よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (14 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
【第 5.1 版】
本ガイドライン第 5 版の公表以降、医療等分野及び医療情報システムに対するサイバー
攻撃が一層、多様化・巧妙化が進み、さらなるセキュリティ上の対応が求められるように
なった。このような状況を踏まえ、医療機関等を対象とするサイバー攻撃の多様化・巧妙化、
スマートフォンや各種クラウドサービス等の医療現場での普及、各種ネットワークサービ
スの動向への対応として、関連する 4 章、6 章等の改定を行った。
また、各種ガイドラインとの整合性の確保や近時の個人情報に関する状況等への対応と
して、6 章、8 章の改定を行った。
4 章では、クラウドサービスの概要を示すとともに、これを利用した場合の責任分界の考
え方や、複数の事業者を利用する場合の責任分界の考え方を示すため、
「4.3
例示による責
任分界点の考え方の整理」に追記等を行った。
6 章では、リスク分析を行う際に、管理されていない機器やソフトウェア、サービス等の
利用等のリスクを考慮するために、
「6.2.3 リスク分析」に追記等を行った。
また、近時のサイバー攻撃などへの対応に求められる措置として、ネットワークの監視等
の管理に関する措置やネットワークの構築のあり方、外部からのデータ取り込みにおける
対応措置等の必要性について、
「6.5 技術的安全対策」及び「6. 11 外部と個人情報を含
む医療情報を交換する場合の安全管理」に追記を行った。
医療情報システムにおける利用者認証について、第 5 版において示した二要素認証導入
を促す方針をさらに進めるため、
「6.5 技術的安全対策」の B 項及び C 項の改定を行った。
また、暗号鍵の管理に関する内容も新規に規定し、
「6.5 技術的安全対策」に追記を行っ
た。
サイバー攻撃を含む非常時の体制整備の観点から、非常時の体制構築に関する内容や、平
常時における教育・訓練、サイバー攻撃等が生じた場合の通報等を示すため、
「6.10 災害、
サイバー攻撃等の非常時の対応」に追記等を行った。
8 章では、外部保存における受託事業者に関して、行政機関等が設置するデータセンター
と、民間事業者が設置するデータセンターに関する選定のあり方について、考え方及び要求
事項を統合するために、「8.1.2
外部保存を受託する事業者の選定基準及び情報の取扱い
に関する基準」の改定を行った。併せて、受託事業者の選定に関して、Cookie 等の取扱い
に関する事項や、受託事業者に対する国内法の適用、求められる認証や提供すべきセキュリ
ティ情報などに関する内容を示すため、「8.1.2
外部保存を受託する事業者の選定基準及
び情報の取扱いに関する基準」に追記を行った。
その他、関連法規の改正に伴う部分の修正を行うとともに、分かりやすさの観点から、全
般的な表現の修正を行った。
12
本ガイドライン第 5 版の公表以降、医療等分野及び医療情報システムに対するサイバー
攻撃が一層、多様化・巧妙化が進み、さらなるセキュリティ上の対応が求められるように
なった。このような状況を踏まえ、医療機関等を対象とするサイバー攻撃の多様化・巧妙化、
スマートフォンや各種クラウドサービス等の医療現場での普及、各種ネットワークサービ
スの動向への対応として、関連する 4 章、6 章等の改定を行った。
また、各種ガイドラインとの整合性の確保や近時の個人情報に関する状況等への対応と
して、6 章、8 章の改定を行った。
4 章では、クラウドサービスの概要を示すとともに、これを利用した場合の責任分界の考
え方や、複数の事業者を利用する場合の責任分界の考え方を示すため、
「4.3
例示による責
任分界点の考え方の整理」に追記等を行った。
6 章では、リスク分析を行う際に、管理されていない機器やソフトウェア、サービス等の
利用等のリスクを考慮するために、
「6.2.3 リスク分析」に追記等を行った。
また、近時のサイバー攻撃などへの対応に求められる措置として、ネットワークの監視等
の管理に関する措置やネットワークの構築のあり方、外部からのデータ取り込みにおける
対応措置等の必要性について、
「6.5 技術的安全対策」及び「6. 11 外部と個人情報を含
む医療情報を交換する場合の安全管理」に追記を行った。
医療情報システムにおける利用者認証について、第 5 版において示した二要素認証導入
を促す方針をさらに進めるため、
「6.5 技術的安全対策」の B 項及び C 項の改定を行った。
また、暗号鍵の管理に関する内容も新規に規定し、
「6.5 技術的安全対策」に追記を行っ
た。
サイバー攻撃を含む非常時の体制整備の観点から、非常時の体制構築に関する内容や、平
常時における教育・訓練、サイバー攻撃等が生じた場合の通報等を示すため、
「6.10 災害、
サイバー攻撃等の非常時の対応」に追記等を行った。
8 章では、外部保存における受託事業者に関して、行政機関等が設置するデータセンター
と、民間事業者が設置するデータセンターに関する選定のあり方について、考え方及び要求
事項を統合するために、「8.1.2
外部保存を受託する事業者の選定基準及び情報の取扱い
に関する基準」の改定を行った。併せて、受託事業者の選定に関して、Cookie 等の取扱い
に関する事項や、受託事業者に対する国内法の適用、求められる認証や提供すべきセキュリ
ティ情報などに関する内容を示すため、「8.1.2
外部保存を受託する事業者の選定基準及
び情報の取扱いに関する基準」に追記を行った。
その他、関連法規の改正に伴う部分の修正を行うとともに、分かりやすさの観点から、全
般的な表現の修正を行った。
12