この度はAiDETECTの公式ブログにご訪問頂き、本当にありがとうございます。
この更新で第8回目となります。今後ともよろしくお願いいたします。
こちらの公式ブログでは、AiDETECTの活用ノウハウや、機能アップデート、お得なキャンペーン、US本社での事例記事等をご紹介したいとおもいます。
前回、第7回目の記事では、公益財団法人日本医療機能評価機構様のMINDSの診療方法ガイドラインをご紹介いたしました。 また、米国での医療機関でのセキュリティールールを作成する上での重要視する3つの措置をご紹介いたしました。
その続きとなります。
物理的な保護措置
電子情報システムおよび関連機器や建物を、自然、環境災害や不正侵入から保護するためのBCP (事業継続計画) 対策として物理的手段、方針、手順と定義されています。この基準規定には以下が含まれています。
医療施設機関のアクセス制御
医療情報システムを集約する施設へのアクセスを極力制限するための方針および手順
医療ワークステーションの使用
医療ワークステーションの適切な業務上の活用に措置を実施。
医療ワークステーションの適切な業務上の活用の事を示します。この場合の医療ワークステーションとは、あらゆる医療端末、電子端末および身近な環境に保存されている記録メディア等となります。
医療ワークステーションのセキュリティ
保護対象電子健康情報にアクセスする事ができる医療ワークステーションにおいて、物理的な保護措置の実施となります。例えば、ユーザー名とパスワードをPCの横に書いてあり、誰でもアクセスする事ができるなどを禁止するなど事などになります。
医療端末デバイス並びに記録メディアの管理
施設内外および施設内における保護対象電子健康情報を含むハードウェアおよび記録メディアの除去に関する方針および手順を要求する事になります。
技術的な保護措置
保護対象電子健康情報を一括して保護し、保護対象電子健康情報へのアクセスを制御する技術およびその技術の使用に関する方針および手順と定義されています。この基準には以下が含まれています。
アクセス
患者様データの読み取り、書き込み、変更、および通信を行う能力または、手段を指し、ファイル、システム、およびアプリケーションが含まれる。データの暗号化だけでなく、アクセス手順も含まれます。
監査統制
保護対象電子健康情報を管理するシステム内とそれに関するユーザのアクセス活動を記録し、調査するための仕組みとツールが必須となります。
認証
保護されたデータへのアクセスを求める団体または個人の身元を確認することとなります。
米国において、各組織は、自らのユーザ環境並びに、使用するアプリケーションに基づいて、何が合理的で適切なセキュリティ対策を決定しなければならないと方針を固めました。 米国では、確かに患者のPHIの保護にはコスト高となりますが、アメリカ合衆国保健福祉省は一貫して、セキュリティリスク評価を毎年実施し、リスクを管理するための緩和策を実施することに重点を置いてきました。 日本でも令和2年以降、皆様もご存じのように、3省2ガイドラインを始動しました。
AiDETECT株式会社のプライバシーマネージャーはこの観点からおいても様々な医療一般社団法人様・医療情報連携基盤(EHR)の規模に合わせた医療法人事業体すべてのニーズに対応できるよう設計されています。
個人情報保護法により、厚生労働省、個人情報保護委員会、患者様などに様々な侵害報告が義務付けられています。 もし、医療従事者が個人情報を漏えいしてしまうと、何らかの法的根拠に基づいて、刑事罰の対象となります。
また、医療事業所、医療事業主様と患者様への信頼関係が崩れる恐れがあります。 そのソリューションとして弊社の「人工知能」(Ai)機能が医療事業の運営、情報漏えい防止対策ツールとしてお手伝いできる事が可能となります。
ご精読ありがとうございました。 また、製品に関するご質問、ご要望なども、いつでもお気軽にご連絡ください。 お問い合わせはこちらになります。
AiDETECTでは、公式フェースブックファンページ、公式ツィッター, 公式インスタグラムをフォローしてください。 よろしくお願いいたします!
**こちらのブログは個人的な予測、見解を含んでおります。また、公式情報は変更・追加されますので、最新情報を随時確認してください。 また、正式・正確な情報は、担当省庁でご確認ください。