医療ISACは、当団体関与の下で、以下の各ガイドラインに基づく運用管理規程の整備、または監査を通した運用管理状況の改善に関する取組を図る医療機関、及び医療情報システムを開発・運用する情報処理事業者に対して、<MITSF認証>を付与する取組を行います。
・厚生労働省「医療情報システムの安全管理に関するガイドライン」況を再点検し、管理活動の改善を支援することにあります。
・経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」
・総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」
MITSF認証の主旨
医療情報システムを利用する医療機関、または開発・運用する情報処理事業者は、官庁が策定する上記の3省3ガイドラインへの準拠、つまり各ガイドラインの要求事項を反映した運用管理規程を策定し、当該規程に基づき医療情報システムの利用、開発/運用を行うことがコンプライアンスとして求められています。 従来まで、このコンプライアンスは、院内や事業者内部で実務的に対応すること(=管理責任)に重点が置かれていました。しかしながら、当今のサイバー脅威の増大や地域医療連携に伴うサプライチェーンリスクの高まりなどを背景に、今や、単に「実務的に対応している」ことのみでなく、何らかのインシデントが発生した場合、外部のステークホルダーに向けて確実にその対応状況を説明できる水準で維持すること(=説明責任)の必要性が高まっています。
当団体ではこのような状況を鑑み、医療機関や情報処理事業者によるコンプライアンスに向けた取組状況の信頼性を独立した第三者機関として審査した上で、外部のステークホルダーに向けた説明責任を果たすための一助として、「MITSF認証」を提供します。
MITSF認証のカテゴリー
MITSF認証は、<MITSF規程認証>並びに<MITSF監査認証>の二つのカテゴリーから構成されます。
| 認証名称 | 認証内容 | 対象組織 | 認証時点 |
|---|---|---|---|
| MITSF規定認証 | ガイドライン対応に向けた整備/見直し、レビュー等、何らかの支援が行われた運用管理規定を有する組織体に対して、「ガイドラインに基づく運用管理規定の整備が行われているという事実」について認証を行う | ・医療機関 ・医療情報システムを開発/運用する情報処理事業者 | 組織としての運用管理規定の整備を完了した時点 |
| MITSF監査認証 | ガイドライン対応状況について何らかの(外部監査、または内部監査支援)が行われた組織体に対して、「運用管理プロセスの改善にい向けて、ガイドラインに基づく対応状況に関する監査が実施されてるという事実」について認証を行う | ・医療機関 ・医療情報システムを開発/運用する情報処理事業者 | 監査を実施した時点 |
認証に向けた審査の流れ
医療機関には厚生労働省ガイドライン、情報処理事業者には経済産業省/総務省ガイドラインの要求事項を踏まえた観点より、対応が行われているかという観点より、 医療ISAC にて審査を行います。 審査は、「GLに基づく運用管理規程の整備が行われているか」、「規程に基づく運用管理状況についてPDCAサイクルの観点より監査を実施し、改善に向けた取組を行っているか」という点に基づき行います。
審査手続は以下のいずれかのケースに基づき実施することとなります。
(1) 医療ISAC の関与のもとで、運用管理規程の整備、または監査を行う場合
MITSFに運用管理規程の整備や監査サービスをご依頼頂くケースが該当します。 この場合、審査対象となる規程、または監査への取組状況を 医療ISAC が常に把握可能なため、該当する取組の完了とともに、 医療ISAC がその取組状況への認証をあわせて付与します。
(2) 医療ISAC へ運用管理規程または監査結果のレビューを依頼する場合
M自組織内部で運用管理規程の整備、または監査を行い、その結果を 医療ISAC へ審査依頼するケースが該当します。 この場合、まずは 医療ISAC にて、運用管理規程、または監査の結果をレビューした上で、認証の条件を充足していれば、認証を付与します。
認証書の発行
医療ISAC による審査が完了し、認証条件を充足していると判断された場合、認証書を発行します。 認証は特定日時点のものとなります。一度、認証を取得した組織に対しても、当該組織において規程の見直しまたは監査が実施され、その結果を 医療ISAC にて審査し、条件を充足したと判断した場合は、過去の実績も反映した新たな証明書を発行します。
医療機関向けの証明書(イメージ)
認証組織の登録/掲載
MITSF認証の発行を受けた組織は、ガイドラインに基づく運用管理規程の整備、または運用管理プロセスの改善に向けて監査を実施するPDCAサイクルを運用することで、医療情報を取り扱う上で求められるコンプライアンスへの取組が図られている優良な組織として 医療ISAC にて登録を行った上で、当サイト上で開示します。
現在、MITSF認証の発行を受けたMITSF認証 登録組織一覧はこちらをご参照ください。