⑦

パスワードは英数字、記号が混在した８文字以上とし、定期的に変更している。
※二要素認証、または 13 文字以上の場合は定期的な変更は不要 （医療情報システム全般）

情報機器に対して起動時のパスワード等を設定すること、設定に当たっては出荷時に
おけるパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、情
報機器の利用方法等に応じて必要があれば定期的なパスワードの変更等の対策を実施す
ることが求められます（※）。
端末 PC のログインパスワードのみならず、サーバやネットワーク機器のパスワードが
推定しやすいものであると、サイバー攻撃の起点となります。サーバ、ネットワーク機
器のパスワードを事業者が管理している場合、医療機関等は事業者確認用チェックリス
トを用いて、事業者の設定、運用しているパスワードがガイドラインの要件を満たすも
のであるかを確認する必要があります。
この際、事業者側は各医療機関等のパスワードのリストについて、漏洩リスクを最小
限とする様、厳重に管理する必要があります。
医療機関等の端末 PC においても、ユーザ向けログインパスワードをモニターに付箋で
貼る等の管理は絶対に避けなければなりません。
なお、利用するパスワードが 13 文字以上のランダムな設定がなされており、パスワー
ド管理の安全性などが担保されているシステムを用いている場合には、パスワードの定
期的変更は必ずしも求められません。また、二要素以上の認証の場合、ID/パスワードの
みの認証よりも安全性が高いことから、８文字以上の推定困難な文字列であれば定期的
な変更は求めないこととしています。定期的な更新が難しい場合はこのような設定をご
参考ください。

●強固なパスワードの例
･英数字、記号を混在させた 13 文字以上の推定困難な文字列
･英数字、記号を混在させた８文字以上の推定困難な文字列を定期的に変更させる
･二要素以上の認証の場合、英数字、記号を混在させた８文字以上の推定困難な文字
列
･複数の機器や外部サービス等で、同一のパスワードを設定しない

10

▶システム運用編
8.⑤