Comments
Description
Transcript
医療・介護分野での 個人情報保護法対策のご提案
○○○病院 御中 医療・介護分野での 個人情報保護法対策のご提案 平成16年○○月○○日 NPO東京ITコーディネータ はじめに • 平成17年4月からの個人情報保護法の完全施 行に伴い、特にプライバシー情報が取り扱われ る医療・介護分野については、個人情報保護の ためのセキュリティ対策の実施が緊急課題となっ ております。 • つきましては、弊NPOの情報セキュリティ対策と してのPマーク認証およびISMS認証支援コンサ ルのご案内を申し上げますので、ご検討の程宜 しくお願い申し上げます。 Copyright©2004 NPO東京ITC 2 目次 • • • • • • • • • • • • • • • • • • • • • • • • • • 3P:個人情報漏洩問題の発覚件数の推移 4P:医療・介護関連の個人情報漏洩事故 5P:個人情報漏洩ケース分析 6P:個人情報とは何か? 7P:JISQ15001のポイント 8P:個人情報保護法とは 9P:医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン<厚生労働省>のポイント 10P:病院数・診療所数と首都圏電子カルテ導入病院 11P:医療のめざすべき姿と課題「保健医療分野の情報化に向けてのグランドデザイン(厚生労働省)」より 12P:医療の課題解決と情報化手段「保健医療分野の情報化に向けてのグランドデザイン(厚生労働省)」より 13P:医療情報システム(電子カルテ)達成目標「保健医療分野の情報化に向けてのグランドデザイン(厚生労働省)」より 14P:外来病院業務の流れと医療情報システム 15P:入院病院業務の流れと医療情報システム 16P:医療情報システムの特性 17P:福祉情報システムの特性①:介護保険給付システム 18P:福祉情報システムの特性②:福祉情報システム概要 19P:医療・介護情報の発生源別分類と個人情報① 20P:医療・介護情報の発生源別分類と個人情報② 21P:電子カルテシステムの概要 22P:電子カルテの導入状況 23P:ISMSとプライバシーマーク制度 24P:ISMS制度の申請手続 25P:ISMSの導入プロセス 26P:プライバシーマーク制度の申請手続 27P:プライバシーマーク認定取得までの全体の流れ 28P:NPO東京ITCの情報セキュリティ認証取得支援作業 Copyright©2004 NPO東京ITC 3 個人情報漏洩問題の発覚件数の推移 158 200 126 124 126 150 100 50 0 36 20 個人情報保護法 完全施行 2004/8 個人情報保護法 部分施行 ■ワンツーワン・マーケティング普及 ⇒個人情報の価値 ■インターネット普及・ネットワーク高速化 2002 個人情報保護 法案成立 個人情報保護に 関する法律案提 出 2000 個人情報保護法 制化専門委員会 JISQ15001 制定 Pマーク制度 発足 1998 33 ■法制度制定の動き ■企業の隠蔽に対する内部告発 出展:http://www.geocities.co.jp/SiliconValley-SanJose/4188/Privacy/ 医療・介護関連の情報漏洩事故 No 新聞掲載日 場所・漏えい数 要旨 1 平成15 (2003)年 2月18日 江戸川区住民健康診断ダータ(病歴含 む)9万人流出 平成6(1994)年、東京都江戸川区が保管していた住民健康診断データ9万人分が流失した事 件。 2 平成15(2003)年 3月20日 長野県赤十字血液センター献血者 1300人分の個人データ流出 センターによると、血液者登録作業をしていた派遣社員が、夫が経営するエステティックサロン の顧客名簿作りに使用。同センターは前年12月発覚後未報告。 3 平成15 (2003)年 7月3日 群馬県藤岡市社会福祉協議会などか ら個人データの入ったPC盗難 同市によると、2日「パソコン等盗難事件対策本部」を発足。再発防止対策(各課、職員個人の パスワード入力徹底、二重、三重のセキュリティ機能、公開・非公開文書区分の見直し、1日1 回処理・保存など)を決定し全庁に通知。 4 平成15 (2003)年 7月15日 千葉県内7病院の看護師2244人の 個人情報を記録したFD盗難 東京海上火災保険によると、同社千葉支社職員が、千葉県内7病院の看護師個人情報を記録 したFD入り鞄を、千葉県内で帰宅途中に車上荒らしにより盗難。 5 平成15 (2003)年 8月30日 高知県立安芸病院、平成13年度眼科 入院カルテ100人分紛失 同病院によると、同年2月保存のための製本作業中に紛失に気付いた。カルテ保管庫に廃棄 用個人情報を置いたのが原因と発表。 6 平成16 (2004)年 3月17日 金沢医科大学電子カルテ・パスワード 漏えい 同大の助手、研修医ら8人が同大学病院入院患者の電子カルテにアクセスするパスワードを指 導する学生に教えていた。同大学では、平成12年7月から電子カルテを導入し、学生用電子カ ルテのチェックのため、主治医の電子カルテ情報を開示していた。パスワード不正使用を禁じた 学内規程に抵触。 7 平成16 (2004)年 3月24日 奈良県立三室病院(三郷町)約7500 人分患者らの個人情報入りノートPC5 台盗難 同病院では、看護師採用内定21人、在宅療法機器貸し出し情報476人、職員情報386人、職 員人事関係情報101人、高度医療情報6391人などの個人情報を記録したノートPC5台が盗 難。盗難防止対策の強化、個人情報の保管・管理体制の強化を検討。 8 平成16 (2004)年 5月26日 鳥取県立厚生病院(倉吉市東昭和町) 個人情報入りレントゲンフィルムなどを 産廃業者が紛失 同病院によると、同病院が処分した個人情報入りレントゲンフォルムなどを産業廃棄物業者が 紛失。同県では、県立2病院のほか同様に処分していた県内44病院に対し、個人情報保護条 例を順守させることを明らかにした。県情報システム管理要綱に基づいた「情報セキュリティ対 策基準」を独自に作成する。 9 平成16 (2004)年 5月22日 三重県松坂市民病院患者約15人分、 職員約400人分の個人情報流出 同病院によると、前年6月頃患者約15人分の氏名、生年月日、病名、病状などが書かれた医 師用会合資料200枚、医師、看護師、事務職員など職員400人分の給与額が記載された資料 約10枚が流出。同病院の清掃・ごみ処理の委託業者社員から個人情報流出の通報があり返 却。内規では会合資料はシュレッダー処分となっている。 10 平成16 (2004)年 9月18日 国立病院機構大阪医療センター患者 500人分個人情報入りノートPC盗難 同センターによると、センターの机の上にあった医師のノートPC2台が盗難。PCには、がんサ ポートチームの対象患者ら約50人分、消化器科の患者ら約450人分のデータが入っていた。 Copyright©2004 NPO東京ITC 資料:毎日新聞平成14年1月1日から平成16年9月21日の記事から抜粋。この間、個人情報漏洩問題記事は181件あり。 5 個人情報の漏洩ケース分析 発覚ケース 関係者 漏洩場所 漏洩時の媒体 漏洩原因 不審なDM 社員 オフィス ノートPC 窃盗売却 架空請求 元社員 (社外持出時) MO CD-ROM FD 盗難 車上あらし HP閲覧者か らの苦情 マスコミからの 問合せ 持込み恐喝 派遣社員 紛失 社外から不正 アクセス 無断情報持ち 出し・提供 単純事務ミス・ FAX宛先誤り Winny・ウィルス から流出 メール・アドレス指 定誤り インターネットHP プログラムミス 置忘れ 委託先社員 書類 盗難 委託先 派遣社員 FILE設定ミス 廃棄ミス 6 個人情報とは何か? 個人情報 「JISQ15001」の定義 「個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述、又は個 人別に付けられた番号、記号その他の符号、画像もしくは音声によって当該個人を識別で きるもの」 個人情報 「個人情報保護法」の定義 「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述 等により、特定の個人を識別することが出来るもの(他の情報と容易に照合することができ、 それにより特定の個人を識別することが出来ることとなるものを含む)」 ・個人属性情報‥住所、氏名、電話、年齢、家族、配偶者、就職先 ・機微な情報‥他人に知られたくない情報‥資産、趣味、身体特性、交友関係、学歴、性格 ・特に機微な情報‥健康、人種・民族、宗教・思想、政治的見解 ・活動情報‥購買情報、行動記録 個人情報取扱事業者‥個人情報データベース等を事業の用に供している者を言う 対象 個人顧客情報、会員情報、委員情報、受講者、受験者、従業員、名簿 Copyright©2004 NPO東京ITC 7 JISQ15001のポイント 情報主体 権利要求 事項2項目 4.4.5 コンプライアンス・プロ グラム要求事項 4.1~4.6 の25項目 □開示要求 □利用拒否権 収集利用要求事項7項目 4.4.2-4.4.3 □目的限度内 □適法公正 □収集禁止 □直接収集 □間接収集 □利用提供 □目的外利用 託 預 提供依頼 提供 収 集 個人(情 報主体) 提 権利要求 管理体制 要求対応 利 用 提 供 委託先 データ適切管 理要求事項3 項目 4.4.4 □正確性確保 □安全性確保 □委託処理 個人情報取扱事業者 提供 供 間接収 集先 個人情報保護体制面の要求事項13項目 4.1-4.4.1、4.4.6-4.6 □CP構築維持 □保護方針 □個人情報特定 □法令規範参照 □内部規定維持□教育監査計画 □体制・責任 □教育実施 □苦情・相談対応 □CP文書記述 Copyright©2004 NPO東京ITC □文書管理 □監査実施 □代表者による見直し 提供先 8 個人情報保護法とは 個人情報保護法 高度情報通信社会の進展に伴い個人情報の利用が著しく拡大 → 個人情報の有用性に配慮しつつ、個人の権利利益を保護する ことが狙い 民間部門 向け 基本理念 罰則つき義務規程 行政機関 向け 公務員の 罰則規程 義務規程の適用除外exメディア、著作、学術、宗教、 正当な理由無く個人情報提供すること 不正な利益目的で個人情報提供すること 職務目的以外で個人情報を収集すること 個人情報 個人データ 個人情報 データベース 保有 個人データ 機微な 個人情報 「個人情報」…生存する個人に関する情報(識別可能情報) 「個人情報データベース等」…個人情報を含む情報の集合物 (検索が可能なもの。一定のマニュアル処理情報を含む) 「個人データ」…個人情報データベース等を構成する個人情報 「保有個人データ」…個人情報取扱事業者が開示、訂正等の 権限を有する個人データ 「個人情報取扱事業者」…個人情報データベース等を事業の 用に供している者(国、地方公共団体等のほか、取り扱う個人 情報が少ない等の一定の者を除く) Copyright©2004 NPO東京ITC 9 医療・介護関係事業者における個人情報の適切な取扱いのためのガ イドライン<厚生労働省>のポイント 収集 保管 利用 預託 第三者提供 保有 「個人 情報 保護 法」 要求 事項 ・個人情 報の適 性な取得 (法第17 条) ・利用目 的の通 知等(法 第18条) ・個人データ内 容の正確性の 確保(法第19 条) ・必要かつ適 切な安全管理 措置(法第20 条) ・利用目的の特定(法第15条) ・利用目的の変更(法第15条) ・利用目的の制限と本人同意 (法第16条) ・合併等事業承継による個人 情報の利用制限(法第16条) ・利用目的のッ制限除外要件 (法第16条) ・安全管理のための従業者の 監督(法第21条) ・個人情報取扱状況報告対応 (法第32条) ・主務大臣助言(法第33条) ・勧告・命令(法第34条) ・安全管理 のための 委託先の 監督(第2 2条) ・本人の同意を獲 ない第三者提供 の制限(法第23 条) ・変更内容の事前 本人通知又は知 る得る状態に置く (法第23条) ★第三者提供が 該当しない場合 ・一部又は全部 を委託する場合 ・予め通知した 共同利用など 発生リ スク ・患者情 報、職員 情報など の不正 手段によ る取得 ・患者情報、職 員情報など盗 難 ・紛失 ・不正アクセス ・破壊・改ざん ・患者情報、職員情報などの意 図的漏えい ・PC操作ミスによる流出 ・悪意のない社外持ち出しによ る紛失 ・患者検査 情報など データ授 受 ・委託先か らの漏え い ・患者情報の共同 利用先からの漏 えい ・保有個人データにつ いての公表(法第24 条) ・本人からの開示要求 対応(法第25条) ・訂正、追加・削除の要 求対応(法第26条) ・利用停止要求対応 (法第27条) ・措置の理由説明(法 第28条) ・開示手続(法第29条) ・開示手数料(法第30 条) ・苦情処理(法第31条) ・患者情報など患者本 人のなりすましによる 不正アクセス 安全 管理 措置 ・個人情 報収集 程 ・従業者 教育と教 育記録 ・個人情報管 理規程 ・リスク対応保管 対策 ・セキュリティエリア 設定 ・保管管理記 録 ・個人情報利用規程 ・検体検査 ・患者情報など個 など委託 人情報共同利用 ・従業者誓約書 先契約書 規程 ・入退出管理 締結 ・利用者認定 ・委託先監 ・利用PC限定 査実施 ・アクセス権制御 ・データ授受 ・アクセスログ 記録 ・本人認証システム Copyright©2004 NPO東京ITC ・保有個人データ開示 規程 ・保有個人データ訂正 及び利用停止規程 ・保有個人データ苦情 処理規程 廃棄 ・媒体持ち 出しによる 漏えい ・PCデータ 未消去に よる流出 ・個人情報 異廃棄規 程 ・シュレッ ダーによる 廃棄 ・媒体の電 子的消去 10 病院数・診療所数と首都圏電子カルテ導入病院 市場データ 平成2年 ('90) 施設数 総数 病院 精神病院 伝染病院 結核療養所 一般病院 地域医療支援病院(再掲) 老人病院(再掲) 療養病床を有する病院(再掲) 感染症病床を有する病院(再掲) 一般診療所 有床 療養病床を有する一般診療所(再掲) 無床 歯科診療所 5年 ('93) 143164 10096 1049 10 15 9022 ・ 1165 ・ 80852 23589 ・ ・ 57263 52216 11年 ('99) 13年 ('01) 14年 ('02) 15年 ('03) 149878 9844 1059 7 11 8767 ・ ・ ・ 8年 ('96) 156756 165451 167555 169079 171000 9490 9286 9239 9187 9122 1057 1060 1065 1069 1073 5・ ・ ・ ・ 7 4 3 2 2 8421 8222 8171 8116 8047 ・ 16 29 43 48 1518 1701 1032 … 244 ・ 41 494 2227 3476 3723 4211 ・ 306 289 294 286 84128 87909 91500 94019 94819 96050 22383 20452 18487 17218 16178 15371 ・ 1795 2571 2675 2639 61745 67457 73013 76801 78641 80679 55906 59357 62484 64297 65073 65828 資料:厚生労働省統計情報部 ■電子カルテを導入決定した病院(首都圏) ・国立成育医療センター ・東京臨海病院 ・東海大学八王子病院 ・都立府中病院 ・癌研究会付属有明病院・亀田総合病院 ・NTT東日本関東病院 ・昭和大学横浜市港北病院 ・東京女子医大病院 ・聖路加国際病院 ・用賀アーバンクリニック 資料:医療制度研究会 Copyright©2004 NPO東京ITC 11 「保健医療分野の情報化に向けてのグランドデザ イン」(厚生省)の要点① 医療のめざすべき姿と課題 待ち時間短縮 医療従事者の 分り易い説明 時間配分改善 効率化 医療事項防止 質の向上 最適な治療 地域の高度遠 専門医紹介 隔医療 客観的セカンド オピニオン 2.質の高い効果的医療提供体 制 ・質の高い効果的な医療の提 供 課題 供 情報提供 診察時 救急時 1.患者選択の尊重と情報提 ・患者視点の尊重と自己責 任 ・情報提供のための環境整 備 救急医療機関 適切救急医療 とかかりつけ 医連携 課題 平成18年の 医療の姿 ・医療の質の向上 第3者評価 通院負担軽減 病院選択 安全対策 医療情報 3.国民の安心基盤整 備 ・地域医療の確 保 ・医療の情報化 等 在宅時 資料:厚生労働省「医療制度改革試案∼少子高齢化社会に対応した医療制度の構築∼」 (平成13年9月25日)を参考に筆者加筆作成 Copyright©2004 NPO東京ITC 12 「保健医療分野の情報化に向けてのグランドデザ イン」(厚生省)の要点② 医療の課題解決と情報化手段 医療の課題 情報提供 質の向上 効率化 対応する情報技術を活用した手段 電子カルテシステム (比較可能なデータの蓄積と活用) ・適切な情報管理・検索 ・目的に沿った情報の加工が容易(見やすく読みやすく分り易い情報) ・患者にとって理解しやすい診療の説明 (医療従事者間での情報提供や診療連携) ・医療機関内、医療機関間、医療機関・他の関係機関との情報ネットワーク化 ・セカンドオピニオン※の際に初めの病院で検査した正確な患者情報を容易に参照可能 レセプト電算処理システム ・健康指導などの保健事業に活用 「根拠に基づく医療」支援 ( Evidence-based Medicine:EBM) ) ・質の高い医学情報を整理・収集しインターネット等により医療従事者や国民に提供 ・診療ガイドラインの作成支援・提供 電子カルテシステム ・患者の診療データの一元管理・共有化、情報の解析等による新たな臨床上の根拠の創出 遠隔診療支援 ・遠隔地の専門医による診断支援、治療指示等が受けられる ・在宅において安心できる療養の継続 電子カルテシステム ・フィルム等消耗品の使用量削減 ・正確な物流管理による経費節減 オーダリングシステム 安全対策 効果 レセプト電算処理システム ・診療報酬の請求・審査支払事務の効率化 個人・資格認証システム ・医療事務の効率化 物流管理システム(電子商取引) ・医療資材物流に関する事務の効率化 オーダリングシステム ・・診療情報の共有による伝達ミスの防止、入力・処方ミスのチェック Copyright©2004 NPO東京ITC 資料:厚生労働省「保健医療分野の情報化に向けてのグランドデザイン」(平成13年12月)より引用 13 「保険医療分野の情報化に向けてのグランドデザ イン」(厚生省)の要点③ 医療情報システム(電子カルテ)達成目標 ●平成16年度までに全国の二次医療圏毎に少なくとも一施設は電子カルテ の普及を図る。 ○地域医療支援病院、臨床研修指定施設またはその地域で中心的な役割 をしている病院などの地域連携診療の核となるような医療施設の電子カル テ導入を推進する。 ●平成18年度までに 全国の400床以上の病院の6割以上に普及 全診療所の6割以上に普及 • 病院レセプト達成目標 ●平成16年度までの全国病院の5割以上に普及 ●平成18年度までの全国病院の7割以上に普及 • 資料:厚生労働省「保健医療分野の情報化に向けてのグランドデザイン」(平成13年12月)より引用 Copyright©2004 NPO東京ITC 14 外来病院業務の流れと医療情報システム 部門システム(薬 剤) 部門システム(検査) 部門システム(看護) 放射線部(撮影) 部門システム(放射線) (各種オーダー) (会計待ち時間) 診療システム 医療情報システム 病院業務の流れ 看護部(採血・処 置) 業務管理システム 検査部(血液・その他検査) 医師(診察・処方) 物品管理システム 薬剤部(処方監査・調剤) (患者基本情報) (診療待ち時間) (患者基本情報) 診療科受付 医事会計システム 会計窓口 再診受付 再診患者 (会計情報) 初診受付 初診患者 調剤薬局 で薬を購 (患者帰宅) Copyright©2004 入し帰宅 院内薬局 で薬を受 取り帰宅 NPO東京ITC 15 入院病院業務の流れと医療情報システム 物品管理システム 薬剤部(処方監査・調剤) 部門システム(薬 剤) 部門システム(検査) 部門システム(放射線) 看護部(採血・ 処置・投薬) 部門システム(看護) (各種オーダー) 医師(診察・入院指示・治 療) 診療システム 医療情報システム 病院業務の流れ 放射線部(撮 影) 業務管理システム 検査部(血液・ その他検査) (患者基本情報) (診療待ち時間) (患者基本情報) 診療科受付 医事会計システム 会計窓口 再診受付 初診受付 再診患者 初診患者 患者退院 (会計情報) Copyright©2004 NPO東京ITC 16 医療情報システムの特性 部門内病院情報システムの特性 • 部門 システム 摘要 診療部門 電子カルテシステム・オーダエントリーシステム・クリニカルパス システム・予約システム ・臨床データの総合管理 ・患者に関わる断続的・連続的な診療情報 検査部門 臨床検査システム・細菌検査システム・病理学的検査システム・ 生理機能検査システム ・業務効率の向上と正確な情報処理が目的 ・トータルシステムの有無、搬送ラインの有無などで異なる 放射線部門 RIS(Radiological Information System:放射線情報システム)・P ACS(Picture Archiving and Communication System:医療画像 保管通信システム)・レポーティングシステム ・HIS(Hospital Information System:病院情報システム))からIH E(Integrations Healthcare Enterprise:統合化病院情報シ ステム)へ 手術・輸血部門 手術情報管理システム・患者生体情報・物品管理システム・手 術室環境管理システム・輸血オーダーエントリーシステム・自己 血オーダーエントリーシステム ・他部門の情報と手術部で発生する手術情報を医療スタッフに 的確な提供が目的 看護部門 看護管理システム・看護業務支援システム・患者看護支援シス テム・ベッドサイドケア支援システム ・看護業務の合理化と患者ケアの向上のための活用 ・地域看護では訪問看護ステーションのIT化 薬剤部門 処方チェックシステム・薬袋作成システム・散剤監査システム・自 動錠剤分包システム・自動注射薬調剤システム・薬品情報シス テム・薬剤管理指導業務支援システム ・調剤業務支援システム自動化 ・薬歴管理の情報システム化 歯科部門 業務支援システム ・病名登録、処理過程、診療予約、画像、会計、処方システム化 診療情報管理 部門 診療録貸出管理システム・DPC(Diagnosis Procedure Combination:診断群分類)・統計管理システム・院内癌登録シス テム・退院時予約システム ・主に退院患者の診療記録が対象 ・診療情報管理体制加算、特定機能病院のDPCによる包括診 療情報管理 ・コーディングの統合が課題 事務部門 医事会計システム・レセプト電算処理システム・財務会計システ ム・人事給与システム・物流・物品在庫管理システム・経営管理 支援システム・原価計算 ・事務の省力化。正確化、効率化が目的 ・病院経営戦略の意思決定のための情報提供が課題 ・他部門情報スステムとの連携 給食部門 給食オーダーシステム・給食管理システム・栄養指導システム ・献立作成、食数管理、材料管理など 検診部門 人間ドックシステム・自動化健診システム ・独立健診センターと病院内部門と異なる その他 理学療法部門・内視鏡・光学療法部門・ICU(Intensive Care Copyright©2004 NPO東京ITC Unit:集中治療ユニット)・CCU(Coronary Care Unit:冠動脈疾患 治療ユニット)など 17 福祉情報システムの特性① 介護保険給付(償還払い)システム 介護保険給付(現物給付・施設サービス)システム 資料:東京都国民健康保険団体連合会ホームページ「償還払い」「現物給付」より引用。 Copyright©2004 NPO東京ITC 18 福祉情報システムの特性② 福祉情報システム概要 システム区分 介護保険情報システム サブシステム 特性 介護保険管理情報システム ・保険者の被保険者の介護保険料徴集管理、介護サービス限度額管理、介護報酬 支払管理、保健財源運営管理などが目的 ・インターネットによる介護報酬請求が原則 要介護認定支援情報システム ・要介護度の一次判定と二次判定の支援が目的 ・一次判定システムは79項目の訪問調査結果を入力して判定 ・二次判定システムは介護認定審査会業務の効率化を支援 介護事業者支援情報システム ・施設介護サービス事業者、居宅介護サービス事業者、介護支援事業者の業務支 援が目的 ・施設介護サービス事業者の入所者基本管理、入退所管理、介護サービス計画 (ケアプラン)作成支援、介護サービス提供管理、経営管理などを支援 ・居宅介護サービス事業者の利用者基本管理、介護サービス計画支援、介護サー ビス提供管理、経営管理などを支援 ・介護支援事業者のケアマネジメント、サービス事業者間調整、経営管理等を支援 介護保険モニタリング支援情報シ ステム ・介護保険サービスについて、事前・プロセス・事後において、サービスの質、サー ビス提供の妥当性、地域の介護資源の妥当性、介護報酬限度額の妥当性を検討 するための継続的情報の収集・評価を支援 ワムネット情報システム (WAM NET) ・福祉・保健・医療に関する総合情報提供サイト ・介護保険制度、障害者支援制度、厚生労働省会議情報などの提供 障害者支援情報システム 点字転換システム、目的地誘導 情報システム、緊急通信情報シス テム、視覚障害者地図提供シス テム、徘徊老人対応情報システ ム、安否確認情報システム、障害 者支援情報DBなど ・視力障害者、聴力障害者、言語障害者の生活支援たの情報提供 子育て支援情報システム (子育て支援センター) ・子どもの健康状態相談、保育支援など支援情報の提供 福祉人材情報システム ・福祉関係業種求人情報のDB化、福祉ボランティアのDB化などの支援 (都道府県福祉人材センター) Copyright©2004 NPO東京ITC 19 医療・介護情報の発生源別分類と個人情報① • 病院・医院・診療所の医療情報 医療情報(青色文字は個人情報) 部門 患者受付 患者ID情報(氏名、年齢、性別、住所など)、保険情報(種別、本人・家族の別など)、受診診療科、受診病 名、受診歴、担当医情報(医師名、診療科)、他 診療部門 診断情報(愁訴、病状、既往歴、家族歴、傷病名、羅患部位、重傷度ないし病期、検査情報など)、治療情報 (薬剤歴、投薬量、服薬法、治療歴、治療経過、など)、他 臨床検査部門 検査情報(各種検体検査、各種生理検査、各種画像検査など)、検査結果情報(数値、波形、画像など)、検 査機器・設備、他 病歴部門 患者病歴情報、退院サマリー、他 手術部門 手術名、術式、手術用機器・設備、他 輸血部門 血液型、血液・血清在庫情報、他 薬剤部門 薬剤名(一般名、商品名)、錠形、薬効、副作用、病理、相互作用、適応症、禁忌、化学構造、薬剤情報、他 病棟部門 病棟名、当直医名、看護人名、看護内容・処置、看護時間、他 中央材料部門 中材品情報、中材品在庫情報、滅菌情報、清汚管理情報、他 医事部門 窓口会計情報、診療報酬点数情報、レセプト情報、他 その他事務部門 病院管理情報(在庫、経理、人事、給与、病院経営)、他 Copyright©2004 NPO東京ITC 20 医療・介護情報の発生源別分類と個人情報② • その他発生源の医療・介護情報 医療情報(青色文字は個人情報) その他発生源 健診施設・集団検診所 各種検査情報(検査名、検査成績)、予防情報(危険因子、喫煙・飲酒のようなライフスタイルなど)、健診機器・設備、他 臨床検査センター 各種検査情報(検査名、検査成績など)、他 人口透析センター 患者情報、患者容態(特に腎機能)情報、透析装置情報、他 保健所・検疫所 結核・感染症情報、病原体検査情報、食中毒情報、健康診査・保健管理情報、特定疾患記録、環境衛生情報(食品営業許 可・衛生監視、産業廃棄物、と畜検査、畜犬登録など)、免許台帳(栄養士、調理師など)、他 臓器バンク 移植施設情報、ドナー情報、レシピエント情報、HLA(ヒトの組織適合性抗原)タイピング情報、移植成績、移植経費、他 消防署・救急医療情報 センター 救急患者情報、救急医療機関情報、応需情報、特殊診療リソース情報、血液・血清情報、薬品情報、住民提供情報、他 リハビリテーション施設 各種療法(理学療法、作業療法、言語療法など)情報、専門職(理学療法士、作業療法士、言語療法士など)情報、関連施 設(教育施設、職業訓練施設、職業紹介施設など)、他 介護・福祉施設 要介護認定情報、身体介護状況、機能障害、日常生活動作(ADL)、介護・介助情報、他 在宅医療・居宅介護施 設 関連施設情報(訪問看護ステーション、在宅医療支援センターなど)情報、ケアプラン、サービス記録(訪問医療、訪問看護、 訪問介護、訪問リハビリ、訪問入浴、通所介護、通所リハビリ、訪問入浴、通所介護、通所リハビリ、福祉用具貸与など)、 サービス支援事業所情報、、他 保険支払基金 レセプト情報、レセプト診査情報、返戻情報、他 薬品製造・販売企業 添付文書(成分、効能・効果、用法・用量、副作用、禁忌、相互作用など)など医薬品情報、医薬情報担当者情報、市販後調 査情報、医薬品価格情報、他 医療機器・医療材料製 造・販売企業 医療機器・用具情報、市販後調査情報、医療用具保守点検情報、医療機器リース・レンタル情報、他 患者宅 患者容態情報、患者生活情報、他 行政機関 各種認可情報、各種行政情報通達、人口情報、医薬品副作用情報、医療機器不具合情報、医療監視情報、医療計画、他 Copyright©2004 NPO東京ITC 21 電子カルテシステムの概要 レセプト 電算処理 システム レセプト レセプト レセプト データI/F オーダリング システム 電子カルテ システム 医事会計 システム オーダリングI/F 医事会計I/F 患者情報の データベース (個人情報) 接続I/F 自動化機器 システム Copyright©2004 NPO東京ITC 22 All Right Reserved, Copyright ©山村(200 4) 電子カルテの導入状況 電子カルテの導入率は病院で3%、診療所で6% (財)医療情報システムセンター(MEDIS−DC)は9月22日、病医院におけるIT化実態調 査の結果を公表した。同調査は 2002年11月から12月にかけて、全国の病院及び診療所 を対象にアンケート方式で実施したもの。9229病院と50566診療所を対象に調査票を送付 し、1743病院(18.9%)と3519診療所(7.0%)から回答を得た。 電子カルテを運用中・構築中の病院は、全体の8%に当たる128病院。内訳は、運用中が 3%(48病院)、構築中が5%(80病院)となっている。導入を検討中の病院は43%に達して おり、導入意欲の高さをうかがわせる。一方、診療所では、導入済みが6%、開発中が1%の 合計7%。導入を検討中と回答したのは18%どまりで、予定無しとの回答は75%にも達した。 電子カルテの導入状況を400床以上の病院で見てみると、すでに運用中の病院が7%、構 築中が10%、検討中は59%に達した。一方で400床未満の病院では、導入済みは2%、構 築中が4%だった。検討中は4%となつているが、予定無しは48%に達した。病床規模で比 較すると、大規模病院の方が導入に積極的な姿勢を示している。 病院における電子カルテの導入状況 48 865 80 750 Copyright©2004 NPO東京ITC 運用中 構築中 導入を検討中 その他 23 ISMSとプライバシーマーク制度 制度 ISMS制度 プライバシーマーク制度 適用範囲 適用範囲の組織が扱う情報全 般にわたる情報セキュリティマ ネジメントシステム 全社組織が扱う個人情報が対 象のコンプライアンス 情報の扱い 情報セキュリティマネジメントが 中心。 JIS5080/ISO17799に準 拠 個人情報の保護方針が中心。 JISQ15001に準拠。 プライバシーリスクマネジメント 対象範囲 特定の部門、業務、全社まで選 択 原則として全社が対象範囲に 限定 評価認定機関 JIPDEC ISMS制度推進室 JIPDEC 審査員評価登録室 JIPDEC プライバシーマーク 事務局 資料:平成15年度情報セキュリティ監査制度普及啓発事業実施報告書より抜粋 Copyright©2004 NPO東京ITC 24 ISMS制度の申請手続 •ISMS適合性評価制度における認証審査の流れ JIPDEC ⑪審査報告 登録 評価 DB ・審査登録機関 ・事業者 申請 指定(指定基準Ver×.×) 審査登録機関 事 業 者 ①審査登録機関選択 ③書類受理/審査 ②必要書類提出 書類 申請 ④予備審査(注1) ⑤本審査の通知 審査結果の判定 ⑥本審査(S1、S2) 受審 ⑦指摘事項等を通知 ⑧是正 登録可(注2) ⑩登録文書の発行 ⑨是正報告 ・登録文書 認証取得 (マーク付与含む) Copyright©2004 NPO東京ITC (注1):審査登録機関の事情により省くことができる(事業者のオブション)。また行われるタイミングは審査機関によって異なる。 (注2):審査登録後は、定期的なサーベイランス及び更新審査が実施される。 25 ISMSの導入プロセス 管理策の具体化・実地導入 フェーズ 1∼3ヶ月 ISMS構築方針設定フェーズ 1∼3ヶ月 STEP6 審査 審査登録機関 参考資料:白潟寿郎著図解ISO17799/ISMS早わかり Copyright©2004 NPO東京ITC 26 認証取得 本審査 是正運用 予備審査 内部監査 実地導入 ツール導入 ISMSコンサルティング会社 説明会 様式作成 文書記録 ツール決定 教育&コンサルティング 適用宣言書作成 一覧決定 文書記録 審査登録 機関決定 詳細管理策の決定 方針決定 ISMS構築 ギャップ分析 ・情報セキュリティポリシー ・情報資産台帳 ・リスク分析評価の結果 ・ギャップ分析の結果 ルール決定 STEP5 STEP4 リスク分析評価 評価 情報資産価値 ツールの検討 成果物 ソリューション ポリシー決定 情報セキュリティ 適用範囲決定 スタート 現状の 情報資産・ HW/SWなど STEP3 ルール検討 STEP1 STEP2 現 状 分 析 管理策の 具体化 要求事項の理解 トップ 運用・審査フェーズ 1∼3ヶ月 プライバシーマーク制度の申請手続 ⑥付与認定報告 ⑥付与認定報告 指定機関またはJIPDEC 指定機関またはJIPDEC ④評価 ②書類審査 苦情・ 問合せ ①申 申請 請 ① ・ ・ 事業者 事業者 ③現 現地 地調 調査 査 ③ ⑤付 付与 与認 認定 定 ⑤ 苦情・ 問合せ ⑦付 付与 与契 契約 約 ⑦ 付与機関 付与機関 日本情報処理開発協会 日本情報処理開発協会 (JIPDEC) (JIPDEC) 指定機関 ・(社)情報サービス産 業協会 ・ (社)日本マーケティ ング・リサーチ協会 ・ (社)全国学習塾 協会 ・ (財)医療情報シス テム開発センター コンプライアンスプログラムの作成と運用 一般国民(情報主体) 一般国民(情報主体) 認定費用 小規模企業 中規模企業 大規模企業 中規模 製造業等 卸売業 小売業 サービス業 申請手数料 50,000 50,000 50,000 資本金 3億円以下 1億円以下 5000万円以下 5000万円以下 現地調査料 200,000 450,000 950,000 従業員 300人以下 100人以下 Pマーク使用料 50,000 100,000 200,000 小規模 20人以下 計 300,000 600,000 1,200,000 50人以下 5人以下 100人以下 プライバシーマーク認定取得までの全体の流れ 1ヶ月目+α1 2ヶ月目+α2 3ヶ月目+α3 4ヶ月目+α4 5ヶ月目+α5 6ヶ月目+α6 プロジェクトスタート プロジェクトスタート 方針設設定 適用仕様の確定 適用仕様の確定 現状調査 z個人情報の適 切な運用のため の方針作り コンプライアンスプログラム作成 z現状と有るべき 姿とのギャップ を把握する 試行・監査・改善 z個人情報保護の ための実施プログ ラムを作成する 教育が重要 教育が重要 z受審を行い、 認定を付与さ れるとPマークの 使用契約を締 結する。2年単 位で更新要。 z作成されたルー 申請・審査 ルが正しく運用さ れているか監査し 改善する 個人情報の内容、量、取扱拠点数、内部規程整備度によりプロジェクト期間は変動する Copyright©2004 NPO東京ITC 28 NPO東京ITCの情報セキュリティ認証取得支援作業 お客様の「顧客満足度向上マネジメント」を支援 (コンプライアンス経営の確立) 標準コンサルティング テンプレート活用 効率性 原則複数名担当制 信頼性 最後まで徹底指導 完全性 プロジェクト管理 確実性 【NPO東京ITC】 実効性のある 現場へのス ムースな導入 リスク最小化提案 ISMS・Pマーク取得支援 スピード 安価 分かり易い 導入企業にお ける人材育成 組織定着 守秘契約堅持 安全性 コンサルティング (オプション) 個別支援作業/アフターフォロー 調査・ヒヤリング・教育・監査 研修 (オプション)