よむ、つかう、まなぶ。
【資料2-4】システム運用編(案) (41 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
12.物理的安全管理措置
【遵守事項】
① ① 医療情報及び医療情報システムを保管する場所を選定する際にはについて、リスク評価を踏まえて、そ
の場所の選定を企画管理者と協働して検討し、決定すること。検討に際しては、医療情報を格納する情報
機器や記録媒体を物理的に保管するための施設が、災害(地震、水害、落雷、火災等並びにそれに伴う
停電等)に耐えうる機能・構造を備え、災害による障害(結露等)について対策が講じられている建築物
に設置することなどを考慮すること。
② 医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置場所等のセキュリテ
ィ境界への入退管理が、個人認証システム等による制御に基づいて行われていることを確認すること。また建
物、部屋への不正な侵入を防ぐため、防犯カメラ、自動侵入監視装置等が設置されていることを確認するこ
と。
① ③ サーバルーム等の十分なセキュリティ確保が求められる領域においては医療情報を格納する情報機器や
記録媒体の設置場所等のセキュリティ境界へは、持ち込まれる物品の確認・制限を実施すること。
④③ ④ 個人情報が保管されているの保管等、情報機器等の重要な用途に利用される情報機器には盗難
防止策を講じること。
④ ⑤
医療情報及び医療情報システムのバックアップは、企画管理者が定める運用管理規程等に基づくと
整合性がとれる措置を実施とし、確保したバックアップは非常時に利用できるよう、適切に管理すること。
⑤ ⑥ 記録媒体、ネットワーク回線、設備の劣化による情報の読み取り不能又は不完全な読み取りをが不能
となる等のリスクを防止するため、記録媒体が劣化する前に、当該記録媒体に保管されている情報を新たな
記録媒体又は情報機器に複写等の情報のへの複写を実施する等、適切な保管措置を講じること。
⑥
⑦ 利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者によ
る入力・参照が生じないよう対策を実施すること。
12.1 サーバルーム等の物理的要件
➢
システム運用担当者は、医療情報及び医療情報システムを保管する場所(サーバルーム、マシンルーム等)を
について、リスク分析の結果を踏まえて、企画管理者と協議の上、選定することが求められる。特に医療情報を保
護するという観点から、災害(地震、水害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造にで
あるよう考慮するほか、医療情報システムの運用の確保の観点から結露や高温による情報機器等の暴走するリ
スク等にも留意などが生じないような措置が講じられている環境を選定するなどが求められること。
➢
サーバルームやマシンルームなどのうち、医療情報や等の医療情報システムが格納されているセキュリティ区域につ
いては、サーバルーム等の職員を含め、入退管理がなされており、カメラ等による監視などがなされていることもこと
なども考慮に入れる必要でがある。
➢
さらに、医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックなどについては、施錠
管理することされていることが求められる。
➢
またサーバルーム等のセキュリティ境界へやマシンルームへ持ち込む物品を確認・ものを適宜制限し、確認すること
必要がある。例えば可搬型記録媒体の持ち込みは、大量のデータ漏えいにつながるリスクがあるためである。
➢
12.2 バックアップの管理
➢
システム運用担当者は、バックアップについては、企画管理者が運用管理規程等に定めたルールに基づいて、適
- 31 -
【遵守事項】
① ① 医療情報及び医療情報システムを保管する場所を選定する際にはについて、リスク評価を踏まえて、そ
の場所の選定を企画管理者と協働して検討し、決定すること。検討に際しては、医療情報を格納する情報
機器や記録媒体を物理的に保管するための施設が、災害(地震、水害、落雷、火災等並びにそれに伴う
停電等)に耐えうる機能・構造を備え、災害による障害(結露等)について対策が講じられている建築物
に設置することなどを考慮すること。
② 医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置場所等のセキュリテ
ィ境界への入退管理が、個人認証システム等による制御に基づいて行われていることを確認すること。また建
物、部屋への不正な侵入を防ぐため、防犯カメラ、自動侵入監視装置等が設置されていることを確認するこ
と。
① ③ サーバルーム等の十分なセキュリティ確保が求められる領域においては医療情報を格納する情報機器や
記録媒体の設置場所等のセキュリティ境界へは、持ち込まれる物品の確認・制限を実施すること。
④③ ④ 個人情報が保管されているの保管等、情報機器等の重要な用途に利用される情報機器には盗難
防止策を講じること。
④ ⑤
医療情報及び医療情報システムのバックアップは、企画管理者が定める運用管理規程等に基づくと
整合性がとれる措置を実施とし、確保したバックアップは非常時に利用できるよう、適切に管理すること。
⑤ ⑥ 記録媒体、ネットワーク回線、設備の劣化による情報の読み取り不能又は不完全な読み取りをが不能
となる等のリスクを防止するため、記録媒体が劣化する前に、当該記録媒体に保管されている情報を新たな
記録媒体又は情報機器に複写等の情報のへの複写を実施する等、適切な保管措置を講じること。
⑥
⑦ 利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者によ
る入力・参照が生じないよう対策を実施すること。
12.1 サーバルーム等の物理的要件
➢
システム運用担当者は、医療情報及び医療情報システムを保管する場所(サーバルーム、マシンルーム等)を
について、リスク分析の結果を踏まえて、企画管理者と協議の上、選定することが求められる。特に医療情報を保
護するという観点から、災害(地震、水害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造にで
あるよう考慮するほか、医療情報システムの運用の確保の観点から結露や高温による情報機器等の暴走するリ
スク等にも留意などが生じないような措置が講じられている環境を選定するなどが求められること。
➢
サーバルームやマシンルームなどのうち、医療情報や等の医療情報システムが格納されているセキュリティ区域につ
いては、サーバルーム等の職員を含め、入退管理がなされており、カメラ等による監視などがなされていることもこと
なども考慮に入れる必要でがある。
➢
さらに、医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックなどについては、施錠
管理することされていることが求められる。
➢
またサーバルーム等のセキュリティ境界へやマシンルームへ持ち込む物品を確認・ものを適宜制限し、確認すること
必要がある。例えば可搬型記録媒体の持ち込みは、大量のデータ漏えいにつながるリスクがあるためである。
➢
12.2 バックアップの管理
➢
システム運用担当者は、バックアップについては、企画管理者が運用管理規程等に定めたルールに基づいて、適
- 31 -