よむ、つかう、まなぶ。
【参考資料1-3】医療情報システムの安全管理に関するガイドライン第7.0版 企画管理編(案) (47 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
12.サイバーセキュリティ
【遵守事項】
① サイバーセキュリティに関する組織的対策、職員や委託先事業者への対策を検討し、整理すること。技術的
な対応・措置については、担当者にリスク評価を踏まえた対策の検討を指示し、状況を確認すること。
② 整理したサイバーセキュリティ対策を踏まえ、サイバーセキュリティ対応計画を策定し、当該計画の内容につい
て経営層に報告し、承認を得ること。
③ サイバーセキュリティ対応計画を踏まえ、その内容を医療機関等で定める各規程や手順等に反映すること。
④ サイバーセキュリティ対応計画を踏まえ、各対策の実施状況を確認すること。技術的な対応・措置について
は、担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
⑤ サイバーセキュリティ対応計画を踏まえた訓練を定期的に実施し、その結果を経営層に報告し、承認を得るこ
と。また、訓練結果を踏まえ、対応計画の検証・見直しを実施し、必要に応じて対応計画等の改善を行うこ
と。
⑥ サイバーセキュリティインシデントが発生した際に、情報交換等を行う関係者の情報をあらかじめ整理し、必要
に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情報システム・サービスのシステム関連事
業者をはじめ、報告対象となる行政機関等、その他必要に応じて助言等の支援を求める外部有識者等が含
まれる。)
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏えいや医療
サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、「医療機関等に
おけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029 第1号・医
政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)に基づき、所管
官庁への連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医
療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
⑧ サイバーセキュリティインシデントが発生した際には、その状況について、定期的に経営層に報告すること。ま
た、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実施し、必要に応じて改善を行うこと。
⑨ サイバーセキュリティインシデントによる非常時としての対応が生じた場合には、「11.非常時(災害、サイ
バー攻撃、システム障害)対応と BCP 策定」に示す内容を実施すること。
12.1 サイバーセキュリティ対応計画の策定
➢
非常時の原因の一つであるサイバー攻撃は、攻撃者が悪意を以て行う犯罪行為であり、その方法も様々である。
情報システムの高度化に合わせて変化することや、システム利用者側の過失や知識の不足などを利用した攻撃も
存在することから、システム側のみの対応では防御が不十分となることもあり、対策を困難にしている。
➢
企画管理者は、具体的に、医療機関等や企業、行政機関等でどのような被害が生じているのか等を含めたサイ
バーセキュリティ事案の実情を把握することが重要である。
➢
その上で、組織的な対応と技術的な対応の両面から担当者と協議し、対策を整理する必要がある。
➢
攻撃を受ける前の通常時における対応、攻撃を受けた場合の非常時としての対応、被害からの復旧・復帰など
のフェーズの対応策をサイバーセキュリティ対応計画等の形で整理し、経営層の承認を得ること。
➢
対応計画の具体的な内容の検討に際しては、経済産業省及び独立行政法人情報処理推進機構において策
定している「サイバーセキュリティ経営ガイドライン」などが参考となる。
- 41 -
【遵守事項】
① サイバーセキュリティに関する組織的対策、職員や委託先事業者への対策を検討し、整理すること。技術的
な対応・措置については、担当者にリスク評価を踏まえた対策の検討を指示し、状況を確認すること。
② 整理したサイバーセキュリティ対策を踏まえ、サイバーセキュリティ対応計画を策定し、当該計画の内容につい
て経営層に報告し、承認を得ること。
③ サイバーセキュリティ対応計画を踏まえ、その内容を医療機関等で定める各規程や手順等に反映すること。
④ サイバーセキュリティ対応計画を踏まえ、各対策の実施状況を確認すること。技術的な対応・措置について
は、担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
⑤ サイバーセキュリティ対応計画を踏まえた訓練を定期的に実施し、その結果を経営層に報告し、承認を得るこ
と。また、訓練結果を踏まえ、対応計画の検証・見直しを実施し、必要に応じて対応計画等の改善を行うこ
と。
⑥ サイバーセキュリティインシデントが発生した際に、情報交換等を行う関係者の情報をあらかじめ整理し、必要
に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情報システム・サービスのシステム関連事
業者をはじめ、報告対象となる行政機関等、その他必要に応じて助言等の支援を求める外部有識者等が含
まれる。)
⑦ サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏えいや医療
サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、「医療機関等に
おけるサイバーセキュリティ対策の強化について」(平成 30 年 10 月 29 日付け医政総発 1029 第1号・医
政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政局関係課長連名通知)に基づき、所管
官庁への連絡等の必要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医
療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
⑧ サイバーセキュリティインシデントが発生した際には、その状況について、定期的に経営層に報告すること。ま
た、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実施し、必要に応じて改善を行うこと。
⑨ サイバーセキュリティインシデントによる非常時としての対応が生じた場合には、「11.非常時(災害、サイ
バー攻撃、システム障害)対応と BCP 策定」に示す内容を実施すること。
12.1 サイバーセキュリティ対応計画の策定
➢
非常時の原因の一つであるサイバー攻撃は、攻撃者が悪意を以て行う犯罪行為であり、その方法も様々である。
情報システムの高度化に合わせて変化することや、システム利用者側の過失や知識の不足などを利用した攻撃も
存在することから、システム側のみの対応では防御が不十分となることもあり、対策を困難にしている。
➢
企画管理者は、具体的に、医療機関等や企業、行政機関等でどのような被害が生じているのか等を含めたサイ
バーセキュリティ事案の実情を把握することが重要である。
➢
その上で、組織的な対応と技術的な対応の両面から担当者と協議し、対策を整理する必要がある。
➢
攻撃を受ける前の通常時における対応、攻撃を受けた場合の非常時としての対応、被害からの復旧・復帰など
のフェーズの対応策をサイバーセキュリティ対応計画等の形で整理し、経営層の承認を得ること。
➢
対応計画の具体的な内容の検討に際しては、経済産業省及び独立行政法人情報処理推進機構において策
定している「サイバーセキュリティ経営ガイドライン」などが参考となる。
- 41 -