小林市病院事業診療諸記録の電子保存に関する運用管理規程

○小林市病院事業診療諸記録の電子保存に関する運用管理規程

平成21年4月1日

病院企業管理規程第23号

(目的)

第1条　この規程は、小林市病院事業(以下「病院」という。)において、保存義務が法令に規定されている診療諸記録(以下「保存義務のある情報」という。)の記録媒体による保存のために使用する機器、ソフトウェア及び運用に必要な仕組み全般(以下「電子保存システム」という。)について、その取扱い及び管理に関する事項を定め、病院において取り扱う情報を適正に保存するとともに、適正な利用に資することを目的とする。

(電子保存に関する理念)

第2条　病院の電子保存システムを扱うすべての利用者(以下「システム利用者」という。)は、記録媒体に保存した保存義務のある情報の真正性、見読性、保存性を確保し、かつ、情報が患者の診療や病院の管理運営上必要とするときに、信頼性のある情報を迅速に提供できるよう、協力して環境を整え、適正な運営に努めなければならない。

2　システム利用者は、診療情報の二次的利用(診療及び病院管理を目的としない利用をいう。)についても、患者のプライバシーを侵害しないよう注意しなければならない。

(電子保存する情報の範囲)

第3条　病院において、診療情報を電子保存する際に対象とする情報の範囲については、管理会議の審議を経て、病院長がこれを定める。

(システム管理者等)

第4条　病院に電子保存システム管理者(以下「システム管理者」という。)を置き、病院長をこれに充てる。

2　病院長は、システム管理者を別に指名することができる。

3　電子保存システムを円滑に運用するため、電子保存システムに関する運用及び監査について、それぞれを担当する責任者(以下それぞれ「運用責任者」及び「監査責任者」という。)を置く。

4　運用責任者及び監査責任者は、病院長が指名する。

(システム改修及び新規構築)

第5条　電子保存システムの大幅な修正、改造及びシステムの新規構築等に関する取扱い並びに管理に関し必要な事項は、経営会議で審議する。

2　前項に定める経営会議の運営については、別に定める。

(苦情の受付窓口の設置)

第6条　患者から電子保存システムについての苦情受付窓口として、小林市病院事業接遇向上委員会(以下「接遇向上委員会」という。)がその対応に当たる。なお、苦情受付後は接遇向上委員会の措置に準ずる。

(契約書及びマニュアル等の管理)

第7条　契約書は小林市病院事業文書取扱規程(平成21年小林市病院企業管理規程第15号)に準じて管理する。

2　マニュアル等の管理は、運用責任者の下で行い、適宜見直しを行う。

(障害及び事故対策)

第8条　システム管理者は、緊急時及び災害時の連絡体制を定め、非常時においても参照できるような記録媒体に保存し保管する。

2　システム管理者は、想定される障害の段階と影響度に応じて、障害時の行動要領を示した手順書を作成する。

(システム利用者への周知)

第9条　システム管理者は、情報システムの取扱いについてマニュアルを整備し、システム利用者に周知の上、常に利用可能な状態に置く。

(業務委託の安全管理)

第10条　業務を病院以外の者に委託する場合は、契約書に守秘義務を課した業務委託契約を結ばなければならない。各部門の担当者は、委託内容が個人情報保護の観点から適正かつ安全に行われていることを確認しなければならない。

2　システム管理者は、電子保存システムの保守業務委託者に対し、その作業者及び作業内容につき報告を求め適切であることを確認するものとする。

(個人情報の取扱い)

第11条　電子保存システムから個人情報を含む診療情報を取り出す際は、システム管理者の承認を得なければならない。

(システム管理者の責務)

第12条　システム管理者は、電子保存システムを統括し、以下の責務を負う。

(1)　電子保存された情報の安全性を確保し、常に利用可能な状態に置くこと。

(2)　電子保存システムに変更があった場合においても、電子保存された情報が継続的に使用できるよう維持すること。

(3)　システム利用者の登録を管理し、そのアクセス権限を規定し、不正な利用を防止すること。

(4)　電子保存システムを正しく利用させるため、システム利用者の教育と訓練を行うこと。

(5)　保守業務委託者における保守作業に関し、その作業者及び作業内容につき報告を求め適切であることを確認すること。なお、必要と認めた場合は適時監査を行うこと。

(運用責任者の責務)

第13条　運用責任者は、以下の責務を負う。

(1)　改ざん(故意による虚偽入力、書き換え、消去等)ができないシステムの構築及び運用操作環境を整備すること。

(2)　電子保存システムの品質維持のため、定期的に保守点検を行うこと。

(3)　電子保存システムに変更があった場合においても、診療情報の安全性を確保し、常に利用可能な状態にしなければならない。なお、変更等の記録を残すものとすること。

(4)　システム障害時の連絡体制及びシステム修正依頼等を報告する連絡体制を整えること。

(5)　システム障害時に障害の度合いを見極め、手順書にそった迅速な障害発生事実の報告、システム復旧までの見通し等をシステム管理者に報告し、復旧作業から通常運用に復帰するまで指揮監督に努めること。

(6)　運用マニュアル及び操作マニュアルを作成し、常に利用可能な状態に置き、適宜見直しを行うこと。

(7)　システム利用者のアクセス状況を確認し、監査責任者に報告すること。

(8)　個人情報が保管されている機器の設置場所及び記録媒体の保存場所(以下「サーバールーム」という。)及びサーバールームへの入退出者の管理を行うこと。

(9)　ネットワーク及びシステム利用者が情報の保存又は参照する端末(以下「クライアント」という。)の管理を行うこと。

(監査責任者の責務)

第14条　監査責任者は、以下の責務を負う。

(1)　年4回電子保存システムに関する監査を行い、速やかにシステム管理者へ報告すること。

(2)　システム管理者が特に必要と認めた場合は、速やかに臨時監査を実施し、システム管理者へ報告すること。

(システム利用者の責務)

第15条　システム利用者は、以下の責務を負う。

(1)　電子保存システムを利用し、情報を保存した場合、その作成責任を負う。

(2)　自身の認証番号(ユーザー名)及びパスワードを管理し、これを他者に利用させないよう注意する。また、定期的にパスワードの変更を行うこと。

(3)　電子保存システムの情報の参照や入力(以下「アクセス」という。)に際して、自身の認証番号(ユーザー名)及びパスワードによって、電子保存システムに認識させること。作業終了あるいは離席する際は、必ずログアウト操作又は離席機能操作を行うこと。

(4)　与えられたアクセス権限を越えた操作を行わないこと。

(5)　参照した情報を目的外に利用しないこと。

(6)　患者のプライバシーを侵害しないこと。

(7)　電子保存システムの異常を発見した場合は、速やかに運用責任者に連絡し、その指示に従うこと。

(8)　不正アクセス(他人の認証番号(ユーザー名)及びパスワードによるアクセス又は第10条の規定によらない個人情報の持ち出しをいう。)を発見した場合は、速やかに運用責任者に連絡し、その指示に従うこと。

(サーバールームの管理)

第16条　サーバールームは、セキュリティー、無水消火装置、無停電電源装置及び空調等が完備された安全な部屋を確保する。

2　運用責任者は、サーバールームへの入退者をサーバールーム入退出名簿により管理し、内容について定期的に点検を行う。

3　運用責任者は、サーバールームを施錠できる状態に整備し、施錠管理を行う。

(クライアントの管理)

第17条　運用責任者は、盗難の可能性があるクライアントに盗難防止の対策を施す。

2　運用責任者は、不正な個人情報の持ち出し、あるいはクライアントの目的外利用を防止するため、ネットワーク及び可搬型記憶媒体によって情報を受け取る機器について、必要に応じてこれを限定する。

3　運用責任者は、すべてのクライアントにウィルス対策を施す。

4　クライアントへのアプリケーションの追加導入等については、診療業務に関係するものに限定し、運用責任者の承認を得た場合にのみ許可するものとする。

(ネットワークの管理)

第18条　運用責任者は、定期的に電子保存システムの利用履歴及びネットワーク負荷等を検査し、通信環境の効率的な運用を維持するとともに、不正に利用された形跡がないかを確認する。

2　運用責任者は、ネットワークの不正な利用を発見した場合には、直ちにその原因を追究し対策を実施する。

3　病院外とのインターネットを介した電子保存システムへのネットワーク接続は不可とする。ただし、遠隔操作による保守作業用回線(限定された接続先に限る。)及びシステム管理者が許可した場合のみは可能とし、接続履歴を残すこと。

(代行入力)

第19条　医師の権限に属するデータの入力及び更新並びに削除を、医師以外の者に例外的に行わせること(以下「代行入力」という。)ができる。

2　代行入力を行う者は、自身の認証番号(ユーザー名)及びパスワードによって、電子保存システムに認識させなければならない。

3　代行入力を指示した医師は、その入力に対し承認を行う。

(記録媒体の管理)

第20条　運用責任者は、記録媒体の劣化を考慮し、定期的なバックアップを行う。

2　運用責任者は、記録媒体の保管及びバックアップ作業について、その作業手順に従って行い、記録を残す。

3　記録媒体の廃棄に当たっては、安全かつ確実に行われることをシステム管理者が作業前後に確認し、結果を記録に残す。

(リスクに対する予防・発生時の対応)

第21条　システム管理者は、業務上において情報漏えいなどのリスクが予想される場合には、本規程の見直しを行う。

2　運用責任者は、情報漏えい等が発生した場合には、対象範囲・流出経路等を速やかにシステム管理者に報告する。

(教育及び訓練)

第22条　システム管理者は、システム利用者に対し、定期的に電子保存システムの取扱い及びプライバシー保護に関する教育及び訓練を行わなければならない。

(監査)

第23条　システム管理者は、監査責任者に監査を実施させ、監査結果の報告を受け、問題点の指摘等がある場合には、直ちに必要な措置を講じなければならない。

2　監査の内容については、管理会議の審議を経て、病院長がこれを定める。

3　システム管理者は必要があると認める場合は、臨時の監査を監査責任者に命ずることができる。

(システムの取扱に係る準用規定)

第24条　この規程は、保存義務のある情報の電子保存システム以外のシステムの取扱について準用する。

(その他)

第25条　この規程に定めるもののほか、この規程の施行に関し必要な事項がある場合については、管理会議の審議を経て、病院長がこれを定める。

附則

この規程は、平成21年4月1日から施行する。