HITOTSUは、医療情報の安全管理にかかるガイドライン(いわゆる3省2ガイドライン)に対応したサービス開発・提供を行っています。
HITOTSUのサービスで医療情報を取り扱う医療機関等におかれまして、主に留意・対応いただきたい点を以下にまとめました。
カッコ内は厚生労働省「医療情報システムの安全管理に関するガイドライン」(第6.0版)の参照箇所です。
1. アクセス権限およびID・パスワード管理
医療情報システムへのアクセスにおいて、利用者の識別・認証を行い、その手順に関して規則等で文書化するなど、認証・認可に関する安全管理措置を講じることとされています(システム運用編/14.認証・認可に関する安全管理措置)。
HITOTSUのサービスでは、ユーザーの新規作成や権限付与などのアクセス管理を医療機関にて行います。また、HITOTSUは利用者の認証方式としてID・パスワードを利用します。
【パスワードルール】
* 英字の大文字・小文字、数字をそれぞれ1文字以上含み、8文字以上で設定します。
* 変更前のパスワードと同じ文字列は設定できません。
* パスワード変更時、変更前のパスワードの入力が必要です(変更前のパスワードを一定回数誤るとブロックされる仕組みです)。
不正な閲覧・操作を防ぐために以下の対策が考えられます。各医療機関で検討し、必要に応じて院内の運用管理規程に定めるなどしてください。
- パスワードをシステムに記憶させる自動ログオン機能を利用しない。
- 各利用者は自身のパスワードを秘密にし、パスワードを記録する必要がある場合は、安全な場所に保管して、他者による閲覧、修正、廃棄等のリスクから保護する。
- 複数利用者で共用するためのグループ ID の利用は原則として行わない。(※)
- 退職時にはただちに当該IDを利用停止する。
- 不要な利用者のIDが残っていないことを定期的に確認する。
(※)ガイドラインでは「業務上必要であれば、ログ上で操作の実施者が特定できるように、利用者ごとのID でログオンしてからグループ ID に変更する仕組みを利用する」とされていますが、HITOTSUには利用者ごとのIDでログインした後にグループIDに変更する仕組みは搭載しておりません。
2.長時間離席時の対策
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者による入力・参照が生じないようクリアスクリーン等の対策を実施することとされています(システム運用編/12.物理的安全管理措置⑥)。各医療機関で検討し、必要に応じて院内の運用管理規程に定めるなどしてください。
なお、HITOTSU Assetには、最後の操作から一定時間(30分~180分)経過すると自動でログアウトするよう、各ユーザーごとに設定できる「自動ログアウト機能」がございます。
3.個人所有の機器管理
利用者が個人所有する機器を医療情報システムに用いる場合、利用を許諾する条件や利用範囲、管理方法等に関する内容を規程等に含めることとされています(企画管理編/9.医療情報システムに用いる情報機器等の資産管理)。
各医療機関で検討し、必要に応じて院内の運用管理規程に定めるなどしてください。
HITOTSUのシステムにはモバイルデバイスマネジメント(MDM)やモバイルアプリケーションマネジメント(MAM)等は搭載しておりませんが、万一、あるユーザーにおいて端末の紛失などセキュリティ上の懸念が生じた際は、医療機関のHITOTSUマスター権限を有するユーザーが、セキュリティ懸念のある当該ユーザーのIDを削除することで自動ログアウトされます(ただし、一度削除したユーザーの情報や過去の操作履歴等を復元することはできません)。
3省2ガイドライン対応については以下の記事もご覧ください。
医療情報をLinkで送受信できますか?
https://hitotsu.tayori.com/q/hitotsu-link/detail/622661/