よむ、つかう、まなぶ。
【資料2-3】企画管理編(案) (56 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
12.サイバーセキュリティ
【遵守事項】
① サイバーセキュリティに関する組織的対策、職員や委託先事業者への対策を検討し、整理すること。技術的
な対応・措置については、担当者にリスク評価を踏まえた対策の検討を指示し、状況を確認すること。
② 整理したサイバーセキュリティ対策を踏まえ、サイバーセキュリティ対応計画を策定し、当該計画の内容につい
て経営層に報告し、承認を得ること。
③ サイバーセキュリティ対応計画を踏まえ、その内容を医療機関等で定める各規程や手順等に反映すること。
④ サイバーセキュリティ対応計画を踏まえ、各対策の実施状況を確認すること。技術的な対応・措置について
は、担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
⑤ サイバーセキュリティ対応計画を踏まえた訓練を定期的に実施し、その結果を経営層に報告し、承認を得るこ
と。また、訓練結果を踏まえ、対応計画の検証・見直しを実施し、必要に応じて対応計画等の改善を行うこ
と。
⑥ サイバーセキュリティインシデントが発生した際に、情報交換等を行う関係者の情報をあらかじめ整理し、必要
に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情報システム・サービスのシステム関連事
業者をはじめ、報告対象となる行政機関等、その他必要に応じて助言等の支援を求める外部有識者等が含
まれる。)
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩漏えいや
医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、「医療機関
等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029 第1
号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)に基づき、
所管官庁への連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わら
ず、医療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
⑧ サイバーセキュリティインシデントが発生した際には、その状況について、定期的に経営層に報告すること。ま
た、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実施し、必要に応じて改善を行うこと。
⑨ サイバーセキュリティ事象による非常時としての対応が生じた場合には、「11.非常時(災害、サイバー攻
撃、システム障害)対応と BCP 策定」に示す内容を実施すること。
12.1 サイバーセキュリティ対応計画の策定
➢
非常時の事象発生原因の一つであるサイバー攻撃は、攻撃者が悪意を以て攻行う撃する犯罪行為であり、その
方法も様々な形でである。、情報システムの高度化に合わせて変化することや、システム利用者側の過失や知識
の不足などを利用した攻撃がされることもあるためも存在することから、システム側のみの対応ではで十分な防御が
で不十分となることもありきないこともあり、対策を難しく困難にしている。
➢
企画管理者は、サイバーセキュリティ対応に際して、具体的に、どのような攻撃等があるのか、医療機関等をはじめ、
や企業、や行政機関等でどのような被害が生じているのか等を含めたのサイバーセキュリティ事案の対応の必要性
に関する実情を把握することが重要であるは重要である。
➢
その上で、医療機関等としての対策として、組織的な対応と技術的な対応の両面から担当者と協議し、対策を
整理する必要がある。
➢
これらを踏まえて、攻撃を受ける前の通常時における対応、攻撃を受けた場合の非常時としての対応、被害から
の復旧・復帰などのフェーズの対応策をサイバーセキュリティ対応計画等の形で整理し、経営層の承認を踏まえて、
- 45 -
【遵守事項】
① サイバーセキュリティに関する組織的対策、職員や委託先事業者への対策を検討し、整理すること。技術的
な対応・措置については、担当者にリスク評価を踏まえた対策の検討を指示し、状況を確認すること。
② 整理したサイバーセキュリティ対策を踏まえ、サイバーセキュリティ対応計画を策定し、当該計画の内容につい
て経営層に報告し、承認を得ること。
③ サイバーセキュリティ対応計画を踏まえ、その内容を医療機関等で定める各規程や手順等に反映すること。
④ サイバーセキュリティ対応計画を踏まえ、各対策の実施状況を確認すること。技術的な対応・措置について
は、担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
⑤ サイバーセキュリティ対応計画を踏まえた訓練を定期的に実施し、その結果を経営層に報告し、承認を得るこ
と。また、訓練結果を踏まえ、対応計画の検証・見直しを実施し、必要に応じて対応計画等の改善を行うこ
と。
⑥ サイバーセキュリティインシデントが発生した際に、情報交換等を行う関係者の情報をあらかじめ整理し、必要
に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情報システム・サービスのシステム関連事
業者をはじめ、報告対象となる行政機関等、その他必要に応じて助言等の支援を求める外部有識者等が含
まれる。)
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩漏えいや
医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、「医療機関
等におけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029 第1
号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)に基づき、
所管官庁への連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わら
ず、医療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
⑧ サイバーセキュリティインシデントが発生した際には、その状況について、定期的に経営層に報告すること。ま
た、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実施し、必要に応じて改善を行うこと。
⑨ サイバーセキュリティ事象による非常時としての対応が生じた場合には、「11.非常時(災害、サイバー攻
撃、システム障害)対応と BCP 策定」に示す内容を実施すること。
12.1 サイバーセキュリティ対応計画の策定
➢
非常時の事象発生原因の一つであるサイバー攻撃は、攻撃者が悪意を以て攻行う撃する犯罪行為であり、その
方法も様々な形でである。、情報システムの高度化に合わせて変化することや、システム利用者側の過失や知識
の不足などを利用した攻撃がされることもあるためも存在することから、システム側のみの対応ではで十分な防御が
で不十分となることもありきないこともあり、対策を難しく困難にしている。
➢
企画管理者は、サイバーセキュリティ対応に際して、具体的に、どのような攻撃等があるのか、医療機関等をはじめ、
や企業、や行政機関等でどのような被害が生じているのか等を含めたのサイバーセキュリティ事案の対応の必要性
に関する実情を把握することが重要であるは重要である。
➢
その上で、医療機関等としての対策として、組織的な対応と技術的な対応の両面から担当者と協議し、対策を
整理する必要がある。
➢
これらを踏まえて、攻撃を受ける前の通常時における対応、攻撃を受けた場合の非常時としての対応、被害から
の復旧・復帰などのフェーズの対応策をサイバーセキュリティ対応計画等の形で整理し、経営層の承認を踏まえて、
- 45 -