よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第7.0版 システム運用編(案) (50 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
18.外部からの攻撃に対する安全管理措置
【遵守事項】
① 医療情報システムに対するマルウェアの混入やサイバー攻撃などによるインシデントに対して、以下の対応を行
うこと。
- 攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止のための外部ネットワークの一時
切断
- 他の情報機器への混入拡大の防止や情報漏えいの抑止のための当該混入機器の隔離
- 他の情報機器への波及の調査等、被害の確認のための業務システムの停止
- バックアップからの重要なファイルの復元(数世代バックアップを複数の方式で確保すること)。
18.1 サイバーセキュリティ対応
➢
システム運用担当者は、サイバーセキュリティ対応の必要が生じた際に、技術的な対応を行う。またサイバー攻撃
等に備え、関係先への連絡手段や紙での運用等の代替手段を準備しておく必要がある。
➢
PC や VPN 機器等の脆弱性対策については、「8.2 情報機器等の脆弱性への対策」を参照するほか、
NCO から示されている最新の「政府機関等のサイバーセキュリティ対策のための統一基準群」(令和7年7月
1日サイバーセキュリティ戦略本部決定)14、令和 3 年 4 月 30 日の「ランサムウェアによるサイバー攻撃に関す
る注意喚起について」も参照すること。
➢
JPCERT/CC と IPA が提供する MyJVN を利用することで、登録した情報資産に関する Japan Vulnerability
Notes のアラートが配信され脆弱性情報の検知が可能となる製品もある。資産管理台帳と組み合わせて有効
活用するとよい。
十分な情報収集やシステム担当者自身による VPN 機器等のアップデートが困難と想定される場合には、クラウド
型 VPN の採用や、自動アップデートに対応した製品を選定、活用することが望ましい。
➢
非常時に備えたバックアップの実施と管理については、「11.システム運用管理(通常時・非常時等)」、「1
2.2 バックアップの管理」も参照すること。
➢
なお、医療情報システムは一般に複雑で、医療機関の規模等によって運用やバックアップの方法も様々である。
一様に指針を示すことは困難であるが、医療機関においては、重大な障害により医療提供体制に支障が生じた
場合であっても、診療の継続や早期復旧が求められる。全ての情報をバックアップから復元するのではなく、診療の
ために直ちに必要な情報をあらかじめ十分に検討し、確実に運用できるバックアップを確保しておくこと。
➢
特に、一定規模以上の病院や、地域で重要な機能を果たしている医療機関等においては、バックアップデータまで
ランサムウェア等の被害が拡大することのないよう、バックアップデータの記録媒体を端末及びサーバ装置やネットワ
ークから切り離して保管することが強く求められる。また、世代管理を行うことも重要である。日次でバックアップを行
う場合、数世代(少なくとも 3 世代)を保持し、少なくとも 3 世代目以降の古い世代はネットワーク的あるいは
論理的に書き込み不可の状態にする等の対策が必要となる。
➢
また、複数の方式でバックアップを確保することにより、単一の障害で全てのバックアップが利用不能となるリスクを低
減できる。例えば下記から 2 つ以上を選択することが想定される。
➢
14
・外部ストレージ/内蔵ストレージ(HDD:Hard Disk Drive、SSD:Solid State Drive 等)
統一基準群は https://www.cyber.go.jp/policy/group/general/kijun.html を参照。統一基準群を構成する文書は、適
宜改訂されることがあるため、最新のものを参照すること。
- 44 -
【遵守事項】
① 医療情報システムに対するマルウェアの混入やサイバー攻撃などによるインシデントに対して、以下の対応を行
うこと。
- 攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止のための外部ネットワークの一時
切断
- 他の情報機器への混入拡大の防止や情報漏えいの抑止のための当該混入機器の隔離
- 他の情報機器への波及の調査等、被害の確認のための業務システムの停止
- バックアップからの重要なファイルの復元(数世代バックアップを複数の方式で確保すること)。
18.1 サイバーセキュリティ対応
➢
システム運用担当者は、サイバーセキュリティ対応の必要が生じた際に、技術的な対応を行う。またサイバー攻撃
等に備え、関係先への連絡手段や紙での運用等の代替手段を準備しておく必要がある。
➢
PC や VPN 機器等の脆弱性対策については、「8.2 情報機器等の脆弱性への対策」を参照するほか、
NCO から示されている最新の「政府機関等のサイバーセキュリティ対策のための統一基準群」(令和7年7月
1日サイバーセキュリティ戦略本部決定)14、令和 3 年 4 月 30 日の「ランサムウェアによるサイバー攻撃に関す
る注意喚起について」も参照すること。
➢
JPCERT/CC と IPA が提供する MyJVN を利用することで、登録した情報資産に関する Japan Vulnerability
Notes のアラートが配信され脆弱性情報の検知が可能となる製品もある。資産管理台帳と組み合わせて有効
活用するとよい。
十分な情報収集やシステム担当者自身による VPN 機器等のアップデートが困難と想定される場合には、クラウド
型 VPN の採用や、自動アップデートに対応した製品を選定、活用することが望ましい。
➢
非常時に備えたバックアップの実施と管理については、「11.システム運用管理(通常時・非常時等)」、「1
2.2 バックアップの管理」も参照すること。
➢
なお、医療情報システムは一般に複雑で、医療機関の規模等によって運用やバックアップの方法も様々である。
一様に指針を示すことは困難であるが、医療機関においては、重大な障害により医療提供体制に支障が生じた
場合であっても、診療の継続や早期復旧が求められる。全ての情報をバックアップから復元するのではなく、診療の
ために直ちに必要な情報をあらかじめ十分に検討し、確実に運用できるバックアップを確保しておくこと。
➢
特に、一定規模以上の病院や、地域で重要な機能を果たしている医療機関等においては、バックアップデータまで
ランサムウェア等の被害が拡大することのないよう、バックアップデータの記録媒体を端末及びサーバ装置やネットワ
ークから切り離して保管することが強く求められる。また、世代管理を行うことも重要である。日次でバックアップを行
う場合、数世代(少なくとも 3 世代)を保持し、少なくとも 3 世代目以降の古い世代はネットワーク的あるいは
論理的に書き込み不可の状態にする等の対策が必要となる。
➢
また、複数の方式でバックアップを確保することにより、単一の障害で全てのバックアップが利用不能となるリスクを低
減できる。例えば下記から 2 つ以上を選択することが想定される。
➢
14
・外部ストレージ/内蔵ストレージ(HDD:Hard Disk Drive、SSD:Solid State Drive 等)
統一基準群は https://www.cyber.go.jp/policy/group/general/kijun.html を参照。統一基準群を構成する文書は、適
宜改訂されることがあるため、最新のものを参照すること。
- 44 -