よむ、つかう、まなぶ。
【参考資料2-4】令和8年度医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル案(見え消し) (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73213.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第32回 5/29)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
目次
Ⅰ
チェックリストの使い方 .................................................................................................................... 3
Ⅱ
各チェック項目の解説....................................................................................................................... 5
1
体制構築
【医療機関等確認用・事業者確認用】 .............................................................................. 5
医療情報システム安全管理責任者を設置している。 ....................................................................................... 5
2
医療情報システムの管理・運用
【医療機関等確認用・事業者確認用】 ................................................. 6
① ............................................................................................................................................................................................ サ
ーバ、端末 PC、ネットワーク機器の台帳管理を行っている。(医療情報システム全般) ........................................ 6
リモートメンテナンス(保守)を利用している機器の有無を事業者に確認した。
(医療情報シス
テム全般) ........................................................................................................................................... 7
事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう。(医療情報シ
ステム全般) ........................................................................................................................................ 7
利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
(医療情報システム全般) ................... 8
退職者や使用していないアカウント等、不要なアカウントを削除または無効化をしている。
(医療情報シ
ステム全般)
セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(医療情報システム全般) ................ 9
パスワードは英数字、記号が混在してさせた 8 文字以上とし、定期的に変更している。
(医療情報システム全般) ..... 10
パスワードの使い回しを禁止している。
(医療情報システム全般) ................................................................................... 11
USB ストレージ等の外部記録媒体や情報機器に対して接続を制限している(医療情報システム全般)..................... 11
二要素認証を実装している。または令和9年度までに実装予定である。
(医療情報システム全般) .......................... 12
アクセスログを管理している。(サーバ) .................................................................................................. 12
バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
(サーバ、端末 PC) ........................................................................................................................... 13
接続元制限を実施している。
(ネットワーク機器) ............................................................................................................ 13
3
インシデント発生に備えた対応
【医療機関等確認用】.................................................................... 14
① ............................................................................................................................................................................................ イ
ンシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)の連絡体制図がある。 ................ 14
インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を
確認している。 ................................................................................................................................... 15
サイバー攻撃を想定した事業継続計画(BCP)を策定している。 ................................................................ 15
4
規程類の整備
【医療機関等確認用】 ........................................................................................... 16
① ............................................................................................................................................................................................ 上
記1~3のすべての項目について、具体的な実施方法を運用管理規程に定めている。.......................................... 16
Ⅰ
チェックリストの使い方 .................................................................................................................... 5
Ⅱ
各チェック項目の解説 ....................................................................................................................... 7
1
体制構築
【医療機関等確認用・事業者確認用】 ........................................................................... 7
① 医療情報システム安全管理責任者を設置している。 .......................................................................... 7
2 医療情報システムの管理・運用
【医療機関等確認用・事業者確認用】 .............................................. 9
2
Ⅰ
チェックリストの使い方 .................................................................................................................... 3
Ⅱ
各チェック項目の解説....................................................................................................................... 5
1
体制構築
【医療機関等確認用・事業者確認用】 .............................................................................. 5
医療情報システム安全管理責任者を設置している。 ....................................................................................... 5
2
医療情報システムの管理・運用
【医療機関等確認用・事業者確認用】 ................................................. 6
① ............................................................................................................................................................................................ サ
ーバ、端末 PC、ネットワーク機器の台帳管理を行っている。(医療情報システム全般) ........................................ 6
リモートメンテナンス(保守)を利用している機器の有無を事業者に確認した。
(医療情報シス
テム全般) ........................................................................................................................................... 7
事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう。(医療情報シ
ステム全般) ........................................................................................................................................ 7
利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
(医療情報システム全般) ................... 8
退職者や使用していないアカウント等、不要なアカウントを削除または無効化をしている。
(医療情報シ
ステム全般)
セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している。
(医療情報システム全般) ................ 9
パスワードは英数字、記号が混在してさせた 8 文字以上とし、定期的に変更している。
(医療情報システム全般) ..... 10
パスワードの使い回しを禁止している。
(医療情報システム全般) ................................................................................... 11
USB ストレージ等の外部記録媒体や情報機器に対して接続を制限している(医療情報システム全般)..................... 11
二要素認証を実装している。または令和9年度までに実装予定である。
(医療情報システム全般) .......................... 12
アクセスログを管理している。(サーバ) .................................................................................................. 12
バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。
(サーバ、端末 PC) ........................................................................................................................... 13
接続元制限を実施している。
(ネットワーク機器) ............................................................................................................ 13
3
インシデント発生に備えた対応
【医療機関等確認用】.................................................................... 14
① ............................................................................................................................................................................................ イ
ンシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)の連絡体制図がある。 ................ 14
インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を
確認している。 ................................................................................................................................... 15
サイバー攻撃を想定した事業継続計画(BCP)を策定している。 ................................................................ 15
4
規程類の整備
【医療機関等確認用】 ........................................................................................... 16
① ............................................................................................................................................................................................ 上
記1~3のすべての項目について、具体的な実施方法を運用管理規程に定めている。.......................................... 16
Ⅰ
チェックリストの使い方 .................................................................................................................... 5
Ⅱ
各チェック項目の解説 ....................................................................................................................... 7
1
体制構築
【医療機関等確認用・事業者確認用】 ........................................................................... 7
① 医療情報システム安全管理責任者を設置している。 .......................................................................... 7
2 医療情報システムの管理・運用
【医療機関等確認用・事業者確認用】 .............................................. 9
2