よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第7.0版 企画管理編(案) (41 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
9.2 サプライチェーン管理
➢
サプライチェーンとは、一般的には原材料の調達から製造・物流・販売まで、製品やサービスが顧客に届くまでの一
連のつながり(企業群)を指す。この連鎖のどこかでトラブルが起きると、自社への供給が止まる可能性があり、こ
れをサプライチェーンリスクと呼ぶ。近年は自然災害などの物理的リスクだけでなく、取引先や委託先の IT の弱点
を突く「サイバー起因のサプライチェーンリスク」が特に問題視されている。
➢
サプライチェーンリスクでは、不正機能等の埋め込み、サービスの供給途絶、外部サービスにおける情報の不適切
な取扱い、海外拠点、グループ組織、取引先等を経由したサイバー攻撃などが挙げられる。
➢
近年のサプライチェーンにおけるサイバー攻撃では、最終的な攻撃目標を生産している、セキュリティが堅牢な組織
を狙うのではなく、そのサプライチェーン(供給の連鎖)工程上の、セキュリティレベルの低い組織(企業、委託先
等)を狙って攻撃を仕掛け、最終的な攻撃目標に、マルウェアなどを仕込む手法がみられる。
➢
またサイバー攻撃以外でも、複数の事業者が提供するシステム・サービスを組み合わせて利用する際に、一部の
事業者のシステム・サービスの提供終了や機能向上を図らないことによるリスクなども指摘されている。
➢
このような脅威に対するリスクを低減するため、医療情報システムに係る委託先や機器に関するサプライチェーン関
係を整理し、リスクアセスメントや対策の整備を行うことが重要である。
9.3 情報機器等の安全性の確認
➢
管理している情報機器等を医療情報システムとして利用するためには、情報機器等の安全性が確認されている
必要がある。特にサイバー攻撃等への対応という観点からは、必要なファームウェアの更新や脆弱性対策の実施、
EOS(End of Support:サポート終了)の対象となっていないことなどを確認すること。
➢
EOS を越えている場合、製造販売事業者等と連携し、補完的対策を講じること。
➢
情報機器等の安全性の確認を行うためには、安全性に関する情報を的確に把握することが求められる。企画管
理者は、担当者に安全に関する情報の収集(利用している情報機器等やシステム、プログラム等)と、それを踏
まえた対応を指示し、その対応状況を確認すること。
➢
安全性確認の対象は、情報機器だけではなく、利用するサービスも含まれる。サービスの場合、当該サービス提供
事業者との委託契約等に、安全性の状況を定期的に確認する旨を含めることなどが想定される。
➢
クラウドサービスなどの場合は、サービス内容によっては、利用可能な情報システムの容量に上限があることが想定
される。十分な容量を確保できないなどといった、可用性に関するリスクを低減するよう、システム関連事業者に対
して、必要な事項を適宜確認すること。
9.4 情報機器等の資産管理状況の報告
➢
情報機器の管理状況については、企画管理者が把握した上で、経営層に報告し、承認を得る必要がある。管
理状況を把握する際は、担当者と協議の上、資料を整理すること。
➢
この際、情報機器やソフトウェアのアップデートの履行状況や、EOS の対象となった情報機器やソフトウェアの状
況、委託契約の範囲(アップデート等に関する責任分界含む)を含めること。
- 35 -
➢
サプライチェーンとは、一般的には原材料の調達から製造・物流・販売まで、製品やサービスが顧客に届くまでの一
連のつながり(企業群)を指す。この連鎖のどこかでトラブルが起きると、自社への供給が止まる可能性があり、こ
れをサプライチェーンリスクと呼ぶ。近年は自然災害などの物理的リスクだけでなく、取引先や委託先の IT の弱点
を突く「サイバー起因のサプライチェーンリスク」が特に問題視されている。
➢
サプライチェーンリスクでは、不正機能等の埋め込み、サービスの供給途絶、外部サービスにおける情報の不適切
な取扱い、海外拠点、グループ組織、取引先等を経由したサイバー攻撃などが挙げられる。
➢
近年のサプライチェーンにおけるサイバー攻撃では、最終的な攻撃目標を生産している、セキュリティが堅牢な組織
を狙うのではなく、そのサプライチェーン(供給の連鎖)工程上の、セキュリティレベルの低い組織(企業、委託先
等)を狙って攻撃を仕掛け、最終的な攻撃目標に、マルウェアなどを仕込む手法がみられる。
➢
またサイバー攻撃以外でも、複数の事業者が提供するシステム・サービスを組み合わせて利用する際に、一部の
事業者のシステム・サービスの提供終了や機能向上を図らないことによるリスクなども指摘されている。
➢
このような脅威に対するリスクを低減するため、医療情報システムに係る委託先や機器に関するサプライチェーン関
係を整理し、リスクアセスメントや対策の整備を行うことが重要である。
9.3 情報機器等の安全性の確認
➢
管理している情報機器等を医療情報システムとして利用するためには、情報機器等の安全性が確認されている
必要がある。特にサイバー攻撃等への対応という観点からは、必要なファームウェアの更新や脆弱性対策の実施、
EOS(End of Support:サポート終了)の対象となっていないことなどを確認すること。
➢
EOS を越えている場合、製造販売事業者等と連携し、補完的対策を講じること。
➢
情報機器等の安全性の確認を行うためには、安全性に関する情報を的確に把握することが求められる。企画管
理者は、担当者に安全に関する情報の収集(利用している情報機器等やシステム、プログラム等)と、それを踏
まえた対応を指示し、その対応状況を確認すること。
➢
安全性確認の対象は、情報機器だけではなく、利用するサービスも含まれる。サービスの場合、当該サービス提供
事業者との委託契約等に、安全性の状況を定期的に確認する旨を含めることなどが想定される。
➢
クラウドサービスなどの場合は、サービス内容によっては、利用可能な情報システムの容量に上限があることが想定
される。十分な容量を確保できないなどといった、可用性に関するリスクを低減するよう、システム関連事業者に対
して、必要な事項を適宜確認すること。
9.4 情報機器等の資産管理状況の報告
➢
情報機器の管理状況については、企画管理者が把握した上で、経営層に報告し、承認を得る必要がある。管
理状況を把握する際は、担当者と協議の上、資料を整理すること。
➢
この際、情報機器やソフトウェアのアップデートの履行状況や、EOS の対象となった情報機器やソフトウェアの状
況、委託契約の範囲(アップデート等に関する責任分界含む)を含めること。
- 35 -