よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(本編)(令和4年3月) [1,647KB] (28 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ると考えられ、このソフトウェアを医療情報システム内の端末、サーバ、ネットワーク
機器等に常駐させることにより、不正ソフトウェアの検出と除去が期待できる。また、
このことは医療機関等の外部で利用する端末や PC 等についても同様であるが、その考
え方と対策については、6.9 章を参照すること。
ただし、これらの不正ソフトウェアは常に変化しているため、検出するためのパター
ンファイルや検索エンジンを常に最新のものに更新しておく必要がある。
また、たとえ優れたスキャン用ソフトウェアを導入し、適切に運用したとしても、全
ての不正ソフトウェアが検出できるわけではない。不正ソフトウェアの対策としては、
スキャン用ソフトウェアを導入するだけでなく、医療情報システム側の脆弱性を可能な
限り小さくしておくことが重要である。そのために実施すべき対策として、セキュリ
ティ・ホール(脆弱性)が報告されているソフトウェアへのパッチ適用、利用していな
いサービスや通信ポートの非活性化、マクロ等の利用停止、メールやファイルの無害化
がある。また、EDR(Endpoint Detection and Response)や「振る舞い検知」などの方
策も有効である。なお、いずれの対策を行う場合も、対策を実施した際の業務への影響
や、対策処理の速度や可用性、網羅性について、十分な検討が必要である。
(6) ネットワーク上からの不正アクセス
クラッカーや不正ソフトウェアによる攻撃から情報を保護するための一つの手段と
して、ファイアウォールの導入がある。
また、不正な攻撃を検知するシステム(IDS:Intrusion Detection System)
、不正な
攻撃を遮断するシステム(IPS:Intrusion Prevention System)もあるため、医療情報
システムと外部ネットワークとの関係に応じて、IDS、IPS の採用も検討すべきである。
また、システムのネットワーク環境におけるセキュリティホール(脆弱性等)に対する
診断(セキュリティ診断)を定期的に実施し、パッチ適用等の対策を講じておくことも
重要である。
さらに、近時のサイバー攻撃の高度化・多様化に鑑みると、上記対策等に加えて、不
正ソフトウェアが侵入した場合を想定した内部脅威監視などのモニタリングを講じる
ことも、有効な対策として挙げられる。モニタリングについては、費用対効果を鑑みて、
リスクの高いところについて重点的に行うなども考えられる。
(7) 医療等分野における IoT 機器の利用
本節では、IoT 機器(センサ等で自動的に情報を取得し、又は他の機器が自動的に取
得した情報を中継し、ネットワークを通じて他の医療情報システムに送信する機器)に
よって医療に関する個人の情報を取得し、ネットワークを介して収集する仕組みを利用
する場合に遵守すべき事項を規定する。
なお、本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適
24
機器等に常駐させることにより、不正ソフトウェアの検出と除去が期待できる。また、
このことは医療機関等の外部で利用する端末や PC 等についても同様であるが、その考
え方と対策については、6.9 章を参照すること。
ただし、これらの不正ソフトウェアは常に変化しているため、検出するためのパター
ンファイルや検索エンジンを常に最新のものに更新しておく必要がある。
また、たとえ優れたスキャン用ソフトウェアを導入し、適切に運用したとしても、全
ての不正ソフトウェアが検出できるわけではない。不正ソフトウェアの対策としては、
スキャン用ソフトウェアを導入するだけでなく、医療情報システム側の脆弱性を可能な
限り小さくしておくことが重要である。そのために実施すべき対策として、セキュリ
ティ・ホール(脆弱性)が報告されているソフトウェアへのパッチ適用、利用していな
いサービスや通信ポートの非活性化、マクロ等の利用停止、メールやファイルの無害化
がある。また、EDR(Endpoint Detection and Response)や「振る舞い検知」などの方
策も有効である。なお、いずれの対策を行う場合も、対策を実施した際の業務への影響
や、対策処理の速度や可用性、網羅性について、十分な検討が必要である。
(6) ネットワーク上からの不正アクセス
クラッカーや不正ソフトウェアによる攻撃から情報を保護するための一つの手段と
して、ファイアウォールの導入がある。
また、不正な攻撃を検知するシステム(IDS:Intrusion Detection System)
、不正な
攻撃を遮断するシステム(IPS:Intrusion Prevention System)もあるため、医療情報
システムと外部ネットワークとの関係に応じて、IDS、IPS の採用も検討すべきである。
また、システムのネットワーク環境におけるセキュリティホール(脆弱性等)に対する
診断(セキュリティ診断)を定期的に実施し、パッチ適用等の対策を講じておくことも
重要である。
さらに、近時のサイバー攻撃の高度化・多様化に鑑みると、上記対策等に加えて、不
正ソフトウェアが侵入した場合を想定した内部脅威監視などのモニタリングを講じる
ことも、有効な対策として挙げられる。モニタリングについては、費用対効果を鑑みて、
リスクの高いところについて重点的に行うなども考えられる。
(7) 医療等分野における IoT 機器の利用
本節では、IoT 機器(センサ等で自動的に情報を取得し、又は他の機器が自動的に取
得した情報を中継し、ネットワークを通じて他の医療情報システムに送信する機器)に
よって医療に関する個人の情報を取得し、ネットワークを介して収集する仕組みを利用
する場合に遵守すべき事項を規定する。
なお、本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適
24