定されている場合には、この限りではない。
いずれのパスワードを設定した場合でも、他に講じられているセキュリティ対策
等の内容を勘案して、全体として安全なパスワード漏えい対策が講じられている
ことを確認すること。
(5)

類推されやすいパスワードを使用させないこと。また、類似のパスワードを繰り返
し使用させないこと。なお、類推されやすいパスワードには、利用者の氏名や生年
月日、辞書に記載されている単語等が含まれるものがある。

15. 無線 LAN を利用する場合、次に掲げる対策を実施すること。
(1)

適切な利用者以外に無線 LAN を利用されないようにすること。例えば、ANY 接続拒
否等の対策を実施すること。

(2)

不正アクセス対策を実施すること。少なくとも MAC アドレスによるアクセス制限
を実施すること。

(3)

不正な情報の取得を防止するため、WPA2-AES、WPA2-TKIP 等により通信を暗号化す
ること。

(4)

電波を発する機器（携帯ゲーム機等）による電波干渉に留意すること。

16. IoT 機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシス
テム・機器についても同様である。
(1)

IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医
療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、その取扱
いに係る運用管理規程を定めること。

(2)

セキュリティ対策を十分に行うことが難しいウェアラブル端末や在宅設置の IoT
機器を患者等に貸し出す際は、事前に、情報セキュリティ上のリスクと、患者等が
留意すべきことについて患者等へ説明し、同意を得ること。また、機器に異常や不
都合が発生した場合の問い合わせ先や医療機関等への連絡方法について、患者等
に情報提供すること。

(3)

IoT 機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることが
ある。システムやサービスの特徴を踏まえ、IoT 機器のセキュリティ上重要なアッ
プデートを必要なタイミングで適切に実施する方法やアップデートが困難な場合
に代替措置を講じる方法を検討し、運用すること。

(4)

使用が終了した又は不具合のために使用を停止した IoT 機器をネットワークに接
続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。

D．推奨されるガイドライン
1. 情報の区分管理を実施し、区分単位でアクセス管理を実施すること。
2. 個人情報を入力・参照できる端末から離席する場合、クローズ処理等（クリアスクリー
ン、ログオフ、パスワード付きスクリーンセーバーの起動等）を実施させること。

27