Japan Association for Medical Informatics

[2-H-1-03] 厚労省ガイドライン第5版にもとづく情報システム運用管理規程の改訂とシステム監査実施について

福田 秀樹1、藤岡 和美1、平井 智裕2、尾崎 勝彦1 (1. 徳洲会インフォメーションシステム株式会社, 2. 岸和田徳洲会病院)

Information System Operations Management Stipulation, System audit, Guidelines for Medical Information Systems

徳洲会グループでは、徳洲会インフォメーションシステム株式会社(以下TIS)とグループのIT統括部門である情報システム管理部会(グループ病院約150名のSEで組織:以下SE部会)、また外部機関(一般社団法人メディカルITセキュリティフォーラム)の協力も得て、グループの65病院共通で利用する情報システム運用管理規程の第4.2版から第5版への改訂作業に取り組み、昨年11月にこの新版をリリースした。
 改訂にあたっては共通の帳票・台帳類を新たに作成し、この帳票等を利用することで規程に沿ったシステム運用ができることを目指した。各病院の新規程への切り替えと新しい運用への移行状況をTISとSE部会で把握し、病院から様々な質問や相談を受けながらフォローを行ってきた。
また、新規程にもとづいたシステム監査を行うべく監査表・監査手順を検討・作成し、4月に大阪のグループ病院で第1回の監査を次のとおり実施した。
監査実施日時と事前提出文書通知(約1ヵ月前) → 文書提出締切(約2週間前) → 事前(文書)監査実施 → 現地監査(文書監査結果確認・関係者インタビュー・現場確認・総評) → 監査結果打合せ・監査報告書作成 → 病院へ監査報告書提出
この手順で、夏以降は月2~3病院のペースで監査を行うべく計画している。
 新規程は厚労省ガイドライン第5版に準拠し、かつ会計監査の視点も取り入れた内容としているが、規模や体制、従来の運用は各病院で異なり、規程に沿った運用が難しいケースもある。様々な意見を汲みながら今後規程のブラッシュアップを継続する必要がある。また4月のシステム監査では、パスワードの変更ルールや情報機器持ち出し時の承認手順など複数の指摘事項があり、その後病院から改善報告が行われた。
新規程の適用とシステム監査は病院のセキュリティレベルの向上に寄与するものと考える。さらなるレベルアップを目指して活動を続けたい。