Comments
Description
Transcript
医療・介護分野での 個人情報保護法対策のご提案
○○○病院 御中
医療・介護分野での
個人情報保護法対策のご提案
平成16年○○月○○日
NPO東京ITコーディネータ
はじめに
• 平成17年4月からの個人情報保護法の完全施
行に伴い、特にプライバシー情報が取り扱われ
る医療・介護分野については、個人情報保護の
ためのセキュリティ対策の実施が緊急課題となっ
ております。
• つきましては、弊NPOの情報セキュリティ対策と
してのPマーク認証およびISMS認証支援コンサ
ルのご案内を申し上げますので、ご検討の程宜
しくお願い申し上げます。
Copyright©2004 NPO東京ITC
2
目次
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
3P:個人情報漏洩問題の発覚件数の推移
4P:医療・介護関連の個人情報漏洩事故
5P:個人情報漏洩ケース分析
6P:個人情報とは何か?
7P:JISQ15001のポイント
8P:個人情報保護法とは
9P:医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン<厚生労働省>のポイント
10P:病院数・診療所数と首都圏電子カルテ導入病院
11P:医療のめざすべき姿と課題「保健医療分野の情報化に向けてのグランドデザイン(厚生労働省)」より
12P:医療の課題解決と情報化手段「保健医療分野の情報化に向けてのグランドデザイン(厚生労働省)」より
13P:医療情報システム(電子カルテ)達成目標「保健医療分野の情報化に向けてのグランドデザイン(厚生労働省)」より
14P:外来病院業務の流れと医療情報システム
15P:入院病院業務の流れと医療情報システム
16P:医療情報システムの特性
17P:福祉情報システムの特性①:介護保険給付システム
18P:福祉情報システムの特性②:福祉情報システム概要
19P:医療・介護情報の発生源別分類と個人情報①
20P:医療・介護情報の発生源別分類と個人情報②
21P:電子カルテシステムの概要
22P:電子カルテの導入状況
23P:ISMSとプライバシーマーク制度
24P:ISMS制度の申請手続
25P:ISMSの導入プロセス
26P:プライバシーマーク制度の申請手続
27P:プライバシーマーク認定取得までの全体の流れ
28P:NPO東京ITCの情報セキュリティ認証取得支援作業
Copyright©2004 NPO東京ITC
3
個人情報漏洩問題の発覚件数の推移
158
200
126
124
126
150
100
50
0
36
20
個人情報保護法
完全施行
2004/8
個人情報保護法
部分施行
■ワンツーワン・マーケティング普及
⇒個人情報の価値
■インターネット普及・ネットワーク高速化
2002
個人情報保護
法案成立
個人情報保護に
関する法律案提
出
2000
個人情報保護法
制化専門委員会
JISQ15001
制定
Pマーク制度
発足
1998
33
■法制度制定の動き
■企業の隠蔽に対する内部告発
出展:http://www.geocities.co.jp/SiliconValley-SanJose/4188/Privacy/
医療・介護関連の情報漏洩事故
No
新聞掲載日
場所・漏えい数
要旨
1
平成15 (2003)年
2月18日
江戸川区住民健康診断ダータ(病歴含
む)9万人流出
平成6(1994)年、東京都江戸川区が保管していた住民健康診断データ9万人分が流失した事
件。
2
平成15(2003)年
3月20日
長野県赤十字血液センター献血者
1300人分の個人データ流出
センターによると、血液者登録作業をしていた派遣社員が、夫が経営するエステティックサロン
の顧客名簿作りに使用。同センターは前年12月発覚後未報告。
3
平成15 (2003)年
7月3日
群馬県藤岡市社会福祉協議会などか
ら個人データの入ったPC盗難
同市によると、2日「パソコン等盗難事件対策本部」を発足。再発防止対策(各課、職員個人の
パスワード入力徹底、二重、三重のセキュリティ機能、公開・非公開文書区分の見直し、1日1
回処理・保存など)を決定し全庁に通知。
4
平成15 (2003)年
7月15日
千葉県内7病院の看護師2244人の
個人情報を記録したFD盗難
東京海上火災保険によると、同社千葉支社職員が、千葉県内7病院の看護師個人情報を記録
したFD入り鞄を、千葉県内で帰宅途中に車上荒らしにより盗難。
5
平成15 (2003)年
8月30日
高知県立安芸病院、平成13年度眼科
入院カルテ100人分紛失
同病院によると、同年2月保存のための製本作業中に紛失に気付いた。カルテ保管庫に廃棄
用個人情報を置いたのが原因と発表。
6
平成16 (2004)年
3月17日
金沢医科大学電子カルテ・パスワード
漏えい
同大の助手、研修医ら8人が同大学病院入院患者の電子カルテにアクセスするパスワードを指
導する学生に教えていた。同大学では、平成12年7月から電子カルテを導入し、学生用電子カ
ルテのチェックのため、主治医の電子カルテ情報を開示していた。パスワード不正使用を禁じた
学内規程に抵触。
7
平成16 (2004)年
3月24日
奈良県立三室病院(三郷町)約7500
人分患者らの個人情報入りノートPC5
台盗難
同病院では、看護師採用内定21人、在宅療法機器貸し出し情報476人、職員情報386人、職
員人事関係情報101人、高度医療情報6391人などの個人情報を記録したノートPC5台が盗
難。盗難防止対策の強化、個人情報の保管・管理体制の強化を検討。
8
平成16 (2004)年
5月26日
鳥取県立厚生病院(倉吉市東昭和町)
個人情報入りレントゲンフィルムなどを
産廃業者が紛失
同病院によると、同病院が処分した個人情報入りレントゲンフォルムなどを産業廃棄物業者が
紛失。同県では、県立2病院のほか同様に処分していた県内44病院に対し、個人情報保護条
例を順守させることを明らかにした。県情報システム管理要綱に基づいた「情報セキュリティ対
策基準」を独自に作成する。
9
平成16 (2004)年
5月22日
三重県松坂市民病院患者約15人分、
職員約400人分の個人情報流出
同病院によると、前年6月頃患者約15人分の氏名、生年月日、病名、病状などが書かれた医
師用会合資料200枚、医師、看護師、事務職員など職員400人分の給与額が記載された資料
約10枚が流出。同病院の清掃・ごみ処理の委託業者社員から個人情報流出の通報があり返
却。内規では会合資料はシュレッダー処分となっている。
10
平成16 (2004)年
9月18日
国立病院機構大阪医療センター患者
500人分個人情報入りノートPC盗難
同センターによると、センターの机の上にあった医師のノートPC2台が盗難。PCには、がんサ
ポートチームの対象患者ら約50人分、消化器科の患者ら約450人分のデータが入っていた。
Copyright©2004 NPO東京ITC
資料:毎日新聞平成14年1月1日から平成16年9月21日の記事から抜粋。この間、個人情報漏洩問題記事は181件あり。
5
個人情報の漏洩ケース分析
発覚ケース
関係者
漏洩場所
漏洩時の媒体
漏洩原因
不審なDM
社員
オフィス
ノートPC
窃盗売却
架空請求
元社員
(社外持出時)
MO
CD-ROM
FD
盗難
車上あらし
HP閲覧者か
らの苦情
マスコミからの
問合せ
持込み恐喝
派遣社員
紛失
社外から不正
アクセス
無断情報持ち
出し・提供
単純事務ミス・
FAX宛先誤り
Winny・ウィルス
から流出
メール・アドレス指
定誤り
インターネットHP
プログラムミス
置忘れ
委託先社員
書類
盗難
委託先
派遣社員
FILE設定ミス
廃棄ミス
6
個人情報とは何か?
個人情報
「JISQ15001」の定義
「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、又は個
人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別で
きるもの」
個人情報
「個人情報保護法」の定義
「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述
等により、特定の個人を識別することが出来るもの(他の情報と容易に照合することができ、
それにより特定の個人を識別することが出来ることとなるものを含む)」
・個人属性情報‥住所、氏名、電話、年齢、家族、配偶者、就職先
・機微な情報‥他人に知られたくない情報‥資産、趣味、身体特性、交友関係、学歴、性格
・特に機微な情報‥健康、人種・民族、宗教・思想、政治的見解
・活動情報‥購買情報、行動記録
個人情報取扱事業者‥個人情報データベース等を事業の用に供している者を言う
対象
個人顧客情報、会員情報、委員情報、受講者、受験者、従業員、名簿
Copyright©2004 NPO東京ITC
7
JISQ15001のポイント
情報主体
権利要求
事項2項目
4.4.5
コンプライアンス・プロ
グラム要求事項
4.1~4.6 の25項目
□開示要求
□利用拒否権
収集利用要求事項7項目
4.4.2-4.4.3
□目的限度内 □適法公正
□収集禁止
□直接収集
□間接収集
□利用提供
□目的外利用
託
預
提供依頼
提供
収
集
個人(情
報主体)
提
権利要求
管理体制
要求対応
利
用
提
供
委託先
データ適切管
理要求事項3
項目 4.4.4
□正確性確保
□安全性確保
□委託処理
個人情報取扱事業者
提供
供
間接収
集先
個人情報保護体制面の要求事項13項目
4.1-4.4.1、4.4.6-4.6
□CP構築維持
□保護方針
□個人情報特定 □法令規範参照
□内部規定維持□教育監査計画 □体制・責任
□教育実施
□苦情・相談対応 □CP文書記述
Copyright©2004 NPO東京ITC
□文書管理
□監査実施
□代表者による見直し
提供先
8
個人情報保護法とは
個人情報保護法
高度情報通信社会の進展に伴い個人情報の利用が著しく拡大
→ 個人情報の有用性に配慮しつつ、個人の権利利益を保護する
ことが狙い
民間部門
向け
基本理念
罰則つき義務規程
行政機関
向け
公務員の
罰則規程
義務規程の適用除外exメディア、著作、学術、宗教、
正当な理由無く個人情報提供すること
不正な利益目的で個人情報提供すること
職務目的以外で個人情報を収集すること
個人情報
個人データ
個人情報
データベース
保有
個人データ
機微な
個人情報
「個人情報」…生存する個人に関する情報(識別可能情報)
「個人情報データベース等」…個人情報を含む情報の集合物
(検索が可能なもの。一定のマニュアル処理情報を含む)
「個人データ」…個人情報データベース等を構成する個人情報
「保有個人データ」…個人情報取扱事業者が開示、訂正等の
権限を有する個人データ
「個人情報取扱事業者」…個人情報データベース等を事業の
用に供している者(国、地方公共団体等のほか、取り扱う個人
情報が少ない等の一定の者を除く)
Copyright©2004 NPO東京ITC
9
医療・介護関係事業者における個人情報の適切な取扱いのためのガ
イドライン<厚生労働省>のポイント
収集
保管
利用
預託
第三者提供
保有
「個人
情報
保護
法」
要求
事項
・個人情
報の適
性な取得
(法第17
条)
・利用目
的の通
知等(法
第18条)
・個人データ内
容の正確性の
確保(法第19
条)
・必要かつ適
切な安全管理
措置(法第20
条)
・利用目的の特定(法第15条)
・利用目的の変更(法第15条)
・利用目的の制限と本人同意
(法第16条)
・合併等事業承継による個人
情報の利用制限(法第16条)
・利用目的のッ制限除外要件
(法第16条)
・安全管理のための従業者の
監督(法第21条)
・個人情報取扱状況報告対応
(法第32条)
・主務大臣助言(法第33条)
・勧告・命令(法第34条)
・安全管理
のための
委託先の
監督(第2
2条)
・本人の同意を獲
ない第三者提供
の制限(法第23
条)
・変更内容の事前
本人通知又は知
る得る状態に置く
(法第23条)
★第三者提供が
該当しない場合
・一部又は全部
を委託する場合
・予め通知した
共同利用など
発生リ
スク
・患者情
報、職員
情報など
の不正
手段によ
る取得
・患者情報、職
員情報など盗
難
・紛失
・不正アクセス
・破壊・改ざん
・患者情報、職員情報などの意
図的漏えい
・PC操作ミスによる流出
・悪意のない社外持ち出しによ
る紛失
・患者検査
情報など
データ授
受
・委託先か
らの漏え
い
・患者情報の共同
利用先からの漏
えい
・保有個人データにつ
いての公表(法第24
条)
・本人からの開示要求
対応(法第25条)
・訂正、追加・削除の要
求対応(法第26条)
・利用停止要求対応
(法第27条)
・措置の理由説明(法
第28条)
・開示手続(法第29条)
・開示手数料(法第30
条)
・苦情処理(法第31条)
・患者情報など患者本
人のなりすましによる
不正アクセス
安全
管理
措置
・個人情
報収集
程
・従業者
教育と教
育記録
・個人情報管
理規程
・リスク対応保管
対策
・セキュリティエリア
設定
・保管管理記
録
・個人情報利用規程
・検体検査 ・患者情報など個
など委託
人情報共同利用
・従業者誓約書
先契約書
規程
・入退出管理
締結
・利用者認定
・委託先監
・利用PC限定
査実施
・アクセス権制御
・データ授受
・アクセスログ
記録
・本人認証システム
Copyright©2004 NPO東京ITC
・保有個人データ開示
規程
・保有個人データ訂正
及び利用停止規程
・保有個人データ苦情
処理規程
廃棄
・媒体持ち
出しによる
漏えい
・PCデータ
未消去に
よる流出
・個人情報
異廃棄規
程
・シュレッ
ダーによる
廃棄
・媒体の電
子的消去
10
病院数・診療所数と首都圏電子カルテ導入病院
市場データ
平成2年
('90)
施設数
総数
病院
精神病院
伝染病院
結核療養所
一般病院
地域医療支援病院(再掲)
老人病院(再掲)
療養病床を有する病院(再掲)
感染症病床を有する病院(再掲)
一般診療所
有床
療養病床を有する一般診療所(再掲)
無床
歯科診療所
5年
('93)
143164
10096
1049
10
15
9022
・
1165
・
80852
23589
・
・
57263
52216
11年
('99)
13年
('01)
14年
('02)
15年
('03)
149878
9844
1059
7
11
8767
・
・
・
8年
('96)
156756
165451
167555
169079
171000
9490
9286
9239
9187
9122
1057
1060
1065
1069
1073
5・
・
・
・
7
4
3
2
2
8421
8222
8171
8116
8047
・
16
29
43
48
1518
1701
1032 …
244 ・
41
494
2227
3476
3723
4211
・
306
289
294
286
84128
87909
91500
94019
94819
96050
22383
20452
18487
17218
16178
15371
・
1795
2571
2675
2639
61745
67457
73013
76801
78641
80679
55906
59357
62484
64297
65073
65828
資料:厚生労働省統計情報部
■電子カルテを導入決定した病院(首都圏)
・国立成育医療センター ・東京臨海病院
・東海大学八王子病院 ・都立府中病院
・癌研究会付属有明病院・亀田総合病院
・NTT東日本関東病院 ・昭和大学横浜市港北病院
・東京女子医大病院
・聖路加国際病院
・用賀アーバンクリニック
資料:医療制度研究会
Copyright©2004 NPO東京ITC
11
「保健医療分野の情報化に向けてのグランドデザ
イン」(厚生省)の要点①
医療のめざすべき姿と課題
待ち時間短縮
医療従事者の
分り易い説明
時間配分改善
効率化
医療事項防止
質の向上
最適な治療
地域の高度遠
専門医紹介
隔医療
客観的セカンド
オピニオン
2.質の高い効果的医療提供体
制
・質の高い効果的な医療の提
供
課題
供
情報提供
診察時
救急時
1.患者選択の尊重と情報提
・患者視点の尊重と自己責
任
・情報提供のための環境整
備
救急医療機関
適切救急医療
とかかりつけ
医連携
課題
平成18年の
医療の姿
・医療の質の向上
第3者評価
通院負担軽減
病院選択
安全対策
医療情報
3.国民の安心基盤整
備 ・地域医療の確
保
・医療の情報化
等
在宅時
資料:厚生労働省「医療制度改革試案∼少子高齢化社会に対応した医療制度の構築∼」
(平成13年9月25日)を参考に筆者加筆作成
Copyright©2004 NPO東京ITC
12
「保健医療分野の情報化に向けてのグランドデザ
イン」(厚生省)の要点②
医療の課題解決と情報化手段
医療の課題
情報提供
質の向上
効率化
対応する情報技術を活用した手段
電子カルテシステム
(比較可能なデータの蓄積と活用)
・適切な情報管理・検索
・目的に沿った情報の加工が容易(見やすく読みやすく分り易い情報)
・患者にとって理解しやすい診療の説明
(医療従事者間での情報提供や診療連携)
・医療機関内、医療機関間、医療機関・他の関係機関との情報ネットワーク化
・セカンドオピニオン※の際に初めの病院で検査した正確な患者情報を容易に参照可能
レセプト電算処理システム
・健康指導などの保健事業に活用
「根拠に基づく医療」支援
( Evidence-based Medicine:EBM) )
・質の高い医学情報を整理・収集しインターネット等により医療従事者や国民に提供
・診療ガイドラインの作成支援・提供
電子カルテシステム
・患者の診療データの一元管理・共有化、情報の解析等による新たな臨床上の根拠の創出
遠隔診療支援
・遠隔地の専門医による診断支援、治療指示等が受けられる
・在宅において安心できる療養の継続
電子カルテシステム
・フィルム等消耗品の使用量削減
・正確な物流管理による経費節減
オーダリングシステム
安全対策
効果
レセプト電算処理システム
・診療報酬の請求・審査支払事務の効率化
個人・資格認証システム
・医療事務の効率化
物流管理システム(電子商取引)
・医療資材物流に関する事務の効率化
オーダリングシステム
・・診療情報の共有による伝達ミスの防止、入力・処方ミスのチェック
Copyright©2004 NPO東京ITC
資料:厚生労働省「保健医療分野の情報化に向けてのグランドデザイン」(平成13年12月)より引用
13
「保険医療分野の情報化に向けてのグランドデザ
イン」(厚生省)の要点③
医療情報システム(電子カルテ)達成目標
●平成16年度までに全国の二次医療圏毎に少なくとも一施設は電子カルテ
の普及を図る。
○地域医療支援病院、臨床研修指定施設またはその地域で中心的な役割
をしている病院などの地域連携診療の核となるような医療施設の電子カル
テ導入を推進する。
●平成18年度までに
全国の400床以上の病院の6割以上に普及
全診療所の6割以上に普及
• 病院レセプト達成目標
●平成16年度までの全国病院の5割以上に普及
●平成18年度までの全国病院の7割以上に普及
•
資料:厚生労働省「保健医療分野の情報化に向けてのグランドデザイン」(平成13年12月)より引用
Copyright©2004 NPO東京ITC
14
外来病院業務の流れと医療情報システム
部門システム(薬
剤)
部門システム(検査)
部門システム(看護)
放射線部(撮影)
部門システム(放射線)
(各種オーダー)
(会計待ち時間)
診療システム
医療情報システム
病院業務の流れ
看護部(採血・処
置)
業務管理システム
検査部(血液・その他検査)
医師(診察・処方)
物品管理システム
薬剤部(処方監査・調剤)
(患者基本情報)
(診療待ち時間)
(患者基本情報)
診療科受付
医事会計システム
会計窓口
再診受付
再診患者
(会計情報)
初診受付
初診患者
調剤薬局
で薬を購
(患者帰宅)
Copyright©2004
入し帰宅
院内薬局
で薬を受
取り帰宅
NPO東京ITC
15
入院病院業務の流れと医療情報システム
物品管理システム
薬剤部(処方監査・調剤)
部門システム(薬
剤)
部門システム(検査)
部門システム(放射線)
看護部(採血・
処置・投薬)
部門システム(看護)
(各種オーダー)
医師(診察・入院指示・治
療)
診療システム
医療情報システム
病院業務の流れ
放射線部(撮
影)
業務管理システム
検査部(血液・
その他検査)
(患者基本情報)
(診療待ち時間)
(患者基本情報)
診療科受付
医事会計システム
会計窓口
再診受付
初診受付
再診患者
初診患者
患者退院
(会計情報)
Copyright©2004 NPO東京ITC
16
医療情報システムの特性
部門内病院情報システムの特性
•
部門
システム
摘要
診療部門
電子カルテシステム・オーダエントリーシステム・クリニカルパス
システム・予約システム
・臨床データの総合管理
・患者に関わる断続的・連続的な診療情報
検査部門
臨床検査システム・細菌検査システム・病理学的検査システム・
生理機能検査システム
・業務効率の向上と正確な情報処理が目的
・トータルシステムの有無、搬送ラインの有無などで異なる
放射線部門
RIS(Radiological Information System:放射線情報システム)・P
ACS(Picture Archiving and Communication System:医療画像
保管通信システム)・レポーティングシステム
・HIS(Hospital Information System:病院情報システム))からIH
E(Integrations Healthcare Enterprise:統合化病院情報シ
ステム)へ
手術・輸血部門
手術情報管理システム・患者生体情報・物品管理システム・手
術室環境管理システム・輸血オーダーエントリーシステム・自己
血オーダーエントリーシステム
・他部門の情報と手術部で発生する手術情報を医療スタッフに
的確な提供が目的
看護部門
看護管理システム・看護業務支援システム・患者看護支援シス
テム・ベッドサイドケア支援システム
・看護業務の合理化と患者ケアの向上のための活用
・地域看護では訪問看護ステーションのIT化
薬剤部門
処方チェックシステム・薬袋作成システム・散剤監査システム・自
動錠剤分包システム・自動注射薬調剤システム・薬品情報シス
テム・薬剤管理指導業務支援システム
・調剤業務支援システム自動化
・薬歴管理の情報システム化
歯科部門
業務支援システム
・病名登録、処理過程、診療予約、画像、会計、処方システム化
診療情報管理
部門
診療録貸出管理システム・DPC(Diagnosis Procedure
Combination:診断群分類)・統計管理システム・院内癌登録シス
テム・退院時予約システム
・主に退院患者の診療記録が対象
・診療情報管理体制加算、特定機能病院のDPCによる包括診
療情報管理 ・コーディングの統合が課題
事務部門
医事会計システム・レセプト電算処理システム・財務会計システ
ム・人事給与システム・物流・物品在庫管理システム・経営管理
支援システム・原価計算
・事務の省力化。正確化、効率化が目的
・病院経営戦略の意思決定のための情報提供が課題
・他部門情報スステムとの連携
給食部門
給食オーダーシステム・給食管理システム・栄養指導システム
・献立作成、食数管理、材料管理など
検診部門
人間ドックシステム・自動化健診システム
・独立健診センターと病院内部門と異なる
その他
理学療法部門・内視鏡・光学療法部門・ICU(Intensive Care
Copyright©2004
NPO東京ITC
Unit:集中治療ユニット)・CCU(Coronary
Care Unit:冠動脈疾患
治療ユニット)など
17
福祉情報システムの特性①
介護保険給付(償還払い)システム
介護保険給付(現物給付・施設サービス)システム
資料:東京都国民健康保険団体連合会ホームページ「償還払い」「現物給付」より引用。
Copyright©2004 NPO東京ITC
18
福祉情報システムの特性②
福祉情報システム概要
システム区分
介護保険情報システム
サブシステム
特性
介護保険管理情報システム
・保険者の被保険者の介護保険料徴集管理、介護サービス限度額管理、介護報酬
支払管理、保健財源運営管理などが目的
・インターネットによる介護報酬請求が原則
要介護認定支援情報システム
・要介護度の一次判定と二次判定の支援が目的
・一次判定システムは79項目の訪問調査結果を入力して判定
・二次判定システムは介護認定審査会業務の効率化を支援
介護事業者支援情報システム
・施設介護サービス事業者、居宅介護サービス事業者、介護支援事業者の業務支
援が目的
・施設介護サービス事業者の入所者基本管理、入退所管理、介護サービス計画
(ケアプラン)作成支援、介護サービス提供管理、経営管理などを支援
・居宅介護サービス事業者の利用者基本管理、介護サービス計画支援、介護サー
ビス提供管理、経営管理などを支援
・介護支援事業者のケアマネジメント、サービス事業者間調整、経営管理等を支援
介護保険モニタリング支援情報シ
ステム
・介護保険サービスについて、事前・プロセス・事後において、サービスの質、サー
ビス提供の妥当性、地域の介護資源の妥当性、介護報酬限度額の妥当性を検討
するための継続的情報の収集・評価を支援
ワムネット情報システム
(WAM NET)
・福祉・保健・医療に関する総合情報提供サイト
・介護保険制度、障害者支援制度、厚生労働省会議情報などの提供
障害者支援情報システム
点字転換システム、目的地誘導
情報システム、緊急通信情報シス
テム、視覚障害者地図提供シス
テム、徘徊老人対応情報システ
ム、安否確認情報システム、障害
者支援情報DBなど
・視力障害者、聴力障害者、言語障害者の生活支援たの情報提供
子育て支援情報システム
(子育て支援センター)
・子どもの健康状態相談、保育支援など支援情報の提供
福祉人材情報システム
・福祉関係業種求人情報のDB化、福祉ボランティアのDB化などの支援
(都道府県福祉人材センター)
Copyright©2004
NPO東京ITC
19
医療・介護情報の発生源別分類と個人情報①
•
病院・医院・診療所の医療情報
医療情報(青色文字は個人情報)
部門
患者受付
患者ID情報(氏名、年齢、性別、住所など)、保険情報(種別、本人・家族の別など)、受診診療科、受診病
名、受診歴、担当医情報(医師名、診療科)、他
診療部門
診断情報(愁訴、病状、既往歴、家族歴、傷病名、羅患部位、重傷度ないし病期、検査情報など)、治療情報
(薬剤歴、投薬量、服薬法、治療歴、治療経過、など)、他
臨床検査部門
検査情報(各種検体検査、各種生理検査、各種画像検査など)、検査結果情報(数値、波形、画像など)、検
査機器・設備、他
病歴部門
患者病歴情報、退院サマリー、他
手術部門
手術名、術式、手術用機器・設備、他
輸血部門
血液型、血液・血清在庫情報、他
薬剤部門
薬剤名(一般名、商品名)、錠形、薬効、副作用、病理、相互作用、適応症、禁忌、化学構造、薬剤情報、他
病棟部門
病棟名、当直医名、看護人名、看護内容・処置、看護時間、他
中央材料部門
中材品情報、中材品在庫情報、滅菌情報、清汚管理情報、他
医事部門
窓口会計情報、診療報酬点数情報、レセプト情報、他
その他事務部門
病院管理情報(在庫、経理、人事、給与、病院経営)、他
Copyright©2004 NPO東京ITC
20
医療・介護情報の発生源別分類と個人情報②
•
その他発生源の医療・介護情報
医療情報(青色文字は個人情報)
その他発生源
健診施設・集団検診所
各種検査情報(検査名、検査成績)、予防情報(危険因子、喫煙・飲酒のようなライフスタイルなど)、健診機器・設備、他
臨床検査センター
各種検査情報(検査名、検査成績など)、他
人口透析センター
患者情報、患者容態(特に腎機能)情報、透析装置情報、他
保健所・検疫所
結核・感染症情報、病原体検査情報、食中毒情報、健康診査・保健管理情報、特定疾患記録、環境衛生情報(食品営業許
可・衛生監視、産業廃棄物、と畜検査、畜犬登録など)、免許台帳(栄養士、調理師など)、他
臓器バンク
移植施設情報、ドナー情報、レシピエント情報、HLA(ヒトの組織適合性抗原)タイピング情報、移植成績、移植経費、他
消防署・救急医療情報
センター
救急患者情報、救急医療機関情報、応需情報、特殊診療リソース情報、血液・血清情報、薬品情報、住民提供情報、他
リハビリテーション施設
各種療法(理学療法、作業療法、言語療法など)情報、専門職(理学療法士、作業療法士、言語療法士など)情報、関連施
設(教育施設、職業訓練施設、職業紹介施設など)、他
介護・福祉施設
要介護認定情報、身体介護状況、機能障害、日常生活動作(ADL)、介護・介助情報、他
在宅医療・居宅介護施
設
関連施設情報(訪問看護ステーション、在宅医療支援センターなど)情報、ケアプラン、サービス記録(訪問医療、訪問看護、
訪問介護、訪問リハビリ、訪問入浴、通所介護、通所リハビリ、訪問入浴、通所介護、通所リハビリ、福祉用具貸与など)、
サービス支援事業所情報、、他
保険支払基金
レセプト情報、レセプト診査情報、返戻情報、他
薬品製造・販売企業
添付文書(成分、効能・効果、用法・用量、副作用、禁忌、相互作用など)など医薬品情報、医薬情報担当者情報、市販後調
査情報、医薬品価格情報、他
医療機器・医療材料製
造・販売企業
医療機器・用具情報、市販後調査情報、医療用具保守点検情報、医療機器リース・レンタル情報、他
患者宅
患者容態情報、患者生活情報、他
行政機関
各種認可情報、各種行政情報通達、人口情報、医薬品副作用情報、医療機器不具合情報、医療監視情報、医療計画、他
Copyright©2004 NPO東京ITC
21
電子カルテシステムの概要
レセプト
電算処理
システム
レセプト
レセプト
レセプト
データI/F
オーダリング
システム
電子カルテ
システム
医事会計
システム
オーダリングI/F
医事会計I/F
患者情報の
データベース
(個人情報)
接続I/F
自動化機器
システム
Copyright©2004 NPO東京ITC
22
All Right Reserved, Copyright ©山村(200
4)
電子カルテの導入状況
電子カルテの導入率は病院で3%、診療所で6%
(財)医療情報システムセンター(MEDIS−DC)は9月22日、病医院におけるIT化実態調
査の結果を公表した。同調査は 2002年11月から12月にかけて、全国の病院及び診療所
を対象にアンケート方式で実施したもの。9229病院と50566診療所を対象に調査票を送付
し、1743病院(18.9%)と3519診療所(7.0%)から回答を得た。
電子カルテを運用中・構築中の病院は、全体の8%に当たる128病院。内訳は、運用中が
3%(48病院)、構築中が5%(80病院)となっている。導入を検討中の病院は43%に達して
おり、導入意欲の高さをうかがわせる。一方、診療所では、導入済みが6%、開発中が1%の
合計7%。導入を検討中と回答したのは18%どまりで、予定無しとの回答は75%にも達した。
電子カルテの導入状況を400床以上の病院で見てみると、すでに運用中の病院が7%、構
築中が10%、検討中は59%に達した。一方で400床未満の病院では、導入済みは2%、構
築中が4%だった。検討中は4%となつているが、予定無しは48%に達した。病床規模で比
較すると、大規模病院の方が導入に積極的な姿勢を示している。
病院における電子カルテの導入状況
48
865
80
750
Copyright©2004 NPO東京ITC
運用中
構築中
導入を検討中
その他
23
ISMSとプライバシーマーク制度
制度
ISMS制度
プライバシーマーク制度
適用範囲
適用範囲の組織が扱う情報全
般にわたる情報セキュリティマ
ネジメントシステム
全社組織が扱う個人情報が対
象のコンプライアンス
情報の扱い
情報セキュリティマネジメントが
中心。
JIS5080/ISO17799に準
拠
個人情報の保護方針が中心。
JISQ15001に準拠。
プライバシーリスクマネジメント
対象範囲
特定の部門、業務、全社まで選
択
原則として全社が対象範囲に
限定
評価認定機関
JIPDEC ISMS制度推進室
JIPDEC 審査員評価登録室
JIPDEC プライバシーマーク
事務局
資料:平成15年度情報セキュリティ監査制度普及啓発事業実施報告書より抜粋
Copyright©2004 NPO東京ITC
24
ISMS制度の申請手続
•ISMS適合性評価制度における認証審査の流れ
JIPDEC
⑪審査報告
登録
評価
DB
・審査登録機関
・事業者
申請
指定(指定基準Ver×.×)
審査登録機関
事 業 者
①審査登録機関選択
③書類受理/審査
②必要書類提出
書類
申請
④予備審査(注1)
⑤本審査の通知
審査結果の判定
⑥本審査(S1、S2)
受審
⑦指摘事項等を通知
⑧是正
登録可(注2)
⑩登録文書の発行
⑨是正報告
・登録文書
認証取得
(マーク付与含む)
Copyright©2004 NPO東京ITC
(注1):審査登録機関の事情により省くことができる(事業者のオブション)。また行われるタイミングは審査機関によって異なる。
(注2):審査登録後は、定期的なサーベイランス及び更新審査が実施される。
25
ISMSの導入プロセス
管理策の具体化・実地導入
フェーズ
1∼3ヶ月
ISMS構築方針設定フェーズ
1∼3ヶ月
STEP6
審査
審査登録機関
参考資料:白潟寿郎著図解ISO17799/ISMS早わかり
Copyright©2004 NPO東京ITC
26
認証取得
本審査
是正運用
予備審査
内部監査
実地導入
ツール導入
ISMSコンサルティング会社
説明会
様式作成
文書記録
ツール決定
教育&コンサルティング
適用宣言書作成
一覧決定
文書記録
審査登録
機関決定
詳細管理策の決定
方針決定
ISMS構築
ギャップ分析
・情報セキュリティポリシー
・情報資産台帳
・リスク分析評価の結果
・ギャップ分析の結果
ルール決定
STEP5
STEP4
リスク分析評価
評価
情報資産価値
ツールの検討
成果物
ソリューション
ポリシー決定
情報セキュリティ
適用範囲決定
スタート
現状の
情報資産・
HW/SWなど
STEP3
ルール検討
STEP1 STEP2
現
状
分
析
管理策の
具体化
要求事項の理解
トップ
運用・審査フェーズ
1∼3ヶ月
プライバシーマーク制度の申請手続
⑥付与認定報告
⑥付与認定報告
指定機関またはJIPDEC
指定機関またはJIPDEC
④評価
②書類審査
苦情・
問合せ
①申
申請
請
①
・
・
事業者
事業者
③現
現地
地調
調査
査
③
⑤付
付与
与認
認定
定
⑤
苦情・
問合せ
⑦付
付与
与契
契約
約
⑦
付与機関
付与機関
日本情報処理開発協会
日本情報処理開発協会
(JIPDEC)
(JIPDEC)
指定機関
・(社)情報サービス産
業協会
・ (社)日本マーケティ
ング・リサーチ協会
・ (社)全国学習塾
協会
・ (財)医療情報シス
テム開発センター
コンプライアンスプログラムの作成と運用
一般国民(情報主体)
一般国民(情報主体)
認定費用
小規模企業
中規模企業
大規模企業
中規模
製造業等
卸売業
小売業
サービス業
申請手数料
50,000
50,000
50,000
資本金
3億円以下
1億円以下 5000万円以下 5000万円以下
現地調査料
200,000
450,000
950,000
従業員
300人以下
100人以下
Pマーク使用料
50,000
100,000
200,000
小規模
20人以下
計
300,000
600,000
1,200,000
50人以下
5人以下
100人以下
プライバシーマーク認定取得までの全体の流れ
1ヶ月目+α1
2ヶ月目+α2 3ヶ月目+α3 4ヶ月目+α4 5ヶ月目+α5
6ヶ月目+α6
プロジェクトスタート
プロジェクトスタート
方針設設定
適用仕様の確定
適用仕様の確定
現状調査
z個人情報の適
切な運用のため
の方針作り
コンプライアンスプログラム作成
z現状と有るべき
姿とのギャップ
を把握する
試行・監査・改善
z個人情報保護の
ための実施プログ
ラムを作成する
教育が重要
教育が重要
z受審を行い、
認定を付与さ
れるとPマークの
使用契約を締
結する。2年単
位で更新要。
z作成されたルー 申請・審査
ルが正しく運用さ
れているか監査し
改善する
個人情報の内容、量、取扱拠点数、内部規程整備度によりプロジェクト期間は変動する
Copyright©2004 NPO東京ITC
28
NPO東京ITCの情報セキュリティ認証取得支援作業
お客様の「顧客満足度向上マネジメント」を支援
(コンプライアンス経営の確立)
標準コンサルティング
テンプレート活用
効率性
原則複数名担当制
信頼性
最後まで徹底指導
完全性
プロジェクト管理
確実性
【NPO東京ITC】
実効性のある
現場へのス
ムースな導入
リスク最小化提案
ISMS・Pマーク取得支援
スピード
安価
分かり易い
導入企業にお
ける人材育成
組織定着
守秘契約堅持
安全性
コンサルティング
(オプション)
個別支援作業/アフターフォロー
調査・ヒヤリング・教育・監査
研修
(オプション)