よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (48 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
の内容に含めることが求められる。
➢
整備した台帳を定期的に棚卸しして、適切な状況にあることを確認する必要がある。
9.2 サプライチェーン管理
➢
サプライチェーンとは、一般的には原材料の調達から製造・物流・販売まで、製品やサービスが顧客に届くまでの一
連のつながり(企業群)を指す。この連鎖のどこかでトラブルが起きると、自社への供給がまで止まる可能性があ
り、これをサプライチェーンリスクと呼ぶ。近年は自然災害などの物理的リスクだけでなく、取引先や委託先の IT の
弱点を突く「サイバー起因のサプライチェーンリスク」が特に問題視されている。
➢
サプライチェーンリスクでは、不正機能等の埋め込み、サービスの供給途絶、外部サービスにおける情報の不適切
な取扱い、海外拠点、グループ組織、取引先等を経由したサイバー攻撃などが挙げられる。
➢
近年のサプライチェーンにおけるサイバー攻撃では、最終的な攻撃目標を生産している、セキュリティが堅牢な組織
を狙うのではなく、そのサプライチェーン(供給の連鎖)工程上の、セキュリティレベルの低い弱い組織(企業、委
託先等)を狙って攻撃を仕掛け、最終的な攻撃目標に、マルウェアなどを仕込む手法が行われているみられる。
➢
またサイバー攻撃以外でも、複数の事業者が提供するシステム・サービス等を組み合わせて利用する際に、一部
の事業者が提供するのシステム・サービスのに提供終了や機能向上を図らないことによるリスクなども指摘されてい
る。
➢
このような脅威に対するリスクを低減するため、医療機関等における医療情報システムに係る委託先や機器に関
するサプライチェーン関係を整理し、リスクアセスメントや対策の整備を行うことが重要である。
9.3 情報機器等の安全性の確認
➢
管理している情報機器等を医療情報システムとして利用するためには、情報機器等の安全性が確認されている
必要がある。特にサイバー攻撃等への対応という観点からは、必要なファームウェアの更新や脆弱性対策の実施、
EOSEOS(End of Sale, Support, Service:販売終了、サポート終了、サービス終了)の対象となってい
ないことなどを確認することが重要である。
➢
EOS を越えている場合、製造販売事業者等と連携し、補完的対策を講じること。
➢
情報機器等の安全性の確認を行うためには、情報機器等の安全性に関する情報を的確に把握することが求め
られる。企画管理者は、担当者に情報機器等の安全に関する情報の収集(利用している情報機器等やシステ
ム、プログラム等)と、それを踏まえた対応を指示し、その対応状況を確認することで、情報機器等の安全性を定
期的に確認する必要がある。
➢
安全性の確認の対象は、情報機器だけではなく、利用するサービスも対象であるも含まれる。サービスの場合、当
該当該サービスを提供するシステム関連サービス提供事業者に対してとの委託契約等に、利用に適した安全性
の状況にあることを定期的に確認する確認する旨を、委託契約等に含めることなどが想定される。
➢
クラウドサービスなどのサービスの場合は、サービス内容によっては、利用可能な利用できる情報システムの容量な
どが定められていることなどによりに上限があることが想定される。、必要十分な容量を確保できないなどといった、
可用性の観点から考えられるに関するリスクを低減するよう、も想定される。システム関連事業者に対しては、必
要な事項をこのような観点からの適宜確認も適宜求めていく必要があるすること。
- 37 -
➢
整備した台帳を定期的に棚卸しして、適切な状況にあることを確認する必要がある。
9.2 サプライチェーン管理
➢
サプライチェーンとは、一般的には原材料の調達から製造・物流・販売まで、製品やサービスが顧客に届くまでの一
連のつながり(企業群)を指す。この連鎖のどこかでトラブルが起きると、自社への供給がまで止まる可能性があ
り、これをサプライチェーンリスクと呼ぶ。近年は自然災害などの物理的リスクだけでなく、取引先や委託先の IT の
弱点を突く「サイバー起因のサプライチェーンリスク」が特に問題視されている。
➢
サプライチェーンリスクでは、不正機能等の埋め込み、サービスの供給途絶、外部サービスにおける情報の不適切
な取扱い、海外拠点、グループ組織、取引先等を経由したサイバー攻撃などが挙げられる。
➢
近年のサプライチェーンにおけるサイバー攻撃では、最終的な攻撃目標を生産している、セキュリティが堅牢な組織
を狙うのではなく、そのサプライチェーン(供給の連鎖)工程上の、セキュリティレベルの低い弱い組織(企業、委
託先等)を狙って攻撃を仕掛け、最終的な攻撃目標に、マルウェアなどを仕込む手法が行われているみられる。
➢
またサイバー攻撃以外でも、複数の事業者が提供するシステム・サービス等を組み合わせて利用する際に、一部
の事業者が提供するのシステム・サービスのに提供終了や機能向上を図らないことによるリスクなども指摘されてい
る。
➢
このような脅威に対するリスクを低減するため、医療機関等における医療情報システムに係る委託先や機器に関
するサプライチェーン関係を整理し、リスクアセスメントや対策の整備を行うことが重要である。
9.3 情報機器等の安全性の確認
➢
管理している情報機器等を医療情報システムとして利用するためには、情報機器等の安全性が確認されている
必要がある。特にサイバー攻撃等への対応という観点からは、必要なファームウェアの更新や脆弱性対策の実施、
EOSEOS(End of Sale, Support, Service:販売終了、サポート終了、サービス終了)の対象となってい
ないことなどを確認することが重要である。
➢
EOS を越えている場合、製造販売事業者等と連携し、補完的対策を講じること。
➢
情報機器等の安全性の確認を行うためには、情報機器等の安全性に関する情報を的確に把握することが求め
られる。企画管理者は、担当者に情報機器等の安全に関する情報の収集(利用している情報機器等やシステ
ム、プログラム等)と、それを踏まえた対応を指示し、その対応状況を確認することで、情報機器等の安全性を定
期的に確認する必要がある。
➢
安全性の確認の対象は、情報機器だけではなく、利用するサービスも対象であるも含まれる。サービスの場合、当
該当該サービスを提供するシステム関連サービス提供事業者に対してとの委託契約等に、利用に適した安全性
の状況にあることを定期的に確認する確認する旨を、委託契約等に含めることなどが想定される。
➢
クラウドサービスなどのサービスの場合は、サービス内容によっては、利用可能な利用できる情報システムの容量な
どが定められていることなどによりに上限があることが想定される。、必要十分な容量を確保できないなどといった、
可用性の観点から考えられるに関するリスクを低減するよう、も想定される。システム関連事業者に対しては、必
要な事項をこのような観点からの適宜確認も適宜求めていく必要があるすること。
- 37 -