よむ、つかう、まなぶ。
【資料2-5】保守委託機関編(案) (18 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_71572.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第29回 3/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
10.技術的な 全管理対策の管理
① サーバルーム等のセキュリティ境界への入退室管理(施錠、識別、記録)を行うこと。
② 離席時の不正利用防止対策(画面ロック等)を実施すること。
③ 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、周知徹
底・教育を実施すること。
④ 全体構成図(ネットワーク・システム構成図)及び関係者一覧を作成し、最新化するこ
と。
⑤ 医療機関等が用いる端末、ネットワーク機器については、医療機関等の責任で脆弱性対
応(セキュリティパッチへの対応、マルウェア対策ソフトのパターンファイルの更新、ネットワーク
機器のファームウェアの更新等)を行うこと。これらの対応を事業者に委託する
には、
委託内容・範囲を明確にすること。
⑥ 医療機関等で利用する IoT 機器のリスク分析、アップデート、使用終了時の
続解除を
すること。
⑦ 利用者の I
の台帳管理、棚卸し、削除手順を作成すること。
⑧ パフォーマンス管理、死活監視については、事業者に対する委託契約に含まれる SLA にお
いて明確にすること。
⑨ 医療情報システムを導入する際には、事業者に M S/S S の提出を求め、本編別紙に
示す部分について、「はい」又は「対象外」であることを確認すること。
⑩ 汎用的な医療情報システムについて、委託等を行わずに導入したシステム・サービス等
( C 等の端末やネットワーク機器を除く)を利用する
は、システム運用編にお る遵
守事項への対応を行うこと。
◼
技術的な安全管理対策の多くはシステム運用編に示されている。専任のシステム担当者を要さな
い機関ではこれを詳細に理解し、適切な事項を選出して対策することは困難であると想定される。
◼
クラウドサービスの利用や保守の委託を行うことを想定し、「システム運用編」において対応が求めら
れる項目に対して、事業者が対応していることを確認、管理することで実施しているものと なす。
◼
具体的には、事業者から提出される M S/S S や約 等と、本編末尾の【別紙】と照らし わせ
ることで、適切な安全管理が実施されることを確保すること。
◼
但し、医療機関等内部での医療情報の利用については医療機関等自らが管理する必要がある。
例えばサーバルーム等のセキュリティ境界への入退室管理や、媒体や機器の保管ルール、利用端
末の画面ロックアウト設定、などが挙げられる。
◼
医療機関等が導入しているネットワークや機器、システム(アプリケーションのほか、これに
続して
いる検査機器のシステム等)、クラウドサービスなどの整理が必要となる。職員の で作成すること
が困難な
には、 事業者への照会や協力を得るなどして作成すること。「利用者の I
の台帳
管理、棚卸し、削除手順」の作成についても、医療機関等が自ら実施することが想定されるが、内
容等について不明点があれば、事業者へ照会、委託するなどして、対応すること。
17
① サーバルーム等のセキュリティ境界への入退室管理(施錠、識別、記録)を行うこと。
② 離席時の不正利用防止対策(画面ロック等)を実施すること。
③ 記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、周知徹
底・教育を実施すること。
④ 全体構成図(ネットワーク・システム構成図)及び関係者一覧を作成し、最新化するこ
と。
⑤ 医療機関等が用いる端末、ネットワーク機器については、医療機関等の責任で脆弱性対
応(セキュリティパッチへの対応、マルウェア対策ソフトのパターンファイルの更新、ネットワーク
機器のファームウェアの更新等)を行うこと。これらの対応を事業者に委託する
には、
委託内容・範囲を明確にすること。
⑥ 医療機関等で利用する IoT 機器のリスク分析、アップデート、使用終了時の
続解除を
すること。
⑦ 利用者の I
の台帳管理、棚卸し、削除手順を作成すること。
⑧ パフォーマンス管理、死活監視については、事業者に対する委託契約に含まれる SLA にお
いて明確にすること。
⑨ 医療情報システムを導入する際には、事業者に M S/S S の提出を求め、本編別紙に
示す部分について、「はい」又は「対象外」であることを確認すること。
⑩ 汎用的な医療情報システムについて、委託等を行わずに導入したシステム・サービス等
( C 等の端末やネットワーク機器を除く)を利用する
は、システム運用編にお る遵
守事項への対応を行うこと。
◼
技術的な安全管理対策の多くはシステム運用編に示されている。専任のシステム担当者を要さな
い機関ではこれを詳細に理解し、適切な事項を選出して対策することは困難であると想定される。
◼
クラウドサービスの利用や保守の委託を行うことを想定し、「システム運用編」において対応が求めら
れる項目に対して、事業者が対応していることを確認、管理することで実施しているものと なす。
◼
具体的には、事業者から提出される M S/S S や約 等と、本編末尾の【別紙】と照らし わせ
ることで、適切な安全管理が実施されることを確保すること。
◼
但し、医療機関等内部での医療情報の利用については医療機関等自らが管理する必要がある。
例えばサーバルーム等のセキュリティ境界への入退室管理や、媒体や機器の保管ルール、利用端
末の画面ロックアウト設定、などが挙げられる。
◼
医療機関等が導入しているネットワークや機器、システム(アプリケーションのほか、これに
続して
いる検査機器のシステム等)、クラウドサービスなどの整理が必要となる。職員の で作成すること
が困難な
には、 事業者への照会や協力を得るなどして作成すること。「利用者の I
の台帳
管理、棚卸し、削除手順」の作成についても、医療機関等が自ら実施することが想定されるが、内
容等について不明点があれば、事業者へ照会、委託するなどして、対応すること。
17