらかじめ審査し、情報の安全性に支障がないことを確認しなければならない。

2　システム管理者は、システムの主要機器を入退室管理された場所に設置しなければならない。

3　システム管理者は、定期的にソフトウェアのウイルスチェックを行い、感染の防止に努めなければならない。

4　システム管理者は、システムの主要機器の設置場所に無水消火装置、漏電防止装置及び無停電電源装置等の保安設備を備えなければならない。

(不適切な保管又は取扱いによる情報の滅失及び破壊の防止策)

第52条　システム管理者は、新規の業務担当者に対する操作前教育を行わなければならない。

(記録媒体及び設備の劣化による読み取り不能又は不完全な読み取りの防止策)

第53条　システム管理者は、記録媒体や設備の劣化による読み取りエラーを防止するため、記録媒体に記録された情報が保護されるよう、別の媒体にも補助的に記録しなければならない。

(変更作業時における復元不能に対する防止策)

第54条　システム管理者は、機器、媒体及びソフトウェアの変更に当たっては、データ移行のための業務計画を作成し、移行作業の不備による復元不能を防止しなければならない。

第16章　相互運用性の確保

(システムの改修又は更新時における、データ互換性の確保策)

第55条　システム管理者は、標準的な規約(XML、HL7、DICOM 等)に従った形式での情報の入出力を義務づけること。

2　システム管理者は、機器やソフトウェアに変更があった場合においても、電子保存された情報が継続的に使用できるよう維持しなければならない。

第17章　スキャナ読み取り書類の運用

(スキャナ読み取りの対象にする文書の規定)

第56条　システム管理者は、スキャナ読み取りの対象にする文書をあらかじめ規定しておかなければならない。

(適切な精度のスキャナの使用)

第57条　システム管理者は、スキャナ読み取り電子情報と原本との同一性を担保できるよう、適切な精度のスキャナを導入し、適切な設定で運用しなければならない。

(スキャンするタイミング)

第58条　利用者は、スキャナ読み取りの必要な書類が発生した場合には、遅滞なくスキャナ取り込みを行わなければならない。

第18章　その他

(利用の制限及び禁止)

第59条　運用責任者は、利用者がこの規程に違反し、又は違反するおそれがあると認めるときは、医療情報システム管理委員会の審議を経て、システムの利用を制限し、又は禁止することができる。

(庶務)

第60条　この規程に基づく庶務は、医療情報システム管理委員会事務局において処理すること。

(雑則)

第61条　この規程の施行に関し必要な事項がある場合は、医療情報システム管理委員会の審議を経て、運用責任者がこれを定める。

附　則

この訓令は、公布の日から施行し、平成27年4月6日から適用する。