よむ、つかう、まなぶ。
【参考資料1-2】医療情報システムの安全管理に関するガイドライン第7.0版 経営管理編(案) (20 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
れる)があり、情報の安全管理に関しては「JIS Q 27001 情報セキュリティマネジメントシステム」(ISMS 認証
制度と呼ばれる)などの規格の認証により、システム関連事業者における情報管理等の安全性を確認することが
できる。4
➢ 医療情報の取扱いに関する委託先事業者を選定する際には、これらの認証を取得しているシステム関連事業者
から選定すること。委託する内容に応じて、適宜、第三者認証などを活用して、システム関連事業者に対する信
頼性を確認した上で選定することが望ましい。
➢ システム運用編においては、物理的安全管理、技術的安全管理の観点から求められる対策が示されており、医
療機関等では、これらの対応を行うために、システムやサービスの選定を行うことになる。例えば二要素認証に対応
したシステムは、原則、令和 9 年度時点で対応したものを選定することとしている。経営層においても、これらの趣
旨を理解し、適切に事業者選定を行うことを指示することが求められる。
➢ パスワードの使い回しや推測が容易なパスワードの設定が、内部での不正利用やサイバー攻撃による被害の主要
な要因のひとつとなっている。これらのリスクを最小限とするため、パスワードに加えて別の要素を組み合わせる二要
素認証を可能な限り迅速に採用すること。
5.2 事業者管理
5.2.1 契約管理
➢ 外部委託先事業者との契約においては、委託業務の内容や責任分界、委託先事業者の体制、医療情報の取
扱いを明確にすることが重要である。委託先事業者の個人情報の取扱いに関する遵守義務や、委託業務に従
事する者に対する教育の実施状況などを確認、管理しておくことが必要である。
5.2.2 体制管理
➢ 医療情報の取扱いに関しては、外部委託先事業者による再委託先などの監督も重要である。再委託先における
安全管理が不十分な場合には、サプライチェーン攻撃等の被害が生じ得る。特に海外のシステム関連事業者を
再委託先とする場合には、個人情報保護法等が求める要件を具備しているか十分留意する必要がある。
➢ 委託先事業者が再委託等を行う場合、医療機関等は事前に事業者に情報提供を受けて協議を行い、その実
施可否を判断すること。
5.3 責任分界管理
➢ 委託先事業者との責任分界については、委託先事業者と委託する業務内容に応じて、具体的なセキュリティに
関する責任の範囲も明確にする必要がある。責任の範囲が明確でない場合には、医療機関等が講じるべき情報
セキュリティ対策のうち、一部が抜け落ちてしまうリスクがある。例えばサイバー攻撃などの非常時には、医療機関等
と委託先事業者で協働して原因の究明を進めることなどを取り決めておくことが考えられる。
➢ 委託先事業者が別事業者のクラウドサービスなどを用いる場合、責任関係が複雑になることが想定される。医療
機関等においては、ネットワークサービスのほか、各種クラウドサービスを利用することにより、医療情報システムに支
4
特に、プライバシーマーク認定を取得している事業者であることが望ましい。また ISMS 認証については、情報システム管理が適正になさ
れていることを認証するものであり、安全対策の有効性までを認証するものではないことに留意する必要がある。そのため、ISMS 認証の
みを取得している事業者については、事業者における具体的な管理方法の説明等、有効性を示す資料の提供を求めることが望まし
い。
- 17 -
制度と呼ばれる)などの規格の認証により、システム関連事業者における情報管理等の安全性を確認することが
できる。4
➢ 医療情報の取扱いに関する委託先事業者を選定する際には、これらの認証を取得しているシステム関連事業者
から選定すること。委託する内容に応じて、適宜、第三者認証などを活用して、システム関連事業者に対する信
頼性を確認した上で選定することが望ましい。
➢ システム運用編においては、物理的安全管理、技術的安全管理の観点から求められる対策が示されており、医
療機関等では、これらの対応を行うために、システムやサービスの選定を行うことになる。例えば二要素認証に対応
したシステムは、原則、令和 9 年度時点で対応したものを選定することとしている。経営層においても、これらの趣
旨を理解し、適切に事業者選定を行うことを指示することが求められる。
➢ パスワードの使い回しや推測が容易なパスワードの設定が、内部での不正利用やサイバー攻撃による被害の主要
な要因のひとつとなっている。これらのリスクを最小限とするため、パスワードに加えて別の要素を組み合わせる二要
素認証を可能な限り迅速に採用すること。
5.2 事業者管理
5.2.1 契約管理
➢ 外部委託先事業者との契約においては、委託業務の内容や責任分界、委託先事業者の体制、医療情報の取
扱いを明確にすることが重要である。委託先事業者の個人情報の取扱いに関する遵守義務や、委託業務に従
事する者に対する教育の実施状況などを確認、管理しておくことが必要である。
5.2.2 体制管理
➢ 医療情報の取扱いに関しては、外部委託先事業者による再委託先などの監督も重要である。再委託先における
安全管理が不十分な場合には、サプライチェーン攻撃等の被害が生じ得る。特に海外のシステム関連事業者を
再委託先とする場合には、個人情報保護法等が求める要件を具備しているか十分留意する必要がある。
➢ 委託先事業者が再委託等を行う場合、医療機関等は事前に事業者に情報提供を受けて協議を行い、その実
施可否を判断すること。
5.3 責任分界管理
➢ 委託先事業者との責任分界については、委託先事業者と委託する業務内容に応じて、具体的なセキュリティに
関する責任の範囲も明確にする必要がある。責任の範囲が明確でない場合には、医療機関等が講じるべき情報
セキュリティ対策のうち、一部が抜け落ちてしまうリスクがある。例えばサイバー攻撃などの非常時には、医療機関等
と委託先事業者で協働して原因の究明を進めることなどを取り決めておくことが考えられる。
➢ 委託先事業者が別事業者のクラウドサービスなどを用いる場合、責任関係が複雑になることが想定される。医療
機関等においては、ネットワークサービスのほか、各種クラウドサービスを利用することにより、医療情報システムに支
4
特に、プライバシーマーク認定を取得している事業者であることが望ましい。また ISMS 認証については、情報システム管理が適正になさ
れていることを認証するものであり、安全対策の有効性までを認証するものではないことに留意する必要がある。そのため、ISMS 認証の
みを取得している事業者については、事業者における具体的な管理方法の説明等、有効性を示す資料の提供を求めることが望まし
い。
- 17 -