1.本サービスの目的と対象
1.1 本サービスの目的
【iSPOT (舌癖訓練管理サービス)】(以下、「本サービス」という)の目的及び対象は下記のとおりである。
(1) 本サービスの目的
本サービス(iSPOTのサービス)は、合同会社JDI(以下、「乙」という)が乙との間で本サービスに関する契約を締結した者(以下、「甲」という)に対して、クラウドサービスにより、甲が甲の患者に対して行った舌癖訓練に関するデータの記録・管理及びそれに伴うサービス並びに甲が甲の責任の下で甲の患者に対して行う舌癖訓練の方法に関する情報の提供を目的とする。
(2) 本サービスの対象
本サービスの対象は、診療所とする。
1.2本サービスの提供範囲
本サービスの提供範囲は下記のとおりである。
(1)クラウドサービス
本サービスでは、乙は、1.1に示す目的で利用するアプリケーションをクラウドサービスとして甲に提供する。また甲の本サービスの利用に係る技術的なサポート等も本サービスの提供範囲とする。
(2) ネットワークサービス
甲が本サービスの利用に際して必要となるネットワークサービス (ネットワーク回線サービスおよびVPNサービス)は、本サービスには含まない。
(3) 使用機器等
甲かが本サービスの利用に際して必要となる端末(PC)、ネットワーク機器等の提供及びこれらに係る技術的サービスは、本サービスに含まない。
(4) 本サービスの利用に供するソフトウェア
甲が本サービスの利用に際して必要となるソフトウェア(OS 及びブラウザー)の提供及びセットアップ等は、本サービスには含まない。技術的なサポートについては、 本サービスの利用に必要な範囲で、本サービスの提供範囲とする。
1.3 本サービスの提供時間
本サービスは、7.1(2)の「事前に合意された事由」に基づく停止を除き、24 時間提供する。 本サービスの提供に当たり、乙の通常業務時間は以下のとおりである。
【火曜日・水曜日・金曜日・土曜日】 11:00~16:00
【月曜日、木曜日、日曜日・祝日】休み
2. 本SLA について
2.1 本SLAの適用期間
本SLAの適用期間は、下記のとおりとする。なお、本 SLA は、乙において管理するシステムの外部・内部の環境変化に応じて、必要に応じて都度、改定が行われるものとし、改定の度に適用期間を定めるものとする。
版数 適用開始日 適用終了日
第1.0版 適用開始日 2022年1/1 適用終了日 2023年 12/31
本項で明示する適用期間を越えて本サービス利用契約が継続する場合には、適用期間経過後も引き続き、本SLAが適用されるものとする。
2.2 本SLA の改定
(1) 改定の契機
本SLAは、必要に応じて見直しを実施し、改定する。改定時は、改版履歴に改定内容を明記する。改定の契機は、下記のとおりとする。
・ 乙が必要と認めた場合
・ 双方の合意事項に明確な変更があった場合
・ その他、双方責任者が必要と認めた場合
(2)変更の手続き
本SLAの改定が必要となった場合は、乙は1.1(1)の目的に反しない範囲でサービスレベル変更を行うことができる。なお、双方で協議の上、サービスレベル変更の内容を合意することを妨げるものではない。
3.前提条件
3.1 リスク評価
本サービスの提供において、乙は、乙が行うリスク評価に基づいて受託情報の管理を行う。
本サービスの提供に係るリスク評価は、乙は年次及び乙が必要と認める場合に評価を実施する。
本項で示す乙の行うリスク評価に関する情報については、6.6(3)に基づいて、乙は、甲に提供する。
3.2サービス利用環境
乙は、本サービスで提供するアプリケーションについて、【https://clinic.spot-mft.com/】にて公開されている利用環境における稼動を保証する。
3.3サービス提供環境・運用に係る前提条件
本サービスの提供に係る受託情報、プログラム等の保存、及びこれらに関するサーバ等の機器類の設置については、乙が委託するアマゾン ウェブ サービス(以下、「AWS」という。)にて行う。ただし本サービス提供に係る運用をリモートアクセスで行う範囲で、乙又は乙が委託するA-OKシステムズ株式会社所定の場所に、乙又は乙が委託するA-OKシステムズ株式会社は運用に供する機器を設置する。
乙は本サービスの提供に係る受託情報、プログラム等の保存、及びこれらに関するサーバ等の機器類のうち、医療情報に関するものは、日本国の法令の適用が及ぶ場所に設置する。
乙又は乙が委託するA-OKシステムズ株式会社は、本サービス運営上、データセンター等での機器や通信回線の増強、運用に係るプログラムの改善等を目的とし、必要最小限の範囲で、受託された情報の利用状況 (例えばハードディスク容量、データへのアクセス状況、回線のトラフィック等)に関する統計データの取得を行う。
乙又は乙が委託するA-OKシステムズ株式会社は、本サービス提供に際し、個別の障害対応等に際して、受託された医療情報を、甲との事前の合意に基づき参照することがある。また、セキュリティ対応上、必要と考えられる受託情報へのアクセス状況やシステム負荷の状況等を統計化することがある。本項で示すサービス提供環境・運用に関する乙の対策内容、実施状況等の情報については、6.6(2)、6.6(3)に基づいて、乙は、甲に提供する。
3.4 機器・ソフトウェアの品質
乙は、下記に示す事項を実施し、本サービスの提供に係るソフトウェア及びサーバ等の機器類の品質管理を行う。
・サービス提供に供するハードウェア及びソフトウェア等の仕様の明確化
・ハードウェア及びソフトウェア等の導入の妥当性を示すプロセス、及び改定履歴等の文書化の実施
・サービス提供に供する機器、ソフトウェアの品質管理の手順の策定及びその実施
・サービス提供に供するシステム構成やソフトウェアの動作状況に関する内部監査の実施
本項で示す品質管理に関する乙の対策内容、実施状況等の情報については、6.6 (3)に基づいて、乙は、甲に提供する。
3.5 準拠する法令・ガイドライン等
本サービスの提供に当たり、乙は、下記に示す法令を遵守し、下記に示すガイドラインについても最大限遵守するように努める。
・個人情報の保護に関する法律(平成 15 年 5 月 30 日法律第 57 号)
・クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン第1版(総務省 平成30年7月 )
・医療情報を受託管理する情報処理事業者向けガイドライン第 2 版(経済産業省平成24年7月)
3.6 守秘義務等
乙は、本サービスの提供に当たり、業務上知り得た医療情報に対する守秘義務を全うするため、下記の対応を行う。
・ 乙は、従業員に対し、業務上知り得た秘密(個人情報を含む)に関する守秘義務を課すること。
・ 乙は、個人情報の取り扱いに関する業務に従事させることを予定して採用する従 業員に対し、守秘義務を課して雇用契約を締結すること。
・ 乙は、従業員が退職した後も、その従業員が在職中に業務上知り得た秘密(個人 情報を含む)を保護するための守秘義務規程を個人情報保護規程等で文書化すること
・4.3に示す再委託事業者若しくはサービス提供に際して用いる他の事業者が提供 するサービス (連携クラウドサービス)を提供する事業者(連携クラウドサービス事業者)が、業務上の必要により診療録の個人情報にアクセスする際に知り得た個人情報につき、乙は、上記事業者に守秘義務を課すとともに、これに違反した場合の罰則等の措置を講じることを内容とする契約を締結すること。
3.7 監査
乙は、本サービスの提供に関するサービス仕様及び運用状況等につき、年次で内部監査を実施し、その結果を甲に対して報告する。
乙が実施する内部監査については、乙において定める規程に基づいて実施する。その規程等の具体的な内容、及び監査結果についての詳細な実施状況等の情報については、6.6(3)に基づいて、乙は、甲に提供する。
4.役割分担
4.1 システム構成上の役割分担と責任(各ベンダー間等の役割分担)
(1) 本サービス提供に対する責任
乙は、提供するアプリケーションが重要な点において正常に稼動し、甲が利用できることについての責任を有する。サービスの提供に係るアプリケーションに重大な障害等が発生し、それによってサービスレベルが低下した場合、乙は、商業的に合理的な範囲内において、本サービスの修正又は不具合の除去の努力をする。
(2) 本サービスの甲における利用環境に係る具体的な役割分担と責任
① 利用環境に関する役割分担と責任
甲における本サービスの利用環境において、甲が利用する機器等に関する役割分担及び責任については、下記のとおりとする。
・甲が本サービスの利用に関して設置するPC等の端末については、甲が必要な設定及びセキュリティ対策を実施するとともに、それを適正に管理する責任を有する。乙は、甲からの求めがあった場合には、甲が必要とする情報収集の支援を行う。
・甲が本サービスの利用に関して設置するネットワークサービスを利用するための 通信機器等については、甲が必要な設定及びセキュリティ対策を実施するとともに、それを適正に管理する責任を有する。乙は、甲からの求めがあった場合には、甲が必要とする情報収集の支援を行う。
・本サービスの利用に関して、甲がその管理する施設において設置する LAN(無線 LANを含む)については、甲が必要なセキュリティ対策を実施するとともに、その管理責任を有する。
・甲が設置する本サービスの利用に連携したシステム等については、甲が必要な設定及びセキュリティ対策を実施するとともに、それを適正に管理する責任を有する。
本サービスの甲における利用環境につき、甲が利用するサービス等に関する役割分担及び責任については、下記のとおりとする。
・本サービスの利用に関して、甲が外部から利用するために必要となるネットワークに対する不正侵入の防止措置については、甲が必要なセキュリティ対策を実施するとともに、それを適正に管理する責任を有する。乙は、甲からの求めがあった場合には、甲が必要とする情報収集の支援を行う。
乙が行う上記に関する甲への情報収集の支援に際し、乙において郵送費、出張費用 等の実費等が生じる場合には、甲の負担とする。
② 障害一般に関する役割分担と責任
本サービスにおいて、利用上の障害が発生した場合の役割分担及び責任については、下記の場合には、乙は、その責任において対応を行う。
・本サービスの提供に際して障害等が生じた場合に、乙は、甲の連絡若しくは自己の判断に基づき、その原因の調査を行い、報告する(第一次対応)。
・第一次対応の結果、障害の要因が乙の管理する、機器、アプリケーション等のシステム、ネットワーク、及びこれに関連するサービス等に起因するものであることが判明した場合には、乙は、復旧に対して乙が出来うる対応を行うよう努める。
下記の場合には、乙は、本サービスの利用に関して甲と復旧に必要な対応をとるための協議を行う。これに関して、甲は乙が必要とする対応を行う。
・第一次対応の結果、障害の要因が甲の管理する、機器、アプリケーション等のシステム、ネットワーク、及びこれに関連するサービス等に起因するものであることが判明した場合には、甲の責任とし、乙は、甲の求めがある場合には、復旧に対して必要な情報提供等の支援に努める。
・第一次対応の結果、障害の要因が甲乙いずれの管理に帰する事由に起因するものでないことが判明した場合には、甲乙協議の上、対応を行うよう努める。
4.2 甲の業務上の役割分担と責任
(1) 甲のサービス利用に関する業務上の役割分担
本サービスの提供において、下記の業務については、甲は、その責任において実施するものとする。
・甲における利用者のIDの発行、変更、削除、初期パスワード発行等に関する申請業務
・本サービスに係る甲における各利用者の権限設定
上記に関し、乙は、甲の求めに応じ、甲に対して必要な情報提供等を行い、支援を行う。
(2) サービス利用開始及び利用終了における情報内容の確認
本サービスの利用開始及び利用終了に当たり、下記の事項については、甲は、その責任において実施するものとする。
・甲がサービスの利用以前に作成したデータを、甲が本サービスにおいても利用する場合、当該データが、本サービスにおいて提供するアプリケーションにおいて正しく反映されていることの確認
・甲が本サービスの利用を終了する際に、6.2(4)にしたがって乙から甲に対して受託情報のデータが返却される場合に、当該データの内容が、正しいものになって いることの確認
(3) 甲が患者に対して行う情報提供に関する業務上の役割分担
本サービスに関連して、甲が患者等に対して行う情報提供につき、乙は、甲から求めがあった場合、下記の事項に関する資料等の提供、及びこれに係る支援を行う。
・甲から受託する患者情報に関する管理状況等
・本サービスに係る乙が実施する各種対策の状況
・本サービスに係る乙の運用状況
上記につき、6.6(2)、6.6(3)に基づいて、乙は、甲に資料提供等を行う。
4.3 再委託事業者・連携クラウドサービス事業者等
(1) 業務の再委託
①データセンター業務
本サービスの提供において、乙は、下記の業務の一部再委託を行う。
【AWS】(以下、丙とする)
・乙の管理する受託情報を含むシステムに関する物理的安全管理対策の管理業務
・乙の管理する受託情報を含むシステムに関する運用業務
②保守業務、運用業務
【A-OKシステムズ株式会社】
・乙の管理する受託情報を含むシステムに関する保守業務
・丙の管理業務、運用業務の監督
・本サービスの運用(特に「5サービス仕様」で記載されている事項が守られるようにための対応)
(2) 連携クラウドサービス事業者
本サービスの提供において、乙は、その管理に基づくクラウドサービス事業者と連携 したサービスの提供は行わない。
(3) 再委託先・連携クラウドサービス事業者に対する管理責任等
本サービスの提供において、本項で定める事業者が行う上記業務につき、乙は、管理責任を有する。本サービスの提供に関する上記業務の再委託おいて、乙が運用業務を実施する際に甲に対して負う義務と同じ内容の義務を、乙は、本項で定める事業者に対して課するものとする。
(4) 再委託先・連携クラウドサービス事業者に関する情報提供
本項で示す再委託事業者及び連携クラウドサービス事業者に関する情報については、6.6(3)に基づいて、乙は、甲に提供する。
4.4 連絡体制
(1) 通常時の連絡体制
本サービスの提供に係る甲乙の担当責任者は、下記のとおりである。
甲:契約者本人
乙:合同会社JDI 代表社員 平久忠輝
本サービスの提供に係る乙側の問合せ先は、下記のとおりである。
【クラウドサービス事業者側ヘルプデスク窓口】(通常業務時間) info@spot-mft.com
【クラウドサービス事業者側メール問合せ先】 info@spot-mft.com
(2) 障害時・非常時の連絡体制・告知方法
本サービスの提供において、障害時・非常時の乙の連絡体制については、下記のとおりである。
通常業務時間 【連絡先】 info@spot-mft.com
上記以外の時間 【連絡先】 info@spot-mft.com
なお、障害時、非常時における対応状況、及びサービス復旧の見込み等について は、下記の場所において告知する。【https://clinic.spot-mft.com/】
5. サービス仕様
5.1 ネットワークセキュリティに関すサービス仕様
(1) ネットワーク経路の安全管理対策(暗号化、盗聴対策、使用機器等)
本サービスの提供に際して乙が使用するネットワーク及びこれに関する機器につき、乙はネットワーク経路の安全管理対策を実施する。本項で示すネットワーク経路の安全管理対策に関する乙の対策内容、実施状況等については、6.6(2)、6.6(3)に基づいて、乙は、甲に提供する。
(2) 外部からの不正アクセス対策(不正アクセス防止、なりすまし防止等)
本サービスの提供に際して乙が使用するネットワーク及びこれに関する機器につき、乙は不正アクセス対策を実施する。
本項で示す外部からの不正アクセス対策に関する乙の対策内容、実施状況等については、6.6(2)、6.6(3)に基づいて、乙は、甲に提供する。
5.2 受託情報に関するサービス仕様
(1) 真正性に関するサービス仕様
① 利用者認証(利用者資格認証、電子署名等)
甲が本サービスを利用する際に必要となる利用者認証については、ID・パスワードによる認証により行う。本サービスの提供に際して、乙は利用者認証の安全性を確保する。 本項で示す利用者認証の安全性に関する乙の対策内容、実施状況等については、 6.6(2)に基づいて、乙は、甲に提供する。
② 職種等に基づくアクセス制御
甲が本サービスを利用する際に必要となる利用者認証については、下記の機能を含む。
・アクセス権限のある利用者以外による作成、追記、変更、削除を防止する機能を有すること。
本項で示すアクセス権限の設定は、4.2に基づいて実施する。 本項で示す利用者認証におけるアクセス制御に関する乙の対策内容、実施状況等については、6.6(2)に基づいて、乙は、甲に提供する。
③ 記録の確定(本人による確定、代行確定等)
本サービスにおける記録を確定する機能について、下記の機能を含む。
・作成・保存するデータについて、甲の作成責任者が特定できること
・記録の入力後、確定処理を行う機能を有すること
・入力された内容を確定する前に、入力内容の確認画面等の表示により甲の作成責任者が確認できる措置を講じていること
・甲における代行操作者用のID及び権限付与が設定できること
・代行操作により記録されたものに対して、甲の作成責任者による「確定操作(承認)」を行えること
本項で示す代行操作に関する権限の設定は、4.2に基づいて実施する。本サービスの提供に際して、乙は安全性を確保する。本項で示す診療記録の確定の仕様に関する情報、乙の対策状況等については、6.6(2)、6.6(3)に基づいて、乙は、甲に提供する。
(2) 見読性に関するサービス仕様
① 表示仕様
本サービスにおいては3.2において示す利用環境下において、重要な点が正常に表示されるよう保証する。本サービスで提供するアプリケーションにおける入力及び確定画面の表示仕様は、乙が甲に対して提供する利用マニュアルに示す。本項で定める画面につき、乙は、予告の上、適宜変更を行う。変更に際して、乙は、入力結果が誤って確定されない設計となることに努める。
② 応答時間
本サービスで提供するアプリケーションにおける入力及び確定、検索画面の結果の表示につき著しい遅延が生じる場合には、乙は、甲の連絡若しくは自己の判断に基づき、調査し、報告を行う。 調査の結果、上記遅延の要因が、乙の責めに帰する事由によるものであることが判明した場合には、乙は、障害として速やかに対応を行うよう努める。上記遅延の要因につき、乙の責めに帰すべからざる事由によるものであることが判明した場合には、4.1(2)、4.2に基づき、甲乙協議の上、対応を行うよう努める。
③ 冗長性
乙は、本サービスのアプリケーションサービスに供するサーバ類につき、RAID-1又は RAID-6 相当以上のディスク構成を採用し、障害対策を講じる。本サービスの提供に関し、乙が採用する冗長性を確保するための仕様等(外部ファイル出力機能、印刷機能等)の情報につき、乙は、6.6(2)に基づいて提供する。
(3) 保存性に関するサービス仕様
① データの破壊防止対策(ウイルス等による攻撃対策等)
本サービスの運用に供する乙の施設において、乙は、本サービスの運用におけるウイルス等によるデータの破壊防止対策を行う。
本サービスの提供において、乙は、セキュリティ対応策を下記のインターバルで実施する。
・ウイルス対策のためのパターンファイルの更新、及び OS 及びミドルウェア等のセキュリティパッチについては、概ね7日以内に実施する。ただし乙において、本サービスの提供に係るシステムへの影響が大きいと判断した場合には、必要な措置を速やかに適用する。
本項で示すウイルス等によるデータの破壊防止対策に関する乙の対策内容、実施 状況等については、6.6(2)に基づいて、乙は、甲に提供する。
② データの劣化、滅失対策
本サービスに供する乙の施設において、乙は、本サービスの運用におけるデータの劣化、滅失対策に必要なモニタリングを行う。乙は、本サービスの提供に係る運用において、下記を実施することにより、データの劣化、滅失対策を行う。
・データ保存する際に用いるデータ形式及び転送プロトコルを変更する際に、変更前の方式との互換性を確保すること。
・障害により甲から乙の管理する機器へのデータ転送が正常に完了しなかった場合に、乙へのデータ転送が完了しなかったことを甲が確認できるようにする機能を有すること。
本項で示すデータの劣化、滅失対策に関する乙の対策内容、実施状況等については、6.6(2)に基づいて、乙は、甲に提供する。
③ データ仕様について
本サービスの提供に供するデータベースのデータ仕様の採用に際し、乙は、「医療情報システムの安全管理に関するガイドライン第5.1版」(厚生労働省 令和3年1月)の「5情報の相互運用性と標準化について」に可能な範囲で従って実施する。
6.運用内容
6.1 運用組織等
(1) 運用組織・体制
本サービスの提供に係る乙のサービス提供体制を、下記に示す。
・合同会社JDI の体制 (本部)
合同会社JDI の役割 (本サービスの提供の責任会社、顧客問い合わせ対応)
・委託先 アマゾン ウェブ サービス (AWS) (データセンター事業者)
・委託先 A-OKシステムズ株式会社 (本サービス提供用システム保守・改良)
(2) 運用に関する方針
乙は甲に対して本サービスを提供する際、クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン第1版(総務省 平成30年7月 ) 及び医療情報を受託管理する情報処理事業者向けガイドライン第 2 版(経済産業省平成24年7月) を最大限遵守するよう努め、そのように運用する。また、乙が作成する各種規程に基づき運用する。
(3) 運用における遵守事項
本サービスの提供に際して甲から受託する情報を乙が使用する範囲につき、乙は、下記の内容を遵守する。
・乙は、受託した医療情報を、匿名化されたものを含めて、分析、解析等を実施しない。
・なお、甲乙協議の上、本サービス利用契約とは別の契約を締結の上、甲の依頼内容に限った分析等を実施することは妨げない。ただし、その場合であっても、患者等の同意取得方法に関して十分な検討をする。
・乙は、受託した医療情報を、許可無く第三者(乙の委託先は除く)に提供しない。
・乙は、甲の依頼がある場合であっても、代行操作等は実施しない。
6.2 受託情報の取り扱い
(1) 受託情報の取り扱い範囲
本サービスで、受託情報を乙(乙の委託先も含む)が取り扱える範囲につき、乙は、下記の内容を遵守する。
・乙は原則として、受託した情報に医療情報が含まれる場合にはその情報を参照しない。
・乙においての上記参照は、サービス提供の運用業務に支障が生じる、保守等の実施でやむを得ない場合に限ることとして、その場合も必要不可欠な範囲を超えて参照しない。
・上記の場合に、乙における本サービス提供に係る運用者等が保有する ID で受託した情報を参照する場合の権限は必要最小限に限定する。
(2) 受託情報の管理
本サービスで乙が甲より受託する情報につき、乙は本項で示す受託情報の管理に関する乙の対策内容、実施状況等については、6.6(3)に基づいて、乙は、甲に提供する。
(3) 受託情報の提供
甲が乙に対し、受託情報の提供を求めた場合、甲乙は、協議により、下記の内容を決定する。
・提供する受託情報の範囲、件数
・提供する受託情報のフォーマット
・受託情報の提供方法
甲が乙に対し、予め定められた範囲を超えて受託情報の提供を求めた場合、甲乙は、協議により、下記の内容を決定する。
・受託情報の提供に要する費用
本項につき、乙は、受託情報を甲に提供する際、下記の事項を実施するよう努める。
・「医療情報システムの安全管理に関するガイドライン第5.1版」の「5情報の相互運用性と標準化について」に従った実施
(4) 受託情報の返却等
本サービスの提供の終了に際し、甲乙は、協議により、受託情報に医療情報が含まれる場合にはその情報について、下記の内容を決定する。
・受託情報の返却の要否
・受託情報の抹消の方法及びその実施期日
・契約終了後の受託情報抹消の報告
本サービスの提供の終了に際し、乙が受託情報に医療情報が含まれる場合でその情報を甲に返却する場合、その情報の返却に際し、甲乙は、協議により、下記の内容を決定する。
・返却する受託情報の範囲、件数
・返却する受託情報のフォーマット
・受託情報の返却方法
・受託情報の返却期日
受託情報の返却に際し、甲が乙に対し、予め定められた範囲を超えて情報の提供を求めた場合、甲乙は、協議により、下記の内容を決定する。
・受託情報の返却に要する費用
本項につき、乙は、受託情報に医療情報が含まれる場合でその情報を甲に返却する場合、その情報の返却に際し、下記の事項を実施する。
・「医療情報システムの安全管理に関するガイドライン第5.1版」の「5情報の相互運用性と標準化について」に従った実施
6.3運用仕様およびその指標
(1) 機密性
① 物理的セキュリティ
本サービスの運用に供する乙の施設において、乙(乙の委託先も含む)は本サービスの運用における物理的セキュリティを確保する。
② セキュリティ管理
本サービスの運用につき、運用の機密性等を確保するため、乙(乙の委託先も含む)は、下記の措置を講 じる。
・乙の管理下にあるネットワーク及びサービス提供に係るシステムにおいてセキュリティが確保されていることの監視
・乙の管理下にあるネットワーク及びシステムの稼動状況(特に、通信容量とトラフィック変動が重要)の監視
・乙の管理するネットワーク及びシステム等に対するサイバー攻撃に対するネットワーク等に関する定期的な監視
・業務上、受託情報を外部に持ち出す際の適切なウイルス対策等の実施
・業務上受託情報の参照等を行う場合の覗き見予防措置の実施
・バックアップデータにつき、その内容の改竄を防ぐためのデータ管理
(2) 可用性
本サービスの運用の可用性を確保するために、乙は、下記の措置を講じるよう努める。
・サービス稼働率については、以下の目標値を設定する。
通常業務時間帯 99.95%
その他の時間帯 99.5%
なお、サービス稼働率は、以下により算出するものとする。サービス稼働率=(サービス提供時間-サービス提供停止時間)/ サービス提供時間サービス停止時間は、1.「本サービスの目的」に定めるサービスの提供が停止する時間を指す(サービス機能の一部が停止している場合でも、甲の業務に重大な支障を及ぼさない場合は除く)。サービス提供停止時間は、サービス停止時間のうち、7.1(2)「サービスレベル算定除外事項」に示す事由による停止時間を除いたものを指す。
・甲の業務に継続な支障をきたす程度の機器、ソフトウェア等のシステム障害等、及びサービス利用における応答速度の低下については、1.3に示す通常業務時間内において、乙による感知若しくは甲からの連絡があった時刻から、72時間以内に第一次対応をする。
(3) 完全性
本サービスの運用の完全性を確保するために、乙は、サービス提供及び運用に係る下記の記録を収集し、管理を行う。
・利用者における個人情報へのアクセス状況(利用者のID、アクセス対象、日時等)
・メンテナンスにおける個人情報へのアクセス状況(作業者のID、アクセス対象、日時等)
上記の記録につき、乙は法定保存年限経過後 5 年間保存する。
6.4 非常時の対応
災害、長時間の停電、ネットワーク網の障害、サイバーテロ等の発生により、乙においてサービス提供が困難となった場合において、乙は本サービスの運用における非常時対応行う。また必要に応じて、乙は、甲に対するサービス停止を行う。
非常時におけるサービス停止の判断は、乙において行う。サービス停止が発生している旨について及びその対応状況については、下記の場所において告知することにより情報提供を行う。
・【 https://clinic.spot-mft.com/】
6.5 報告事項・事前連絡
(1) 報告事項と頻度
① 月次報告事項
本サービスの提供に係る運用に関し、乙は、下記の事項につき、甲の求めがある場合には、月次で甲に対して口頭又は書面(メールも含む)により報告を行う
・乙が甲より受託する受託情報件数
・甲の本サービスの利用状況(利用主体別アクセス状況、利用時間等)
・7.1(1)に示す管理指標
② 年次報告事項
本サービスの提供に係る運用に関し、乙は、下記の事項につき、甲の求めがある場合には、年次で甲に対して口頭又は書面(メールも含む)により報告を行う
・乙における3.5に掲げる法令の遵守等の状況
・乙における実績等に基づく個人データ安全管理に関する信用度
・3.7により実施した本サービス提供に係る監査結果
③ 発生の都度に報告する事項
本サービスの提供に係る運用に関し、乙は、下記の事項につき、発生の都度、口頭、書面(メールも含む)又は乙のウェブサイトに公開する方法により甲に対して報告を行う。
・本サービスに係る業務体制、管理体制、保守体制等の変更
・システムの動作確認において、乙が受託する医療情報を参照した際の作業結果
・リモートメンテナンスによる甲のシステム改造、保守作業の実施結果
・乙が業務上、受託情報を組織外に持出し、あるいは、再委託事業者へ保存した結果
・ウイルス混入や不正なメッセージの混入等による改ざん、パスワード盗聴が生じた際の経緯・顛末
・障害等に伴うサービスの停止に関する経緯、顛末
・保守等に伴うシステムの変更の結果
(2) 事前連絡及び承認等
① 保守業務に伴うサービスの停止の告知
本サービスを提供するシステムの保守業務の実施のため、提供するサービスを停止する場合には、乙は、1 週間以上前に、甲に対して告知を行う。ただし障害等に 伴い、緊急で行うサービスの停止については、この限りではない。
② 受託情報等に関する保守業務の事前連絡・承認
本サービスを提供するに当たり、乙は、下記の対応を実施する前に、必ず甲に対して連絡し、承認を受ける。ただし、甲への事前連絡及びその承認を得られないことが、乙の責めに帰すべからざる事由によるものであり、下記の対応を行うことに 緊急性が認められる場合には、この限りではない。
・システムの動作確認において、受託した個人情報の参照をする場合
・リモートメンテナンスによる甲側のシステム改造、保守作業を実施する場合
・乙が受託した情報を組織外に持ち出す場合
上記事項については、実施後、乙は、速やかに甲にその内容を報告し、承認を受ける。
③ 保守業務に関する事前連絡等 本サービスを提供に供するシステムの保守業務につき、乙は、甲に対して下記の事前及び事後の対応を行う。
実施内容 事前・事後の対応
ア)ウイルスのパターンファイルへの対応 乙が管理する機器のファームウェアの更新 実施後、【 https://clinic.spot-mft.com/】にて報告
イ)OS 等へのセキュリティパッチ等の適用 実施2週間前に事前告知を行い、適用し、実施後、 https://clinic.spot-mft.com/にて報告 (ただし提供ベンダーにより、適用することについて緊急性及び重要性が高い旨の評価がある場合に は、ア)に準じる)
ウ)その他のシステム上のプログラムの改変等
実施後、https://clinic.spot-mft.com/にて報告(本サービスの機能追加、品質維持及び品質向上を目的として本サービスの全部又は一部を変更する場合には2週間前に事前通知を行う。)
6.6 サポート
(1) 利用者に対するサポート
①サポート内容
本サービスの利用に関し、乙は、甲から下記の問い合わせを受け付け、サポート対応をする。
・本サービスで提供するアプリケーションの使用方法等に関する内容
・本サービスの利用環境及びその設定に関する確認(OS や Webブラウザ、本サービスで提供するアプリケーション以外のアプリケーション等の使用方法等及び乙が管理しないパソコンの機器の使用方法等に関する内容は含まない)
・本サービスの利用上の障害に関する内容
・本サービスの利用に起因する甲のシステムの障害に関する内容
② サポート対応時間
本サービス提供に関し、乙は、甲からの問い合わせを受けるため、下記において受付対応を行う。
【乙サポートセンター】
連絡先 (受付対応時間、曜日) info@spot-mft.com ( 11:00〜16:00 月木を除く平日のみ)
(2) 技術情報提供について
本サービス提供上、乙が採用するセキュリティ対策等につき、採用する技術仕様等に関する情報、対策実施に関する技術情報について甲から提供の要請があった場合に、下記に従い、乙は提供する。乙において情報の開示が困難である場合には、乙は、困難である理由を提示し、安全性を示すための代替する説明資料の提供を行う。
・甲と乙において別途、機密保持契約を締結した上で提供する。
・提供範囲、方法については、別途甲乙協議の上、決定する。
・提供に係る費用については、本サービス提供に係る基本サービス料金とは別途発生するものとし、甲乙協議の上、決定する。
(3) 運用状況に係る情報提供について
本サービス提供上、乙が行う運用に関し、乙が実施する本SLAの各項の運用の状況を示す情報について、甲から提供の要請があった場合に、下記に従い、乙は、提供する。乙において情報の開示が困難である場合には、乙は困難である理由を提示し、運用の完全性を示すための代替する説明資料の提供を行う。
・甲と乙において別途、機密保持契約を締結した上で提供する。
・提供範囲、方法については、別途甲乙協議の上、決定する。
・提供に係る費用については、本サービス提供に係る基本サービス料金とは別途発生するものとし、甲乙協議の上、決定する。
7. サービスレベルに関する合意事項
7.1サービスレベルの評価方法
(1) 管理指標及び評価方法
① 管理指標
本サービスの提供につき、乙は、下記に示す管理指標を甲に報告し、共同で評価を行う。
・サービス稼働率
・障害対応時間
・ウイルス対策のためのパターンファイル及び OS 及びミドルウェア等のセキュリティパッチの対応状況
② 評価方法
サービスレベルの評価は、年次ごとに実施する。ただし甲乙協議の上、必要に応じて、別途、評価を行うことができる。本 SLA の評価は、1で示す指標につき、以下のように評価する。
■未達成件数の計算
SLA の未達成についての計算方法を、以下に示す。
・サービス稼働率 評価期間中の数値が6.3(2)に示す 数値に満たない場合、未達成とする。
・障害対応時間
・ウイルス対策のためのパターンファイル及びOS及びミドルウェア等のセキュリティパッチの対応状況 発生都度において、本SLAで示す数値を満たさない場合には、都度未達成1件として計算する。
■SLAの評価
年次の評価期間における未達成件数から、本 SLA の達成度を以下のように評価する
(2) サービスレベル算定除外事項
前項のサービスレベルの評価に関し、下記については算定除外事項とする。
事前に合意された事由 定期保守のための停止、機器の導入やシステムの構成変更・作業のための停止等業務上必要な停止
制御できない事由 電力供給業者の障害、通信回線業者の障害、自然災害等の不可抗力及びその他の企業・団体(乙の委託先も含む)が提供する機器やサービスに起因する障害
甲の責任に帰する事由 ・甲の作為又は不作為、甲の管理する機器・ソフトウェア等の障害に起因する事由、本合意に定める甲の不履行及び甲の誤った作業依頼、指示等
その他、乙の責めに帰すべからざる事由 乙が保証したシステム環境以外での使用、その他利用規約第16条1項ウ~クに該当する事由がある場合等
7.2サービスレベルマネジメント
本サービスにおけるサービスレベルを維持するために、下記のサービスレベルマネジメントを実施する。
・乙が甲に行う月次の報告において、本 SLA で定めるサービス内容に達しないとする内容があった場合には、乙は、甲に対してその事由を報告するとともに、改善策を提示するよう努める。
・その他、サービスレベルの維持を行うため、甲乙は、必要に応じて協議を行う。