【1032】ISMSの認証のメリットと手間・コスト
日々の学びや気づきを言語化し、行動を変え、未来を変える一助に。
木曜日です。初旬が終わろうとしています。
前回に続き、以下のテキストから(^_^)
医療経営士テキスト「医療情報セキュリティマネジメントシステム(ISMS)」
(読書通算968日目)
今日は短めです。
第3章、「保健医療分野でのISMS構築 認証取得の現状」です。
【ISMSの認証のハードル、メリット】
ISMSの認証状況については、日本では多くの企業が認証を受けている。
しかし、プライバシーマーク取得の医療機関や健診機関と比べると、
ISMSを認証している医療機関や健診機関は少ない。
ISMSは、抽象的な記述が多く、比較的ハードルが高い、ということがネックになっている。
健診を委託する企業としては、従業員の個人情報に責任を負うため、
プライバシーマーク等の認証を受けているかどうかは、健診機関にとっては、
受注のための重要な要件となる。
医療機関においても、患者の個人情報を十分に保護していること、
取り扱いについて説明する責任が発生すること、リスク分析を実施すること、
ということで医療情報システムの安全管理に関するガイドライン上、
整備すべき項目とも言える。
しかし、それでも手間やコストがかかるため、特段のモチベーションが
働きにくいのが現状、である。
ただ、機微な個人情報を扱うことに変わりはないし、デジタル化が進む中で、
セキュリティマネジメントは検討する必要があることは間違いない。
上記に加えて、他機関との連携を強化するために、連携への参加メンバーが
安全管理ガイドラインに適合し、情報セキュリティをマネジメントするための
ツールとして、ISMSは有効である。それらを進める際は、例えば、
地域医療連携に直接関わる所のみに適用範囲を限定して選ぶこともできるのは、
ISMSの特徴とも言える。
・・・・・・・・・・・・・・・・・・・
認証を受けていることで、受診者が安心される、セキュリティ対策が充実する、
というメリットがあると思いました。
地域との連携においても大事なポイント、ということです。
ただ、そのメリットを感じられるか、そのために、
どれだけの時間や人を投資できるか・・・。必要性と経営資源との相談ですね。
【ISMSとPMS(個人情報保護マネジメントシステム)の比較】
PMSが個人情報のみを取り扱うのに対して、
ISMSはすべての情報をセキュリティ対象として扱う。
また、PMSは、情報処理のみに限らず、個人情報の取得時の同意や
利用及び提供、個人情報の本人等への開示に至るところまで規定がされている。
その他の違いとしては、更新審査の期間、適用範囲(PMSは基本的に事業者単位)などがある。
・・・・・・・・・・・・・・・・・・・
認証を受けなくても、セキュリティに対する考え方がしっかりしていれば問題ない
かもしれませんが、どちらにしても、一般的に必要と思われる対策がされているかどうか、
という視点でチェックは必要でしょう。
【関連する規範】
様々なガイドラインや、手術のISOの規格がある。
マネジメントシステムの統合として、QMS(品質ISO9001)、EMS(環境ISO14001)などの
マニュアルと統合することでマネジメントの統合が可能になる。
適用範囲(スコープ)を状況に応じて設定し、ステップアップが可能であること、
また、ISO19011(マネジメントシステム)と、戦略的に統合するなどを一緒に取り組むことで、
認証機関側としても審査等の経費面、顧客の作業量の軽減や顧客確保の観点から有効である、
と考えられている。
・・・・・・・・・・・・・・・・・・・
様々なISOの規格はあります。つい二の足を踏んでしまいますが、
自組織にとって有効かどうか、形骸化しないか、改善につながるものか、
で考えてみるのも良いですね。
では、また明日(^_^)v
◇過去の内容、記事はこちらから是非(^-^)
◇メルマガ登録はこちらから(^-^)
https://www.mag2.com/m/0001682907.html
◇以下は、中小企業診断士試験の受験(不合格体験)を通しての学びを電子書籍にしたものです。
リベンジ予定ですが、しばらく別の活動中。その他の書籍も是非ご覧下さい。
Kindle Unlimitedで読めます(^-^)