よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (29 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
8.利用機器・サービスに対する安全管理措置
【遵守事項】
① システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、コンピュータウイ
ルス等のマルウェアが混入していないか確認すること。適切に管理されていないと考えられる記録媒体を利用する
際には、十分な安全確認を実施し、細心の注意を払って利用すること。
② ② 常時マルウェアの混入を防ぐ適切な措置を実施し、とること。また、その対策の有効性・安全性の確認・維
持(例えばパターンファイルの更新の確認・維持)を行うこと。
③ 医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を防止するために、マルウェア対
策ソフトのパターンファイルや OS のセキュリティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
⑤ ④ メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるデータやファイル等の送受
信の禁止、若しくは、又はその実行の停止の実施又は、無害化処理等を行うこと。なお、保守等でやむを得
ずファイル送信等を行う場合、送信側で無害化処理が行われていることを確認すること 。
⑥ ⑤ 情報機器に対するパスワードの設定に関しては、製品等の出荷時におけるパスワードから変更し、「1
4.認証・認可に関する安全管理措置」に示すパスワードの要件を満たすこと。情報機器に対して起動パス
ワード等を設定すること。設定に当たっては製品等の出荷時におけるパスワードから変更し、推定しやすいパス
ワード等の利用を避けるとともに、情報機器の利用方法等に応じて必要があれば、定期的なパスワードの変
更等の対策を実施すること。
⑦⑥ IoT 機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシステム・機器につい
ても同様である。
(1) IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器のサイバーセ
キュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程を定めること。
(2) IoT 機器には、製品出荷後にのファームウェア等に関するの脆弱性が発見されることがある。リスクに対応す
るため、システムやサービスの特徴を踏まえ、IoT 機器のてセキュリティ上重要なアップデートを必要なタイミング
で適切に実施する方法を検討し、運用すること。
(3) 不正な接続を防ぐため、使用をが終了、した又は不具合のために使用を停止した IoT 機器をネットワーク
に接続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。しないこと。
⑧⑦ 企画管理者と協働して、医療情報システムで用いる情報機器等やソフトウェアの棚卸を行うための手順を
策定し、定期的に実施すること。棚卸の際には、情報機器等の滅失状況なども併せて確認すること。
⑨⑧ BYOD の運用実施に関する規程に基づいて、具体的な手順と設定を行い、企画管理者に報告すること。
⑩⑨ BYOD であっても、医療機関等が管理する情報機器等と同等の対策が講じられるよう、手順を作成するこ
と。
8.1 マルウェア対策
➢
コンピュータウイルス、マルウェア、ワーム等様々な形態・呼称を持つマルウェアは、電子メール、ネットワーク、可搬媒
体等を通して医療情報システム内に侵入す入る可能性がある。マルウェアが侵入すると、の侵入に際して適切な
保護対策が行われていなければ、セキュリティ機構の破壊、システムダウン、情報の漏洩漏えいや改ざん、、情報
の破壊、資源の不正使用等、の重大な問題が引き起こされる。またマルウェアの侵入は、何らかの問題が発生し
て初めて気付くことが多い。
➢
対策としてはマルウェアのスキャン用ソフトウェアの導入が効果的であると考えられ、。このソフトウェアを医療情報シ
ステム内の端末、サーバ、ネットワーク機器等に常駐させることにより、マルウェアの検出と除去が期待できる。
- 19 -
【遵守事項】
① システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、コンピュータウイ
ルス等のマルウェアが混入していないか確認すること。適切に管理されていないと考えられる記録媒体を利用する
際には、十分な安全確認を実施し、細心の注意を払って利用すること。
② ② 常時マルウェアの混入を防ぐ適切な措置を実施し、とること。また、その対策の有効性・安全性の確認・維
持(例えばパターンファイルの更新の確認・維持)を行うこと。
③ 医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を防止するために、マルウェア対
策ソフトのパターンファイルや OS のセキュリティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
⑤ ④ メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるデータやファイル等の送受
信の禁止、若しくは、又はその実行の停止の実施又は、無害化処理等を行うこと。なお、保守等でやむを得
ずファイル送信等を行う場合、送信側で無害化処理が行われていることを確認すること 。
⑥ ⑤ 情報機器に対するパスワードの設定に関しては、製品等の出荷時におけるパスワードから変更し、「1
4.認証・認可に関する安全管理措置」に示すパスワードの要件を満たすこと。情報機器に対して起動パス
ワード等を設定すること。設定に当たっては製品等の出荷時におけるパスワードから変更し、推定しやすいパス
ワード等の利用を避けるとともに、情報機器の利用方法等に応じて必要があれば、定期的なパスワードの変
更等の対策を実施すること。
⑦⑥ IoT 機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシステム・機器につい
ても同様である。
(1) IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器のサイバーセ
キュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程を定めること。
(2) IoT 機器には、製品出荷後にのファームウェア等に関するの脆弱性が発見されることがある。リスクに対応す
るため、システムやサービスの特徴を踏まえ、IoT 機器のてセキュリティ上重要なアップデートを必要なタイミング
で適切に実施する方法を検討し、運用すること。
(3) 不正な接続を防ぐため、使用をが終了、した又は不具合のために使用を停止した IoT 機器をネットワーク
に接続したまま放置すると不正に接続されるリスクがあるため、対策を実施すること。しないこと。
⑧⑦ 企画管理者と協働して、医療情報システムで用いる情報機器等やソフトウェアの棚卸を行うための手順を
策定し、定期的に実施すること。棚卸の際には、情報機器等の滅失状況なども併せて確認すること。
⑨⑧ BYOD の運用実施に関する規程に基づいて、具体的な手順と設定を行い、企画管理者に報告すること。
⑩⑨ BYOD であっても、医療機関等が管理する情報機器等と同等の対策が講じられるよう、手順を作成するこ
と。
8.1 マルウェア対策
➢
コンピュータウイルス、マルウェア、ワーム等様々な形態・呼称を持つマルウェアは、電子メール、ネットワーク、可搬媒
体等を通して医療情報システム内に侵入す入る可能性がある。マルウェアが侵入すると、の侵入に際して適切な
保護対策が行われていなければ、セキュリティ機構の破壊、システムダウン、情報の漏洩漏えいや改ざん、、情報
の破壊、資源の不正使用等、の重大な問題が引き起こされる。またマルウェアの侵入は、何らかの問題が発生し
て初めて気付くことが多い。
➢
対策としてはマルウェアのスキャン用ソフトウェアの導入が効果的であると考えられ、。このソフトウェアを医療情報シ
ステム内の端末、サーバ、ネットワーク機器等に常駐させることにより、マルウェアの検出と除去が期待できる。
- 19 -