よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (32 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
12.物理的安全管理措置
【遵守事項】
① 医療情報及び医療情報システムを保管する場所を選定する際には、リスク評価を踏まえ、企画管理者と協
働して検討、決定すること。検討に際しては、医療情報を格納する情報機器や記録媒体を物理的に保管す
るための施設が、災害(地震、水害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造を備
え、災害による障害(結露等)について対策が講じられている建築物に設置することなどを考慮すること。
② 医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置場所等のセキュリテ
ィ境界への入退管理が、個人認証システム等による制御に基づいて行われていることを確認すること。また建
物、部屋への不正な侵入を防ぐため、防犯カメラ、自動侵入監視装置等が設置されていることを確認するこ
と。
③ サーバルーム等の十分なセキュリティ確保が求められる領域においては、持ち込まれる物品の確認・制限を実
施すること。 個人情報の保管等、重要な用途に利用される情報機器には盗難防止策を講じること。
④ 医療情報及び医療情報システムのバックアップは、企画管理者が定める運用管理規程等に基づく措置を実
施し、非常時に利用できるよう、適切に管理すること。
⑤ 記録媒体、ネットワーク回線、設備の劣化による情報の読み取りが不能となる等のリスクを防止するため、記
録媒体が劣化する前に、新たな記録媒体への複写を実施する等、適切な保管措置を講じること。
⑥ 利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者による入
力・参照が生じないよう対策を実施すること。
12.1 サーバルーム等の物理的要件
➢
システム運用担当者は、医療情報及び医療情報システムを保管する場所(サーバルーム、マシンルーム等)を、
リスク分析の結果を踏まえて、企画管理者と協議の上、選定することが求められる。災害(地震、水害、落雷、
火災等並びにそれに伴う停電等)に耐えうる機能・構造であるよう考慮するほか、結露や高温による情報機器の
暴走するリスク等にも留意すること。
➢
サーバルーム等の医療情報システムが格納されているセキュリティ区域は、職員を含め、入退管理がなされており、
カメラによる監視などがなされていることも必要である。
➢
医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックなどは、施錠管理すること。
➢
サーバルーム等のセキュリティ境界へ持ち込む物品を確認・制限すること。例えば可搬型記録媒体の持ち込みは、
大量のデータ漏えいにつながるリスクがある。
12.2 バックアップの管理
➢
システム運用担当者は、企画管理者が運用管理規程等に定めたルールに基づいて、適切にバックアップを確保し、
非常時に利用可能な状態で管理することが求められる。運用管理規程では、バックアップ頻度、方法等を明らか
にし、原因に応じて、「11.1 通常時における運用対策」に示すバックアップ対応を行うこと。またサイバー攻
撃を想定したバックアップの確保については、「18.外部からの攻撃に対する安全管理措置」を参照すること。
➢
バックアップの外部保存を委託している場合は、委託先事業者に対して、バックアップの対象、頻度、復旧できる
世代、バックアップ方法、保存場所等を確認し、SLA 等において明らかにすること。
➢
バックアップを含む記録媒体について、媒体そのものや設備等の劣化によって情報の読み取りが不能となることを防
止するための措置を講じること。保管環境に留意するほか(高温多湿を避ける、直射日光等を避ける等)、記
録媒体が劣化する前に、保管されている情報を新たな記録媒体に複写する等の措置を講じること。また記録媒
- 26 -
【遵守事項】
① 医療情報及び医療情報システムを保管する場所を選定する際には、リスク評価を踏まえ、企画管理者と協
働して検討、決定すること。検討に際しては、医療情報を格納する情報機器や記録媒体を物理的に保管す
るための施設が、災害(地震、水害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造を備
え、災害による障害(結露等)について対策が講じられている建築物に設置することなどを考慮すること。
② 医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置場所等のセキュリテ
ィ境界への入退管理が、個人認証システム等による制御に基づいて行われていることを確認すること。また建
物、部屋への不正な侵入を防ぐため、防犯カメラ、自動侵入監視装置等が設置されていることを確認するこ
と。
③ サーバルーム等の十分なセキュリティ確保が求められる領域においては、持ち込まれる物品の確認・制限を実
施すること。 個人情報の保管等、重要な用途に利用される情報機器には盗難防止策を講じること。
④ 医療情報及び医療情報システムのバックアップは、企画管理者が定める運用管理規程等に基づく措置を実
施し、非常時に利用できるよう、適切に管理すること。
⑤ 記録媒体、ネットワーク回線、設備の劣化による情報の読み取りが不能となる等のリスクを防止するため、記
録媒体が劣化する前に、新たな記録媒体への複写を実施する等、適切な保管措置を講じること。
⑥ 利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者以外の者による入
力・参照が生じないよう対策を実施すること。
12.1 サーバルーム等の物理的要件
➢
システム運用担当者は、医療情報及び医療情報システムを保管する場所(サーバルーム、マシンルーム等)を、
リスク分析の結果を踏まえて、企画管理者と協議の上、選定することが求められる。災害(地震、水害、落雷、
火災等並びにそれに伴う停電等)に耐えうる機能・構造であるよう考慮するほか、結露や高温による情報機器の
暴走するリスク等にも留意すること。
➢
サーバルーム等の医療情報システムが格納されているセキュリティ区域は、職員を含め、入退管理がなされており、
カメラによる監視などがなされていることも必要である。
➢
医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックなどは、施錠管理すること。
➢
サーバルーム等のセキュリティ境界へ持ち込む物品を確認・制限すること。例えば可搬型記録媒体の持ち込みは、
大量のデータ漏えいにつながるリスクがある。
12.2 バックアップの管理
➢
システム運用担当者は、企画管理者が運用管理規程等に定めたルールに基づいて、適切にバックアップを確保し、
非常時に利用可能な状態で管理することが求められる。運用管理規程では、バックアップ頻度、方法等を明らか
にし、原因に応じて、「11.1 通常時における運用対策」に示すバックアップ対応を行うこと。またサイバー攻
撃を想定したバックアップの確保については、「18.外部からの攻撃に対する安全管理措置」を参照すること。
➢
バックアップの外部保存を委託している場合は、委託先事業者に対して、バックアップの対象、頻度、復旧できる
世代、バックアップ方法、保存場所等を確認し、SLA 等において明らかにすること。
➢
バックアップを含む記録媒体について、媒体そのものや設備等の劣化によって情報の読み取りが不能となることを防
止するための措置を講じること。保管環境に留意するほか(高温多湿を避ける、直射日光等を避ける等)、記
録媒体が劣化する前に、保管されている情報を新たな記録媒体に複写する等の措置を講じること。また記録媒
- 26 -