よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (17 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
4.安全管理に必要な対策全般
【遵守事項】
① 医療情報システムの安全管理に必要な対策項目(下表参照)の概要を認識し、企画管理者やシステム
運用担当者に対して、それぞれの対策項目に係る具体的な方法について整理する旨を指示し、それぞれの対
策事項が対応できている旨を確認すること。
② 対応ができていない対策項目がある場合、その理由を確認し、対応の要否を判断の上、必要に応じて対応
を指示すること。
③ 医療情報システムの安全管理対策項目の特徴を認識し、企画管理者やシステム運用担当者に、必要に応
じて、対策項目に掲げられる措置をとるよう指示すること。
4.1 必要な対策項目の概要
➢ 医療情報システムが情報セキュリティ上安全な状態を維持するために、企画管理者やシステム運用担当者が実
施する具体的な技術的安全管理対策の項目を下表に示す。
➢ 安全管理対策は運用的対策と技術的対策の両面でなされて初めて有効なものとなる。技術的対策には複数の
選択肢があることが想定される。採用した技術的対策に相応した運用的な対策を実施すること。
表4-1 技術的な対策(参照:システム運用編 6.安全管理を実現するための技術的対策の体系)
クライアント側
・情報の持出し・管理・破棄等に関する安全管理措置
・利用機器・サービスに対する安全管理措置
サーバ側
・ソフトウェア・サービスに対する要求事項
・システム関連事業者による保守対応等に対する安全管理措置
・事業者選定と管理
・システム運用管理(通常時・非常時等)
インフラ
・物理的安全管理措置(サーバルーム等、バックアップ)
(ネットワーク、サーバルーム、媒体)
・ネットワークに関する安全管理措置
・インフラ運用管理(通常時・非常時等)
セキュリティ
・認証・認可に関する安全管理措置
・電子署名、タイムスタンプ
・証跡のレビュー、システム監査
・外部からの攻撃に対する安全管理措置
4.2 必要な措置
➢ 対策項目の分類として、予防的措置と発見的措置が挙げられる。予防的措置は、想定されたリスクが実際に生じ
ないようにするための措置であり、例えば許諾された者以外に患者の医療情報を閲覧できないようにするためのデ
ータに対するアクセスコントロールなどが挙げられる。発見的措置は、仮にインシデントが発生しても、速やかに検知
をすることで、被害拡大を最小限にコントロールするための措置である。例えば、医療情報へのアクセス状況につい
てログ監査を実施し、不審なアクセスがないかどうかを確認し、必要に応じて措置を講じることなどが挙げられる。
- 14 -
【遵守事項】
① 医療情報システムの安全管理に必要な対策項目(下表参照)の概要を認識し、企画管理者やシステム
運用担当者に対して、それぞれの対策項目に係る具体的な方法について整理する旨を指示し、それぞれの対
策事項が対応できている旨を確認すること。
② 対応ができていない対策項目がある場合、その理由を確認し、対応の要否を判断の上、必要に応じて対応
を指示すること。
③ 医療情報システムの安全管理対策項目の特徴を認識し、企画管理者やシステム運用担当者に、必要に応
じて、対策項目に掲げられる措置をとるよう指示すること。
4.1 必要な対策項目の概要
➢ 医療情報システムが情報セキュリティ上安全な状態を維持するために、企画管理者やシステム運用担当者が実
施する具体的な技術的安全管理対策の項目を下表に示す。
➢ 安全管理対策は運用的対策と技術的対策の両面でなされて初めて有効なものとなる。技術的対策には複数の
選択肢があることが想定される。採用した技術的対策に相応した運用的な対策を実施すること。
表4-1 技術的な対策(参照:システム運用編 6.安全管理を実現するための技術的対策の体系)
クライアント側
・情報の持出し・管理・破棄等に関する安全管理措置
・利用機器・サービスに対する安全管理措置
サーバ側
・ソフトウェア・サービスに対する要求事項
・システム関連事業者による保守対応等に対する安全管理措置
・事業者選定と管理
・システム運用管理(通常時・非常時等)
インフラ
・物理的安全管理措置(サーバルーム等、バックアップ)
(ネットワーク、サーバルーム、媒体)
・ネットワークに関する安全管理措置
・インフラ運用管理(通常時・非常時等)
セキュリティ
・認証・認可に関する安全管理措置
・電子署名、タイムスタンプ
・証跡のレビュー、システム監査
・外部からの攻撃に対する安全管理措置
4.2 必要な措置
➢ 対策項目の分類として、予防的措置と発見的措置が挙げられる。予防的措置は、想定されたリスクが実際に生じ
ないようにするための措置であり、例えば許諾された者以外に患者の医療情報を閲覧できないようにするためのデ
ータに対するアクセスコントロールなどが挙げられる。発見的措置は、仮にインシデントが発生しても、速やかに検知
をすることで、被害拡大を最小限にコントロールするための措置である。例えば、医療情報へのアクセス状況につい
てログ監査を実施し、不審なアクセスがないかどうかを確認し、必要に応じて措置を講じることなどが挙げられる。
- 14 -