Contract

xxxxx型生殖医療支援情報連携ネットワーク運用管理規程


令和5年 12 月 16 日世 話 人 会 裁 定


第1章 総則

(目的)

第1条 この規程は、xxx世代型生殖医療支援情報連携ネットワークの安全かつ合理的な運用を図り、高度生殖医療に関する情報(以下、「情報」という)の電子媒体による運用の適正な管理を図るために必要な事項を定める。


(定義)

第2条 xxxxx型生殖医療支援情報連携ネットワーク(以下「本ネットワーク」とい う。)とは、専門的治療を行う医療機関とかかりつけの医療機関が、安全性の高いネットワーク上でプライバシー保護を厳重に図りながら、患者の不妊治療に関する治療経過や検査結果等の情報共有をスピーディに行い、患者が身近で高度な不妊治療を安心して受けられる医療提供体制を強化することを目的とした仕組みと定義する。


(参加医療機関の範囲)

第3条 本ネットワークを利用できる医療機関は、xx県内に所在し産科婦人科を標榜する医療機関とする。


(利用申請の参加及び変更、脱退)

第4条 本ネットワークの利用を希望する医療機関は「xxx世代型生殖医療支援情報連携ネットワーク参加申請書」(様式1)をxx大学医学部附属病院高度生殖医療センター(以下「生殖医療センター」という。)に提出し、利用申請を行う。

2 医療機関が、本ネットワークへの参加を取り止める場合は、「xxx世代型生殖医療支援情報連携ネットワーク脱退申請書」(様式2)を生殖医療センターに提出する。


(対象情報)

第5条 管理対象となる情報は、本ネットワーク上で取り扱う電子情報だけでなく、本ネットワークへ入力する前の紙媒体の情報等全ての個人情報を適用対象とする。

2 本ネットワークで扱う情報機器及び情報については、安全管理上の重要度の分類を行い、リスク分析を行い、リスク管理台帳(別表1)に記入し維持する。


(関係法令等)

第6条 本ネットワークの運用においては、「著作xx(昭和 45 年法律第 48 号)」及び「個人情報の保護に関する法律(平成 15 年法律第 57 号)」をはじめとした関係法令、「医療情報システムの安全管理に関するガイドライン」及び「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」等の各種ガイドライン等に従う。(関係法令一覧表(別表2)参照)


第2章 運用管理体制

(運用管理体制)

第7条 本ネットワークの運用及び管理を行うに当たり、世話人会を設置する。

(1) 世話人会は、次に掲げる者をもって充てる。

イ 世話人会代表ロ 世話人 数名

(2) 世話人会代表は、生殖医療センター長をもって充てる。

2 運用及び管理の実務を行うにあたり事務局を設置し、生殖医療センターが担う。

3 本ネットワークの保守管理は、委託先業者である株式会社ストローハットが行う。


(医療機関管理体制)

第8条 本ネットワークを利用する医療機関の長は、当該医療機関における本ネットワークの運用、機密保持、情報管理について管理責任を負う。

2 医療機関の長は、本ネットワークの安全な運用・管理のために、医療機関運用管理者を設置しなければならない。なお、医療機関の長が医療機関運用管理者を兼ねることができる。


(苦情・質問受付体制)

第9条 Fukui ART Net (FAN)は個人情報の取扱い及び本ネットワークの運用に関して、患者及び各医療機関において本ネットワークを利用できる者(以下、「利用者」という。)からの苦情等及び質問を受け付けて、適切かつ迅速な対応を行う手順を確立し、維持する。

2 前項の目的を達成するために、患者からの苦情・質問を受け付ける窓口を設ける。


(文書管理体制)

第 10 条 本ネットワークの運用に必要な各種規程、様式、記録、契約書、マニュアル等は、利用者に周知の上、常に利用可能な状態にしておく。


(災害等の非常時の対策体制)

第 11 条 災害、サイバー攻撃等により本ネットワークの運用に支障が発生した場合は、次へ問合せをする。

連絡先:株式会社 ストローハット 0000-000-000

2 ネットワークの利用できない状況においては、各医療機関の事業継続計画(BCP)に準じた運用を行う。


(監査体制)

第 12 条 本ネットワークを円滑に運用するため、世話人会は客観性及びxx性を確保した上で監査を実施し、運用管理者に報告する。


(教育・訓練体制)

第 13 条 本ネットワークを円滑に運用するため、定期的に本ネットワークの取扱い及びプライバシー保護に関する研修を行う。


(ネットワーク利用体制)

第 14 条 本ネットワークの利用は、365日常時可能とする。ただし、定期的な保守の場合は利用者に対し事前に通知した上で運用を停止する。


第3章 管理者及び利用者の責務


(管理者の責務)

第 15 条 Fukui ART Net (FAN)は、本ネットワークの運営組織である。総括的な責任を負う

運用管理者、運営管理を行うための世話人会、運営管理の実務を担う事務局を設置して、本ネットワークを運営する。


第 16 条 運用管理者は、本ネットワーク全体の総括的な管理責任を負う。

2 本ネットワークの運用、機密保持、情報管理について責任を持って行う。

3 本ネットワークが適正に利用されているか管理する。

4 本ネットワークにおいて不適正な利用が発見または報告された場合は、直ちに医療機関運用管理者及び利用者に改善を求める。また、改善が図られない場合には、必要に応じ、委員会の意見を聴いて、システムの利用を停止することができる。

5 本ネットワークについての苦情及び質問を受け付ける窓口を設ける。


(世話人会の責務)

第 17 条 世話人会は、本ネットワーク全体の運用等について総括的な運用及び管理を行う。また、運用管理規程等を作成し、運用管理者からの報告により運用状況を把握した上で運用等に不具合がある場合は是正する。


(医療機関運用管理者の責務)

第 18 条 自医療機関内における本ネットワークの運用管理について、以下のような責任を持つ。

2 各利用者に付与したログインIDを管理しなければならない。

3 自医療機関内で本ネットワークが適正に利用されているかを管理するとともに、不適正な利用がある場合には、利用者に改善を求めるものとする。また、改善が図られない場合は、付与したログインIDを取り消すことができる。

4 自医療機関内の本ネットワークに接続する端末について、適切に安全管理を行う。

5 自医療機関内で起きた不適正利用などの事象については、運用管理者へ報告する。


(利用者の定義と責務)

第 19 条 利用者とは、各医療機関において本ネットワークを利用できる者であり、次に掲げる利用資格者のうち医療機関の長が利用を許可した者とする。

(1) 本ネットワークを利用する医療機関の職員で医療業務に従事する者

(2) 本ネットワークを利用する医療機関の医療業務及の委託を受けた者

(3) その他医療機関の長が必要と認めた者

2 利用者は、次の責務を負う。

(1) 利用者は、本ネットワークの利用に際して、「著作xx(昭和 45 年法律第 48 号)」及び「個人情報の保護に関する法律(平成 15 年法律第 57 号)」その他関係法令を遵守しなければならない。異動、退職等により職務を離れた場合においても同様とする。

(2) 利用者は、法令上の守秘義務の有無にかかわらず、本ネットワークを通じて入手した情報については、適正な利用に努めるとともに、診療、ケア、説明及び閲覧目的以外に利用してはならない。

(3) 利用者は、付与されたログインID及びパスワードを適正に管理し、本人以外の者に利用させてはいけない。

(4) 利用者は、マニュアル等で示された運用ルールを遵守する。

(5) 利用者が、正当なログインID及びパスワード等の管理を行わないために生じた事故や障害に対しては、その利用者が責任を負う。

(6) 利用者は、患者のプライバシーを尊重し、職務上知ることが必要な情報以外の情報にアクセスしてはならない。また、共有する情報は必要最小限のものとし、与えられた

アクセス権限を越えた操作を行わない。

(7) 利用者は、本ネットワークの動作の異常、不正アクセス及び安全性の問題点を発見したときは、速やかに医療機関運用管理者に報告し、その指示に従う。

(8) ウイルスに感染又はその恐れを発見した場合は、すみやかにネットワークから端末を切り離すとともに、医療機関運用管理者へ連絡し、その指示に従う。

(9) 利用者は、本ネットワークの取扱い及びプライバシー保護に関する研修を受けなければならない。


第4章 本ネットワークに関する一般管理における安全管理事項


(個人所有の端末の業務利用(BYOD))

第 20 条 本ネットワークを利用するに際して、利用者の個人所有の端末を利用することは、原則禁止とする。ただし、管理ツールなどを利用して、医療機関運用管理者が端末の安全性を確実に管理できる場合はその限りではない。


(インターネット、電子メールの利用)

第 21 条 本ネットワークを利用する端末におけるインターネット、電子メールの利用については、以下に定める。ただし、利用者個人が所有する端末を利用する場合についてはその限りではないが、第 17 条第3項にある利用者の責務を負うことを前提とし、端末の安全管理を行う必要がある。

2 インターネット接続環境については、各医療機関のセキュリティポリシーに従い実現する。

3 インターネット、電子メールの利用は、業務上必要な場合に限られ、私的利用は禁止とする。

4 業務遂行上必要のないインターネットサイトからデータ・ソフトウェア等のダウンロード、インストール等の行為は、原則禁止とする。


(ウイルス対策ソフトの導入と運用)

第 22 条 悪意のあるソフトウェア等から保護するため、全ての端末にウイルス対策ソフトを導入し、パターンファイルは常に最新のものを使用する。ただし、オペレーティングシステム自体がウイルス対策機能を持つ場合は、その限りではない。

2 定期的にソフトウェア等のウイルスチェックを行い、感染の有無を確認する。

3 ウイルス対策ソフトは、常に稼働させておく。


(セキュリティパッチの適用)

第 23 条 本ネットワークを利用する端末は、オペレーティングシステムやパッケージソフト等のパッチなどの修正プログラムがメーカーより発行された場合、既存システムの影響を考慮した上で適切に実施する。


(情報機器の管理)

第 24 条 本ネットワークを利用する情報機器は台帳に記録し、その内容を定期的にチェックし、所在状況を把握する必要がある。(システム導入機器一覧表別表3参照)


(媒体の管理)

第 25 条 本ネットワークから取得した情報を利用するにあたり、可搬型記録媒体(ディスクメディア、USB メモリ等)を利用することは許可しない。

(廃棄)

第 26 条 個人情報を記した媒体(紙媒体、情報機器を含む)の廃棄に当たっては、安全かつ確実に行われることを、医療機関運用管理者が作業前後に確認し、結果を記録に残す。

2 紙媒体の廃棄は、原則シュレッダーによる粉砕処理とする。大量に廃棄する場合などは、外部業者に委託することができるが、その場合は、廃棄証明書を受領するものとする。

3 電子媒体の廃棄は、原則粉砕処理とする。

4 ハードディスクの破棄は、無意味なデータの上書処理等により既存データを書き換え、その後データを消去する。なお、このデータの消去処理を外部業者に委託することができるが、その場合は、消去証明書を受領するものとする。


(無線 LAN の管理)

第 27 条 無線 LAN を利用する際は、各医療機関のセキュリティポリシーに従い実現するものとする。


第5章 同意の取得

(同意取得方針)

第 28 条 本ネットワークを利用して情報を共有する場合は、原則として患者本人の同意を取得しなければならない。同意の取得には、xxxxx型生殖医療支援情報連携ネットワーク情報共有同意登録フォームを利用する。

2 患者から取得する同意は、患者の高度生殖医療サービスに実際に関わる医療機関が情報を共有することに対する同意とする。

3 情報の共有は、患者からの同意取得後から同意撤回の届けがあるまで有効とする。同意の撤回には、xxx世代型生殖医療支援情報連携ネットワーク情報共有同意撤回登録フォームを利用する。

4 同意の取得は、原則としてどの医療機関でも行うことができる。 第6章 本ネットワークの運用に関する業務委託の安全管理措置

(委託契約における安全管理)

第 29 条 業務を委託する場合は、次の措置を実施する。

2 守秘事項を含む業務委託契約を結ぶ。

3 運用管理者は、委託作業内容が個人情報保護の観点から適正に且つ安全に行われていることを確認する。委託先が、許可無く個人情報を含むデータを組織外に持ち出すことは禁止する。

4 業務委託の契約書には、次に示す事項を規定し、十分な個人情報の保護水準を担保する。

(1) 委託者及び受託者の責任の明確化

(2) 個人情報の安全管理に関する事項

(3) 個人情報の取扱状況に関する委託者への報告の内容及び頻度

(4) 契約内容が遵守されていることを委託者が確認できる事項

(5) 契約内容が遵守されなかった場合の措置

(6) 事件・事故が発生した場合の報告・連絡に関する事項

(7) 一連の委託業務終了後に関する事項(終了報告、確実にデータを消去する等)

(8) 保守要員のアカウント情報の管理に関する事項(適切に管理することを求める)


(リモートメンテナンス時の安全管理)

第 30 条 委託先事業者がリモートメンテナンスを行う場合、データセンター運営事業者、通信回線事業者等との間で、責任分界点や責任の所在を契約書等で明確にする。

2 適切なアクセスポイントの設定、プロトコルの限定、アクセス権限管理等を行って不必要なログインを防止する。

3 上記契約状態が適切に維持管理されているか定期的に監査を行って確認する。第7章 情報機器の持ち出しについて

(情報機器の持ち出しにおける安全管理)

第 31 条 情報機器の持ち出しは、医療機関運用管理者が十分に安全管理を行った上で、その実施を許可する。


(持ち出し対象となる情報機器)

第 32 条 運用管理者は、情報機器の持ち出しに関しリスク分析を行い、情報機器の持ち出しに関する方針を定める。(リスク管理台帳別表1参照)


(持ち出した情報機器への安全管理処置)

第 33 条 持ち出す情報機器について起動パスワードを設定すること。そのパスワードは推定しやすいものは避け、また定期的に変更する。

2 持ち出す情報機器について、ウイルス対策ソフトをインストールしておく。

3 持ち出した情報を、ファイル交換ソフト(Winny等)がインストールされた情報機器で取り扱わない。

4 持ち出した情報機器の他のネットワークへの接続や、外部記録媒体の接続を行う場合は、ウイルス対策ソフトの導入やパーソナルファイアウォールを用いる等して、情報端末が情報漏えい、改ざん等の対象にならないような対策を施す。


(盗難、紛失時の対応)

第 34 条 情報に対して暗号化、パスワードを設定する等、容易に内容を読み取られないようにする。

2 持ち出した情報機器の盗難、紛失時には、利用者は速やかに医療機関運用管理者に届け出る。

3 利用者より届け出を受けた医療機関運用管理者は、速やかに運用管理者に届け出る。

4 届け出を受けた運用管理者は、その情報及び情報機器の重要度に従って対応する。


(利用者への周知)

第 35 条 運用管理者は、情報機器の持ち出しについて記載されたマニュアルを整備し、利用者に周知の上、常に利用可能な状態におく。

→xxxxx型生殖医療支援情報連携ネットワーク運用マニュアル

2 運用管理者は、利用者に対して、情報機器の持ち出しについての内容を含む本ネットワークの取扱い及びプライバシー保護に関する研修を行う。


第8章 災害等の非常時の対策


第 36 条 各医療機関の事業継続計画(BCP)に準じた運用を行う。第9章 教育と訓練

(マニュアルの整備)

第 37 条 運用管理者は、本ネットワークの取扱いについてマニュアルを整備し、利用者に周知の上、常に利用可能な状態におく。


(研修の内容)

第 38 条 運用管理者は、本ネットワークの利用者に対し、定期的に本ネットワークの取扱い及びプライバシー保護に関する研修を行う。


(監査)

第 39 条 監査責任者は、本ネットワークの運用管理規程の、厚生労働省「医療情報システムの安全管理に関するガイドライン」への準拠状況及び本ネットワークの運用状況を監査する。

2 監査は、定期的に実施する。

3 管理者は、監査責任者から監査結果の報告を受け、問題点等の指摘等がある場合には、直ちに必要な措置を講ずる。


(是正処置及び予防処置)

第 40 条 運用管理者は、患者、利用者からの苦情、緊急事態の発生、監査報告、外部審査機関等からの指摘で、システムの機能、運用状況等に問題がある場合には、問題に対する是正処置及び予防処置を確実に実施する。


(本ネットワークの見直し)

第 41 条 運用管理者は、本ネットワークの適切な運用を維持するために、必要に応じ、本ネットワーク及び運用管理規程等の見直しを行う。運用管理規程等の見直しにおいては、次の事項を考慮する。

(1) 本ネットワークの運用状況

(2) 苦情を含む外部からの意見

(3) 前回までの見直しの結果に対するフォローアップ

(4) 標準規格や法令等の規範の改正状況

(5) 社会の情勢等の変化、国民の認識の変化、技術の進歩などの諸環境の変化

(6) 内外から寄せられた改善のための提案


附則

本規程は、令和5年12月16日から施行する。

改 定 履 歴


版数

改定年月日

改定内容

1.0

令和5年12月16日

新規制定

※版数は新規制定を第1.0版とし、改定が発生した際は第1.1版とする。

Document Metadata

Filed: January 10th, 2024