よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (23 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
8.利用機器・サービスに対する安全管理措置
【遵守事項】
① システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、コンピュータウイ
ルス等のマルウェアが混入していないか確認すること。適切に管理されていないと考えられる記録媒体を利用する
際には、十分な安全確認を実施し、細心の注意を払って利用すること。
② 常時マルウェアの混入を防ぐ適切な措置を実施し、その対策の有効性・安全性の確認・維持を行うこと。
③ 医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を防止するために、マルウェア対
策ソフトのパターンファイルや OS のセキュリティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
④ メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるファイル等の送受信の禁止、実
行の停止又は無害化処理等を行うこと。なお、保守等でやむを得ずファイル送信等を行う場合、送信側で無
害化処理が行われていることを確認すること。
⑤ 情報機器に対するパスワードの設定に関しては、製品等の出荷時におけるパスワードから変更し、「14.認
証・認可に関する安全管理措置」に示すパスワードの要件を満たすこと。
⑥ IoT 機器を利用する場合、次に掲げる対策を実施すること。医療機器、及びそれらに付属するシステム・機器
についても同様である。
(1) IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器のサイバーセ
キュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程を定めること。
(2) IoT 機器のファームウェア等の脆弱性リスクに対応するため、システムやサービスの特徴を踏まえてセキュリテ
ィ上重要なアップデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
(3) 不正な接続を防ぐため、使用を終了、又は停止した IoT 機器をネットワークに接続したまま放置しないこ
と。
⑦ 企画管理者と協働して、医療情報システムで用いる情報機器等やソフトウェアの棚卸を行うための手順を策
定し、定期的に実施すること。棚卸の際には、情報機器等の滅失状況なども併せて確認すること。
⑧ BYOD の運用に関する規程に基づいて、具体的な手順と設定を行い、企画管理者に報告すること。
⑨ BYOD 端末であっても、医療機関等が管理する情報機器等と同等の対策が講じられるよう、手順を作成す
ること。
8.1 マルウェア対策
➢
コンピュータウイルス、ワーム等様々な形態・呼称を持つマルウェアは、電子メール、ネットワーク、可搬媒体等を通
して医療情報システム内に侵入する可能性がある。マルウェアが侵入すると、セキュリティ機構の破壊、システムダウ
ン、情報の漏えいや改ざん、破壊、資源の不正使用等、重大な問題が引き起こされる。
➢
対策としてはマルウェア対策ソフトウェアの導入が効果的である。このソフトウェアを医療情報システム内の端末、サ
ーバ、ネットワーク機器等に常駐させることにより、マルウェアの検出と除去が期待できる。
➢
システム運用担当者は、企画管理者と協働して、このようなマルウェア対策についての措置を講じるほか、これに必
要な規則等の策定を行うこと。
➢
マルウェアは常に変化しているため、検出するためのパターンファイル等を、可能な限り、常に最新のものに更新して
おくこと。システム運用担当者は、パターンファイルの更新による医療情報システムへの影響を調査しておくことも必
要である。
➢
また、マルウェア対策ソフトを導入したとしても、全てのマルウェアが検出できるわけではない。医療情報システム側の
脆弱性を可能な限り小さくしておくことや被害拡大の防止策を講じておくことが重要である。対策としてはセキュリテ
- 17 -
【遵守事項】
① システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、コンピュータウイ
ルス等のマルウェアが混入していないか確認すること。適切に管理されていないと考えられる記録媒体を利用する
際には、十分な安全確認を実施し、細心の注意を払って利用すること。
② 常時マルウェアの混入を防ぐ適切な措置を実施し、その対策の有効性・安全性の確認・維持を行うこと。
③ 医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を防止するために、マルウェア対
策ソフトのパターンファイルや OS のセキュリティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
④ メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるファイル等の送受信の禁止、実
行の停止又は無害化処理等を行うこと。なお、保守等でやむを得ずファイル送信等を行う場合、送信側で無
害化処理が行われていることを確認すること。
⑤ 情報機器に対するパスワードの設定に関しては、製品等の出荷時におけるパスワードから変更し、「14.認
証・認可に関する安全管理措置」に示すパスワードの要件を満たすこと。
⑥ IoT 機器を利用する場合、次に掲げる対策を実施すること。医療機器、及びそれらに付属するシステム・機器
についても同様である。
(1) IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器のサイバーセ
キュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程を定めること。
(2) IoT 機器のファームウェア等の脆弱性リスクに対応するため、システムやサービスの特徴を踏まえてセキュリテ
ィ上重要なアップデートを必要なタイミングで適切に実施する方法を検討し、運用すること。
(3) 不正な接続を防ぐため、使用を終了、又は停止した IoT 機器をネットワークに接続したまま放置しないこ
と。
⑦ 企画管理者と協働して、医療情報システムで用いる情報機器等やソフトウェアの棚卸を行うための手順を策
定し、定期的に実施すること。棚卸の際には、情報機器等の滅失状況なども併せて確認すること。
⑧ BYOD の運用に関する規程に基づいて、具体的な手順と設定を行い、企画管理者に報告すること。
⑨ BYOD 端末であっても、医療機関等が管理する情報機器等と同等の対策が講じられるよう、手順を作成す
ること。
8.1 マルウェア対策
➢
コンピュータウイルス、ワーム等様々な形態・呼称を持つマルウェアは、電子メール、ネットワーク、可搬媒体等を通
して医療情報システム内に侵入する可能性がある。マルウェアが侵入すると、セキュリティ機構の破壊、システムダウ
ン、情報の漏えいや改ざん、破壊、資源の不正使用等、重大な問題が引き起こされる。
➢
対策としてはマルウェア対策ソフトウェアの導入が効果的である。このソフトウェアを医療情報システム内の端末、サ
ーバ、ネットワーク機器等に常駐させることにより、マルウェアの検出と除去が期待できる。
➢
システム運用担当者は、企画管理者と協働して、このようなマルウェア対策についての措置を講じるほか、これに必
要な規則等の策定を行うこと。
➢
マルウェアは常に変化しているため、検出するためのパターンファイル等を、可能な限り、常に最新のものに更新して
おくこと。システム運用担当者は、パターンファイルの更新による医療情報システムへの影響を調査しておくことも必
要である。
➢
また、マルウェア対策ソフトを導入したとしても、全てのマルウェアが検出できるわけではない。医療情報システム側の
脆弱性を可能な限り小さくしておくことや被害拡大の防止策を講じておくことが重要である。対策としてはセキュリテ
- 17 -