動時に VPN 接続を確立しない場合は、公衆無線 LAN への自動接続機能を切る必要が
ある。
・

個人の所有する、あるいは個人の管理下にある端末の業務利用（以下「BYOD」
（Bring
Your Own Device）という。
）は、上記の要件を実現するために、管理者以外による
端末の OS の設定の変更を技術的あるいは運用管理上で制御すること、あるいは、技
術的対策として、他のアプリケーション等からの影響を遮断しつつ、端末内で医療
情報を取り扱うことを制限し、さらに個人でその設定を変更できないようにし、OS
レベルで管理領域を分離すること、また、運用による対策として、運用管理規程に
よって利用者による OS の設定変更を禁止し、かつ安全性の確認できないアプリケー
ションがモバイル端末にインストールされていないことを管理者が定期的に確認す
ること等、適切な対策を選択・採用し、十分な安全性が確保された上で行う必要が
ある。コンピュータウイルスや不適切な設定のされたソフトウェアにより、外部か
らの不正アクセスによって情報が漏えいすることも考えられるため、管理されてい
ない端末での BYOD は行わない。管理者が BYOD によるコスト・利便性とリスクを評
価して検討することが求められる。

・

覗き見防止対策の実施が望ましい。

C．最低限のガイドライン
1. 組織としてリスク分析を実施し、情報及び情報機器の持ち出しや、BYOD の実施に関す
る方針を運用管理規程で定めること。
2. 運用管理規程には、持ち出した情報及び情報機器の管理方法を定めること。
3. 情報を格納した可搬媒体又は情報機器の盗難、紛失時の対応を運用管理規程に定める
こと。
4. 運用管理規程で定めた盗難、紛失時の対応を従業者等に周知徹底するとともに、教育を
実施すること。
5. 情報が格納された可搬媒体及び情報機器の所在を台帳等により管理すること。
6. 情報機器に対して起動パスワード等を設定すること。設定に当たっては推定しやすい
パスワード等の利用を避けるとともに、定期的なパスワードの変更等の対策を実施す
ること。
7. 盗難、置き忘れ等に対応する措置として、情報に対する暗号化やアクセスパスワードの
設定等、容易に内容を読み取られないようにすること。
8. 持ち出した情報機器について、外部のネットワークや他の外部媒体に接続したりする
場合は、コンピュータウイルス対策ソフトやパーソナルファイアウォールの導入等に
より、端末が情報漏えい、改ざん等の対象にならないような対策を実施すること。なお、
ネットワークに接続する場合は 6.11 章の規定を遵守すること。特に、スマートフォン
やタブレットのようなモバイル端末では公衆無線 LAN を利用できる場合があるが、公

35