よむ、つかう、まなぶ。
【参考資料1-5】医療情報システムの安全管理に関するガイドライン第7.0版 保守委託機関編(案) (19 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
を行い、使用終了時には接続解除をすること。
⑦ 利用者の ID の台帳管理、棚卸し、削除手順を作成すること。
⑧ パフォーマンス管理、死活監視については、事業者に対する委託契約に含まれる SLA にお
いて明確にすること。
⑨ 医療情報システムを導入する際には、事業者に MDS/SDS の提出を求め、本編別紙に
示す部分について、「はい」又は「対象外」であることを確認すること。
⑩ 汎用的な医療情報システムについて、委託等を行わずに導入したシステム・サービス等
(PC 等の端末やネットワーク機器を除く)を利用する場合は、システム運用編における遵
守事項への対応を行うこと。
◼
技術的な安全管理対策の多くはシステム運用編に示されている。専任のシステム担当者を要さな
い機関ではこれを詳細に理解し、適切な事項を選出して対策することは困難であると想定される。
◼
クラウドサービスの利用や保守の委託を行うことを想定し、「システム運用編」において対応が求めら
れる項目に対して、事業者が対応していることを確認、管理することで実施しているものとみなす。
◼
具体的には、事業者から提出される MDS/SDS や約款等と、本編末尾の【別紙】と照らし合わせ
ることで、適切な安全管理が実施されることを確保すること。
◼
但し、医療機関等内部での医療情報の利用については医療機関等自らが管理する必要がある。
例えばサーバルーム等のセキュリティ境界への入退室管理や、媒体や機器の保管ルール、利用端
末の画面ロックアウト設定、などが挙げられる。
◼
医療機関等が導入しているネットワークや機器、システム(アプリケーションのほか、これに接続して
いる検査機器のシステム等)、クラウドサービスなどの整理が必要となる。職員のみで作成すること
が困難な場合には、各事業者への照会や協力を得るなどして作成すること。「利用者の ID の台帳
管理、棚卸し、削除手順」の作成についても、医療機関等が自ら実施することが想定されるが、内
容等について不明点があれば、事業者へ照会、委託するなどして、対応すること。
◼
医療機関等が用いる端末、ネットワーク機器については、不定期にセキュリティパッチや、マルウェア
対策ソフトのパターンファイルなどが公表され、その内容に従って更新することが求められる。上記のセ
キュリティ対応について事業者に委託していない場合(特に PC 等の医療機関等が自ら購入したも
の)には、医療機関等が自ら対応する必要がある。事業者に委託している場合には、委託する内
容や範囲を明確にし、対応の漏れがないようにすること。実際には、端末は OS の自動アップデート
を適用することや、可能な限りセキュリティアップデートを保守契約に含めて事業者の責任範囲とす
ることが考えられる。ネットワーク機器についてはリスク低減のため、クラウド型 VPN、自動アップデート
を採用することが望ましい。
◼
医療機関等で IoT 機器を利用する際には、外部接続点が追加されることも想定されるため、十分
なリスク分析が必要となる。この際もアップデートを可能な限り事業者に委託することや、自動アップ
デート等を採用することが望ましい。また、断続的に利用するシステムが外部と常時接続されている
状態となることでサイバー攻撃リスクが高まり、実際に攻撃を受ける事例も発生している。外部との
接続は必要時のみに限定すること。
-17-
⑦ 利用者の ID の台帳管理、棚卸し、削除手順を作成すること。
⑧ パフォーマンス管理、死活監視については、事業者に対する委託契約に含まれる SLA にお
いて明確にすること。
⑨ 医療情報システムを導入する際には、事業者に MDS/SDS の提出を求め、本編別紙に
示す部分について、「はい」又は「対象外」であることを確認すること。
⑩ 汎用的な医療情報システムについて、委託等を行わずに導入したシステム・サービス等
(PC 等の端末やネットワーク機器を除く)を利用する場合は、システム運用編における遵
守事項への対応を行うこと。
◼
技術的な安全管理対策の多くはシステム運用編に示されている。専任のシステム担当者を要さな
い機関ではこれを詳細に理解し、適切な事項を選出して対策することは困難であると想定される。
◼
クラウドサービスの利用や保守の委託を行うことを想定し、「システム運用編」において対応が求めら
れる項目に対して、事業者が対応していることを確認、管理することで実施しているものとみなす。
◼
具体的には、事業者から提出される MDS/SDS や約款等と、本編末尾の【別紙】と照らし合わせ
ることで、適切な安全管理が実施されることを確保すること。
◼
但し、医療機関等内部での医療情報の利用については医療機関等自らが管理する必要がある。
例えばサーバルーム等のセキュリティ境界への入退室管理や、媒体や機器の保管ルール、利用端
末の画面ロックアウト設定、などが挙げられる。
◼
医療機関等が導入しているネットワークや機器、システム(アプリケーションのほか、これに接続して
いる検査機器のシステム等)、クラウドサービスなどの整理が必要となる。職員のみで作成すること
が困難な場合には、各事業者への照会や協力を得るなどして作成すること。「利用者の ID の台帳
管理、棚卸し、削除手順」の作成についても、医療機関等が自ら実施することが想定されるが、内
容等について不明点があれば、事業者へ照会、委託するなどして、対応すること。
◼
医療機関等が用いる端末、ネットワーク機器については、不定期にセキュリティパッチや、マルウェア
対策ソフトのパターンファイルなどが公表され、その内容に従って更新することが求められる。上記のセ
キュリティ対応について事業者に委託していない場合(特に PC 等の医療機関等が自ら購入したも
の)には、医療機関等が自ら対応する必要がある。事業者に委託している場合には、委託する内
容や範囲を明確にし、対応の漏れがないようにすること。実際には、端末は OS の自動アップデート
を適用することや、可能な限りセキュリティアップデートを保守契約に含めて事業者の責任範囲とす
ることが考えられる。ネットワーク機器についてはリスク低減のため、クラウド型 VPN、自動アップデート
を採用することが望ましい。
◼
医療機関等で IoT 機器を利用する際には、外部接続点が追加されることも想定されるため、十分
なリスク分析が必要となる。この際もアップデートを可能な限り事業者に委託することや、自動アップ
デート等を採用することが望ましい。また、断続的に利用するシステムが外部と常時接続されている
状態となることでサイバー攻撃リスクが高まり、実際に攻撃を受ける事例も発生している。外部との
接続は必要時のみに限定すること。
-17-