改定内容の検討

想定される改定論点
カテゴリ

論点

認証に関する論点

◼ 医療情報システム等の制約や、業務上の制約等により、二要素認証の導入が難しい場合、システム運
用編において、二要素認証に相当する認証対策が講じられている場合について示している。今後もこの
ようなケースを認めていくことの可否、認められる場合の具体的な要件等についての精緻化が求められる。
◼ NISTの”Digital Identity Guidelines”は現在第4版改定作業が進められている。この中でパスワード
ルールとして推奨する内容に変更が生じており、本ガイドラインへの適用の必要性等について検討する。

AI利用時の情報管
理について

◼ AIの開発、利用においては、モデルの学習のために医療情報の提供とその解析などのプロセスが存在す
る。本ガイドラインにおける第三者提供や事業者による解析について必要な対応を検討する。

クラウドサービス

◼ 医療機関等が利用する医療情報システムにおいて、複数のクラウドサービスの連携により行われるケース
が拡大していることが想定される。現行のガイドラインにおいては、認証・認可の関係やAPI等の連携につ
いて示しているところであるが、よりサプライチェーンリスクを想定した内容の追記を検討する。

関連ガイドライン等との
整合性の確保

◼ NCO（旧NISC）の策定する「重要インフラのサイバーセキュリティに係る安全基準等策定指針」や、 2
省ガイドライン等の改定が行われており、それによる本ガイドラインへの影響を確認し、必要があれば整合
性の調整等をおこなう。

NIST：米国立標準技術研究所（National Institute of Standards and Technology）
NCO：国家サイバー統括室（National Cybersecurity Office）
NISC：内閣サイバーセキュリティセンター（National center of Incident readiness and Strategy for Cybersecurity）
API：Application Programming Interface
2省ガイドライン：医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
4