よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (31 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ム等提供事業者に求めることも重要である1。
➢
そのうえで、必要に応じて速やかに脆弱性対策を講じることが求められる必要があるが、。その際に、他のソフトウェ
アの動作等に影響することも想定される。ことから、事前に事業者に脆弱性対策の実施の可否を確認し、対応が
難しい場合には、当該リスクに対する対策や管理方法を協議の上、代替策を講じる必要があること。
➢
なお、検査装置等に付属するシステム・機器についても同様である。また医療機器が EOoS を迎えたとなった場
合の対応等に関する管理者については、医療機器安全管理責任者等の医療機器を管理する部署の担当者と
なるため、と医療情報システム安全管理責任者等のシステム運用担当者は、医療機器安全管理責任者とが十
分に連携を取りながら管理することを図ることが求められる。
➢
本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する要件を定め
ており、いるものであり、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35
年8月 10 日法律第 145 号)2においての定める医療機器のサイバーセキュリティの対策については、「医療機
器におけるサイバーセキュリティの確保について」3、「医療機器のサイバーセキュリティ導入に関する手引書」4、「医
療機関における医療機器のサイバーセキュリティ確保のための手引書」5等を踏まえて、医療機器の製造販売業
者と必要な連携を図ることも求められる。。
8.3 端末やサーバの安全な利用の管理
➢
システム運用担当者は、医療情報システムで利用する端末やサーバ等の情報機器が安全に利用されていること
を確認する必要がある。
➢
安全な利用については、8.1、8.2に示す対策のほか、例えば情報機器の起動にパスワード等の設定を行
うなど、必要な措置を講じることが求められる。また製品出荷時にパスワード等が設定されているものについては、
必ず製品出荷時のものから変更することが重要である。サーバで利用するソフトウェアの管理者権限を有する ID
等においても同様である。企画管理者はこのような情報機器の起動や初期設定に関する対応を図ることが求めら
れる。
➢
外部からの攻撃等のリスクを下げる方法の一つとして、不要な情報機器等を使用しない、不要な医療情報システ
ムをの稼働させは行わない、などの対応も必要である。例えば、利用されていないにもかかわらず、外部と接続可
能な情報機器がある場合には、、その情報機器等が攻撃対象となり得えるることも想定される。また医療機関等
の業務によっては、明らかに利用する可能性がない(または低い)時間帯を含めてには医療情報システムのを稼
働を停止することにより、業務時間外の攻撃リスクを低減できる業務で利用されない時間帯に攻撃を受けることも
想定される。従って、企画管理者は、システム運用担当者は、業務での必要性や利便性などをと勘案して、利用
する情報機器等や医療情報システムの稼働時間等を整理の上して、適切な設定を行うことが求められる。
1
SBOM の取扱いについては、「医療機器のサイバーセキュリティ導入に関する手引書」の「附属書 A. ソフトウェア部品表(SBOM)の
扱い」が参考になる。
2
昭和 35 年8月 10 日法律第 145 号
3
平成 27 年4月 28 日薬食機参発 0428 第1号、薬食安発 0428 第1号「医療機器におけるサイバーセキュリティの確保について」
4
令和5年3月 31 日薬生機審発 0331、第 11 号薬生安発 0331 第 4 号「医療機器のサイバーセキュリティ導入に関する手引書
の改訂について」
5
令和5年3月 31 日医政参発 0331 第1号、薬生機審発 0331 第 16 号、薬生安発 0331 第 8 号「医療機関における医療機
器のサイバーセキュリティ確保のための手引書について」
- 21 -
➢
そのうえで、必要に応じて速やかに脆弱性対策を講じることが求められる必要があるが、。その際に、他のソフトウェ
アの動作等に影響することも想定される。ことから、事前に事業者に脆弱性対策の実施の可否を確認し、対応が
難しい場合には、当該リスクに対する対策や管理方法を協議の上、代替策を講じる必要があること。
➢
なお、検査装置等に付属するシステム・機器についても同様である。また医療機器が EOoS を迎えたとなった場
合の対応等に関する管理者については、医療機器安全管理責任者等の医療機器を管理する部署の担当者と
なるため、と医療情報システム安全管理責任者等のシステム運用担当者は、医療機器安全管理責任者とが十
分に連携を取りながら管理することを図ることが求められる。
➢
本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する要件を定め
ており、いるものであり、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35
年8月 10 日法律第 145 号)2においての定める医療機器のサイバーセキュリティの対策については、「医療機
器におけるサイバーセキュリティの確保について」3、「医療機器のサイバーセキュリティ導入に関する手引書」4、「医
療機関における医療機器のサイバーセキュリティ確保のための手引書」5等を踏まえて、医療機器の製造販売業
者と必要な連携を図ることも求められる。。
8.3 端末やサーバの安全な利用の管理
➢
システム運用担当者は、医療情報システムで利用する端末やサーバ等の情報機器が安全に利用されていること
を確認する必要がある。
➢
安全な利用については、8.1、8.2に示す対策のほか、例えば情報機器の起動にパスワード等の設定を行
うなど、必要な措置を講じることが求められる。また製品出荷時にパスワード等が設定されているものについては、
必ず製品出荷時のものから変更することが重要である。サーバで利用するソフトウェアの管理者権限を有する ID
等においても同様である。企画管理者はこのような情報機器の起動や初期設定に関する対応を図ることが求めら
れる。
➢
外部からの攻撃等のリスクを下げる方法の一つとして、不要な情報機器等を使用しない、不要な医療情報システ
ムをの稼働させは行わない、などの対応も必要である。例えば、利用されていないにもかかわらず、外部と接続可
能な情報機器がある場合には、、その情報機器等が攻撃対象となり得えるることも想定される。また医療機関等
の業務によっては、明らかに利用する可能性がない(または低い)時間帯を含めてには医療情報システムのを稼
働を停止することにより、業務時間外の攻撃リスクを低減できる業務で利用されない時間帯に攻撃を受けることも
想定される。従って、企画管理者は、システム運用担当者は、業務での必要性や利便性などをと勘案して、利用
する情報機器等や医療情報システムの稼働時間等を整理の上して、適切な設定を行うことが求められる。
1
SBOM の取扱いについては、「医療機器のサイバーセキュリティ導入に関する手引書」の「附属書 A. ソフトウェア部品表(SBOM)の
扱い」が参考になる。
2
昭和 35 年8月 10 日法律第 145 号
3
平成 27 年4月 28 日薬食機参発 0428 第1号、薬食安発 0428 第1号「医療機器におけるサイバーセキュリティの確保について」
4
令和5年3月 31 日薬生機審発 0331、第 11 号薬生安発 0331 第 4 号「医療機器のサイバーセキュリティ導入に関する手引書
の改訂について」
5
令和5年3月 31 日医政参発 0331 第1号、薬生機審発 0331 第 16 号、薬生安発 0331 第 8 号「医療機関における医療機
器のサイバーセキュリティ確保のための手引書について」
- 21 -