知識の泉

3省3ガイドライン(3省4ガイドライン)
電子カルテなどの医療情報をクラウドに外部保存する際のガイドライン

  1. 厚生労働省
    「医療情報システムの安全管理に関するガイドライン」
  2. 総務省
    「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」*1
  3. 経済産業省
    「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」

*1 以下の2つのガイドラインを2018年7月にまとめた。
「ASP・SaaS における情報セキュリティ対策ガイドライン」
「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

 

  1. 厚生労働省「医療情報システムの安全管理に関するガイドライン」
  2. 総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」
  3. 経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」

 

SOC報告書|System and Organization Controls

米国公認会計士協会(AICPA)が定義した業務受託会社(Service Organization)における内部統制保証報告の枠組みです。SOC報告書の作成は、監査法人や公認会計士が第三者の立場から客観的に検証した結果を記載します。日本公認会計士協会でも、これに相当する基準が公表されています。AWSのようなクラウドサービスプロバイダが提供するサービスは、その運用方法やセキュリティなどの品質がわかりにくい為、このSOC報告書を利用して品質保証を表現する活動が活発になっています。

SOC報告書の種類にはSOC1、SOC2、SOC3の3種類があります。

  • SOC1
    財務諸表監査の観点から、情報システムの内部統制監査を実施したもの(IT全般統制、J-SOX)
  • SOC2
    セキュリティや、機密保持、アベイラビリティといった部分に重点を実施したもの<br />
    セキュリティ事故による損害賠償等の財務的リスクを検討する為のもの
  • SOC3
    SOC2の内容に関して、一般的に公開できる内容規定したもの