よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (44 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
には、医療機関等の内外で用いられる医療機器やバイタルを測定するウェアラブル端末
等から患者のデータを収集し、医師の診療支援や経過観察等に活用することや、医療機
関等内における職員の位置情報や動線を分析し、病床や人員の配置等を改善すること等
が行われている。
このような仕組みやサービスにより、患者の状態をリアルタイムで捕捉できるように
なる等、IoT の導入は医療機関等と患者の双方に利益をもたらす可能性があるが、情報
セキュリティの観点から、これまで想定されなかったリスクが顕在化するおそれもある。
IoT 機器により患者情報を取り扱う場合は、医療機器か非医療機器かを問わず、製造
販売業者からの情報提供を基にリスク分析を行い、その取扱いに係る運用管理規程を定
める必要がある。
特に、ウェアラブル端末や在宅設置の IoT 機器を患者等へ貸し出す場合には、機器の
機能・性能によって、セキュリティが十分に確保されないおそれがある。よって、ウェ
アラブル端末や在宅設置の機器を貸し出す際は、情報セキュリティ上のリスクと患者等
が留意すべきことについて事前に患者等へ説明し、同意を得る必要がある。また、IoT 機
器に異常や不都合が発生した場合の問合せ方法等について、患者等に説明する必要があ
る。
IoT 機器には、機器やサービスの導入後に脆弱性が発見されることがあるので、サー
ビスへの提供に支障が生じないよう適切な時期・方法により対策を講じる必要がある。
脆弱性に関しては、IoT 機器が用いる通信規格(例:Bluetooth、NFC 等)の脆弱性につい
ても、併せて対応することが望ましい。
また、IoT の活用状況によって、大量の IoT 機器が同時に接続している環境が想定さ
れるが、この場合、機器の接続状況や異常の発生を正確に把握することが難しい。IoT 機
器を含むシステムについて単独でそれぞれの状態を把握できることが望ましいが、機
器・システムの中には、大量のログを管理したり、ログの暗号化を行う等の対策を講じ
ることが難しい場合がある。この場合、上位のシステムに監視装置を設置する等、シス
テムやサービス全体での対策が検討される。
このほか、IoT 機器のリスクとして、使用を終えた又は停止した機器をネットワーク
に接続した状態のままにしておくと、利用者さえ気付かない間に当該機器が不正に接続
される場合がある。さらに、機器の利用状況に関する情報を収集し、不正に利用者を特
定される等のリスクも想定される。
IoT 機器が通信で用いる PAN(Personal Area Network)※と呼ばれる Bluetooth や
Zigbee などの 802.15.XX の標準による規格、NFC(Near Field Communication)
、赤外線
通信などを用いた規格においては、必ずしも十分通信の暗号化対策が取られているわけ
ではないため、技術的な対応に限界があるとされる。IoT 機器のネットワーク接続状況
を監視する等の対策も考えられるが、使用を終えた又は停止した機器は電源を切り、接
42
等から患者のデータを収集し、医師の診療支援や経過観察等に活用することや、医療機
関等内における職員の位置情報や動線を分析し、病床や人員の配置等を改善すること等
が行われている。
このような仕組みやサービスにより、患者の状態をリアルタイムで捕捉できるように
なる等、IoT の導入は医療機関等と患者の双方に利益をもたらす可能性があるが、情報
セキュリティの観点から、これまで想定されなかったリスクが顕在化するおそれもある。
IoT 機器により患者情報を取り扱う場合は、医療機器か非医療機器かを問わず、製造
販売業者からの情報提供を基にリスク分析を行い、その取扱いに係る運用管理規程を定
める必要がある。
特に、ウェアラブル端末や在宅設置の IoT 機器を患者等へ貸し出す場合には、機器の
機能・性能によって、セキュリティが十分に確保されないおそれがある。よって、ウェ
アラブル端末や在宅設置の機器を貸し出す際は、情報セキュリティ上のリスクと患者等
が留意すべきことについて事前に患者等へ説明し、同意を得る必要がある。また、IoT 機
器に異常や不都合が発生した場合の問合せ方法等について、患者等に説明する必要があ
る。
IoT 機器には、機器やサービスの導入後に脆弱性が発見されることがあるので、サー
ビスへの提供に支障が生じないよう適切な時期・方法により対策を講じる必要がある。
脆弱性に関しては、IoT 機器が用いる通信規格(例:Bluetooth、NFC 等)の脆弱性につい
ても、併せて対応することが望ましい。
また、IoT の活用状況によって、大量の IoT 機器が同時に接続している環境が想定さ
れるが、この場合、機器の接続状況や異常の発生を正確に把握することが難しい。IoT 機
器を含むシステムについて単独でそれぞれの状態を把握できることが望ましいが、機
器・システムの中には、大量のログを管理したり、ログの暗号化を行う等の対策を講じ
ることが難しい場合がある。この場合、上位のシステムに監視装置を設置する等、シス
テムやサービス全体での対策が検討される。
このほか、IoT 機器のリスクとして、使用を終えた又は停止した機器をネットワーク
に接続した状態のままにしておくと、利用者さえ気付かない間に当該機器が不正に接続
される場合がある。さらに、機器の利用状況に関する情報を収集し、不正に利用者を特
定される等のリスクも想定される。
IoT 機器が通信で用いる PAN(Personal Area Network)※と呼ばれる Bluetooth や
Zigbee などの 802.15.XX の標準による規格、NFC(Near Field Communication)
、赤外線
通信などを用いた規格においては、必ずしも十分通信の暗号化対策が取られているわけ
ではないため、技術的な対応に限界があるとされる。IoT 機器のネットワーク接続状況
を監視する等の対策も考えられるが、使用を終えた又は停止した機器は電源を切り、接
42