④⑦ ⑦ パスワードは英数字の、記号が混在した８文字以上とし、定期的に変更している。
※二要素認証、またはを採用するまでの期間は 13 桁文字以上としているの場合は定期的な変更は
不要 （医療情報システム全般）
単純なパスワードを利用していることで、サイバー攻撃を受ける被害が相次いでいま
す。情報機器に対して起動時のパスワード等を設定すること、設定に当たっては出荷時
におけるパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、
情報機器の利用方法等に応じて必要があれば定期的なパスワードの変更等の対策を実施
することが求められます（※）。
端末 PC のログインパスワードのみならず、サーバやネットワーク機器のパスワードが
推定しやすいものであると、サイバー攻撃の起点となります。サーバ、ネットワーク機
器のパスワードを事業者が管理している場合、医療機関等は事業者確認用チェックリス
トを用いて、事業者の設定、運用しているパスワードがガイドラインの要件を満たすも
のであるかを確認する必要がありますしてください。
この際、事業者側は各医療機関等のパスワードのリストについて、漏洩リスクを最小
限とする様、厳重に管理する必要があります。
医療機関等の端末 PC においても、ユーザ向けログインパスワードをモニターに付箋で
貼る等の管理は絶対に避けなければなりません。
なお、利用するパスワードが 13 文字以上のランダムな設定がなされており、パスワード
管理の安全性などが担保されているシステムを用いている場合には、パスワードの定期
的変更は必ずしも求められません。また、二要素以上の認証の場合、ID/パスワードのみ
の認証よりも安全性が高いことから、８文字以上の推定困難な文字列であれば定期的な
変更は求めないこととしています。定期的な更新が難しい場合はこのような設定をご参
考ください。
※●強固なパスワードの例
･英数字、記号を混在させた 13 桁文字以上の推定困難な文字列
･英数字、記号を混在させた８文字以上の推定困難な文字列を定期的に変更させる
･二要素以上の認証の場合、英数字、記号を混在させた８文字以上の推定困難な文字
列
･複数の機器や外部サービス等で、同一のパスワードを設定しない

15

▶システム運用編
8.⑤⑤