よむ、つかう、まなぶ。
【資料2-2】経営管理編(案) (24 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
果報告を受け、必要に応じて、改善に向けた対応を指示する必要がある。
➢ 通常時に整備していた BCP が非常時において迅速かつ的確に実施できるよう、経営層においては、通常時から
定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者やシステム運
用担当者に指示する必要がある。なお、医療機関等が管理する医療情報の取扱いに関して、情報セキュリティイ
ンシデントが生じた場合の対応も考慮する必要がある。例えばまた、情報セキュリティインシデントには情報漏洩漏
えいなども含まれており、る。これらは直ちに医療情報システムの稼働自体可用性に影響を及ぼすものではないが、
患者情報は大変機微な情報であり、医療情報は患者の生命、身体に大きな影響を及ぼす危険性があるほか、
医療機関等の風評被害等により経営にも影響し得る大きな影響を及ぼす可能性があるため、情報漏洩漏えい
等が起こった場合の対応についても、あらかじめ整理しておく必要があること。
3.4.2 情報共有・支援、情報収集
➢ 情報セキュリティインシデントの発生に備え、システム関連事業者や外部有識者と非常時を想定した情報共有や
支援に関する取決めや体制を整備するよう、企画管理者に指示することが重要である。特にサイバー攻撃の場合、
初動の対応が重要であるとされることから、速やかに情報共有等が行えるよう、のための緊急連絡網(システム関
連事業者、情報セキュリティ事業者や外部有識者等の連絡先)、医療機関等外を含む情報開示の通知先一
覧を整備し、医療機関等において対応に従事するシステム運用担当者に共有しておくことは有用である。また、シ
ステム関連事業者とは、このような対応も見据えた取決めを事前に交わすことが重要である。
➢ 情報セキュリティインシデントの未然防止策として、通常時から情報機器等を含めた医療情報システムに関係する
脆弱性対策や重要なアップデート(更新)、ならびに、EOS(End of Sale, Support, Service:販売終了、
サポート終了、サービス終了)等に関する情報を収集し、速やか迅速なに対策を講じることができるが可能な体制
を整えるよう、企画管理者やシステム運用担当者に指示することは重要である。
3.4.3 情報セキュリティインシデントへの対応体制
➢ 情報セキュリティインシデントが発生した場合、医療機関等内の対応として、速やかに情報セキュリティの最高責任
者への報告と関係者への連絡を行い、被害発生の事象特定、拡大防止等に努める必要がある。
➢ 具体的には、情報セキュリティインシデントの発生に対して、影響範囲や損害の特定、被害拡大防止を図るための
初動対応、原因の究明、再発防止策の検討を速やかに実施するための CSIRT(Computer Security
Incident Response Team(緊急対応体制))等を整備することが望ましい。特に一定規模以上の病院や、
地域で重要な機能を果たしている医療機関等においては、地域医療に与える影響の大きさを鑑みると、CSIRT
の整備が強く求められる。
➢ 情報セキュリティインシデントが発生した場合には、法令等に基づく報告に加え、必要に応じて、所管官庁等の関
係者に対して報告することも重要である。特に、サイバー攻撃を受けたまたは又はその疑いがある場合には、早急に
その状況を厚生労働省、社会保険診療報酬支払基金、都道府県警察、その他所管官庁等に報告し、共有す
ることにより、被害の拡大を防ぎ、復旧のための対策を講ずることが可能となるためである。
➢ 「医療機関等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029
第1号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)では不
正ソフトウェアの混入などによるサイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個
人情報の漏洩漏えいや医療提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
「医療機関等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029
第1号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)に基づ
- 17 -
➢ 通常時に整備していた BCP が非常時において迅速かつ的確に実施できるよう、経営層においては、通常時から
定期的に訓練・演習を実施し、その結果を踏まえ、必要に応じて改善に向けた対応を企画管理者やシステム運
用担当者に指示する必要がある。なお、医療機関等が管理する医療情報の取扱いに関して、情報セキュリティイ
ンシデントが生じた場合の対応も考慮する必要がある。例えばまた、情報セキュリティインシデントには情報漏洩漏
えいなども含まれており、る。これらは直ちに医療情報システムの稼働自体可用性に影響を及ぼすものではないが、
患者情報は大変機微な情報であり、医療情報は患者の生命、身体に大きな影響を及ぼす危険性があるほか、
医療機関等の風評被害等により経営にも影響し得る大きな影響を及ぼす可能性があるため、情報漏洩漏えい
等が起こった場合の対応についても、あらかじめ整理しておく必要があること。
3.4.2 情報共有・支援、情報収集
➢ 情報セキュリティインシデントの発生に備え、システム関連事業者や外部有識者と非常時を想定した情報共有や
支援に関する取決めや体制を整備するよう、企画管理者に指示することが重要である。特にサイバー攻撃の場合、
初動の対応が重要であるとされることから、速やかに情報共有等が行えるよう、のための緊急連絡網(システム関
連事業者、情報セキュリティ事業者や外部有識者等の連絡先)、医療機関等外を含む情報開示の通知先一
覧を整備し、医療機関等において対応に従事するシステム運用担当者に共有しておくことは有用である。また、シ
ステム関連事業者とは、このような対応も見据えた取決めを事前に交わすことが重要である。
➢ 情報セキュリティインシデントの未然防止策として、通常時から情報機器等を含めた医療情報システムに関係する
脆弱性対策や重要なアップデート(更新)、ならびに、EOS(End of Sale, Support, Service:販売終了、
サポート終了、サービス終了)等に関する情報を収集し、速やか迅速なに対策を講じることができるが可能な体制
を整えるよう、企画管理者やシステム運用担当者に指示することは重要である。
3.4.3 情報セキュリティインシデントへの対応体制
➢ 情報セキュリティインシデントが発生した場合、医療機関等内の対応として、速やかに情報セキュリティの最高責任
者への報告と関係者への連絡を行い、被害発生の事象特定、拡大防止等に努める必要がある。
➢ 具体的には、情報セキュリティインシデントの発生に対して、影響範囲や損害の特定、被害拡大防止を図るための
初動対応、原因の究明、再発防止策の検討を速やかに実施するための CSIRT(Computer Security
Incident Response Team(緊急対応体制))等を整備することが望ましい。特に一定規模以上の病院や、
地域で重要な機能を果たしている医療機関等においては、地域医療に与える影響の大きさを鑑みると、CSIRT
の整備が強く求められる。
➢ 情報セキュリティインシデントが発生した場合には、法令等に基づく報告に加え、必要に応じて、所管官庁等の関
係者に対して報告することも重要である。特に、サイバー攻撃を受けたまたは又はその疑いがある場合には、早急に
その状況を厚生労働省、社会保険診療報酬支払基金、都道府県警察、その他所管官庁等に報告し、共有す
ることにより、被害の拡大を防ぎ、復旧のための対策を講ずることが可能となるためである。
➢ 「医療機関等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029
第1号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)では不
正ソフトウェアの混入などによるサイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個
人情報の漏洩漏えいや医療提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
「医療機関等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029
第1号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)に基づ
- 17 -