2022年9月1日
プライバシーマーク(Pマーク)における3省2ガイドラインとは、医療情報に関わるシステム等の安全管理に関するガイドラインで、情報の取扱いについて考える基準となります。
3省2ガイドラインに含まれる第三者認証として、プライバシーマークの他にISMS(ISO27001)も選択に入れることができます。
1.3省2ガイドラインとは
3省2ガイドラインとは、
総務省及び経済産業省が発行している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」と
厚生労働省は発行している「医療情報システムの安全管理に関するガイドライン」を指しています。
以前は、3省3ガイドラインと言われていましたが、
総務省と経済産業省で発行されていたガイドラインが整理・統合され2020年8月より適用されています。
2.医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインとは
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは、
総務省で発行していた「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と
経済産業省で発行していた「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」を2020年8月に整理・統合したガイドラインとなります。
このガイドラインで対象とされている医療情報及び対象事業者は下記となります。
医療情報
・医療従事者が作成・記録した情報
・医療従事者の指示に基づき介護事業者が作成・記録した情報等
対象事業者
・医療機関等と直接契約を行い、医療情報システム等を提供する事業者
・医療機関等と直接的な契約を行っていなくても、医療機関等に提供する医療情報システム等を提供する事業者
・患者等の指示に基づいて医療機関等から医療情報を受領する事業者
等
3.どんな要求事項があるのか?
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」には大きく下記のことが記載されています。
- 医療情報の安全管理に関する義務と責任について
- 対象事業者と医療機関等の合意形成
- 安全管理のためのリスクマネジメントプロセス
- 制度上の要求事項
4.どんな対策が必要なの?
要求事項に対してどんな対策が必要か、いくつかの例を下記に記載します。
医療情報の安全管理に関する義務と責任について
1.安全管理義務
医療機関等は患者に対して善管注意義務や守秘義務を負っています。この義務には、適切なセキュリティ体制を構築し、維持、運用する義務(安全管理義務)があります。医療機関等から業務の委託を受ける対象事業者も関連する事項に対して、安全管理義務が含まれます。
また、個人情報保護法では委託元の医療機関等も委託先の対象事業者も安全管理措置を講じる義務を負います。
2.対象事業者の説明義務
対象事業者は医療機関等に対して、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務(説明義務)を負います。
3.情報セキュリティ事故等発生時における義務と責任
情報セキュリティ事故が発生した際に、「危機対応義務」と「民事責任」を負うことがあります。
対象事業者と医療機関等の合意形成
対象事業者と医療機関等の合意形成には、対象事業者から医療機関等への適切な情報提供が必要となります。情報提供すべき項目の例は下記となります。
-医療情報等の安全管理に係る実施体制の整備状況
-実績等に基づく個人データ安全管理に関する信用度
-医療機関等の運用管理規程に定める必要がある事項
-医療情報システム等の安全管理に係る評価の結果
-リスク対応一覧
等
5.第三者認証等の取得ープライバシーマークとISMS
この「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」には 、
『4.4 第三者認証等の取得に係る要件』(どういった第三者認証が必要なのか)が記載されており、 プライバシーマークまたはISMSを認証取得することとしています。
第三者認証等の取得に関わる要件について、プライバシーマークとISMS、どちらの方が良いのでしょうか?
簡単にそれぞれの特徴を記載します。
プライバシーマーク
個人情報マネジメントシステムの構築、運用、維持がされていることを示す第三者認証です。
日本国内で活用されている認証で、約17,000社(2022年3月末時点)が取得しています。
個人情報に特化した認証であるため個人情報以外に関しては触れられていません。
ISMS(ISO27001)
情報セキュリティマネジメントシステムの構築、運用、維持がされていることを示す第三者認証です。
国際標準のISO27001が基となっているため、日本国外でも認知されています。
日本の認定機関に登録されている組織数は約6,800社(2022年3月末時点)となっています。
組織が取り扱う、個人情報を含めた情報資産に対しての情報セキュリティマネジメントシステムとなるため、
プライバシーマークに比べて、広い範囲で仕組みを作成するものとなります。
それぞれに上記の記載があるため一概にどちらの方が優れている、ということは言えません。
取引先から個人情報の保護について強く言われているのであれば、プライバシーマーク
取引先から業務に関わる情報資産に対する全般的な情報セキュリティを担保できる状態にして欲しい、という要望があるのであれば、ISMS
と考えてもらった方がよいかもしれません。
自社の業務でより取扱いが多い情報がどちらかを見直していただき、判断をしてみてください。
まだまだ疑問点がある…という方へ、無料の解説資料を現在プレゼント中です!ぜひご活用ください。
まとめ
3省2ガイドラインとは、医療情報に関わるシステム周りについての安全管理に関わるガイドラインのことを言います。
その中で、第三者認証に関わる要件について、プライバシーマークとISMSを取得することが言われています。
自社が取り扱う情報を基にどちらを取得するか判断するとよいでしょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
Pマーク(プライバシーマーク)・ISOに関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
Pマーク(プライバシーマーク)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ