よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


医療機関・薬局におけるサイバーセキュリティ対策チェックリストマニュアル~医療機関・薬局・事業者向(令和8年6月) (13 ページ)

公開元URL https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
出典情報 医療情報システムの安全管理に関するガイドライン 第7.0版(6/29)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

⑫ OS ログイン時の二要素認証を実装している。
又は令和9年度以降の初回システム更改時に実装予定である。(サーバ)
ガイドラインでは令和 3 年 1 月に発出された 5.1 版以降すべての版において、令和 9
年度時点で稼働していることが想定される医療情報システムを、新規導入又は更新する
に際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこ

▶シ ス テ ム 運 用 編
14.⑤
14.1.1

とを求めています。二要素認証の導入・改修に当たっては、一定程度の費用が見込まれ
ますので計画的なシステム更新を推奨します。
サーバにおいては、医療情報システムにおけるサーバの OS にログインする際の認証
技術実証を指します。
なお、セキュリティ・デバイスの破損等を想定し、緊急時の代替手段によるバイパス
等、一時的なアクセスルールを用意することが重要です。また、バイパス利用時にはシ
ステム及び利用者を適切に管理できる体制を整えておくことが求められます。
●二要素認証の採用例(記憶・生体情報・物理媒体の2種類を組み合わせたもの)
①パスワード+指紋認証 ②IC カード+パスワード ③IC カード+指紋認証
●サーバ二要素認証の「みなし措置」
クライアント端末のアプリケーションログイン時の二要素認証の実装は普及しつつありますが、サーバ OS ログイン時の二要素認証
については、導入のために大規模な院内のネットワークやシステムの再構築が必要となる場合があります。このため、サーバ OS につい
ては以下①②いずれか、又はそれと同等以上の措置(※)が施されていれば、二要素認証を実装できているものとみなすことができま
す。
※同等以上の措置とは、例えば医療法に基づく立入検査の際に同等性を検査職員に対して説明できることなどが想定される。




以下 2 つを満たすもの
・医療情報システムのサーバ群(以下、サーバ群と呼ぶ)へのアクセスを別ドメインに設置された踏み台端末からの RDP
や SSH 等による接続のみに限定する。
・踏み台端末の OS ログイン時に二要素認証を実装する。
以下3つを満たすもの
・サーバ群へのアクセスを、別ドメインに設置された踏み台端末からの RDP、SSH 等による接続に限定する。
・踏み台端末には EDR 機能を具備し、運用上想定されない振る舞いを検知可能とする。
(必ずしも EDR 製品を要せず、例えば Windows 標準機能等によって振る舞い検知が可能であればよい。)
・医療機関等の外部からの接続は VPN を経由し、踏み台端末への RDP、SSH 等による接続に限定する。

上記措置を講じる際には、以下 3 つが適用されていることが前提となります。これらが満たされない場合、十分な措置とは見なさ
れません。
・外部から踏み台端末にログインするユーザに管理者権限を与えない
・十分な OS のセキュリティアップデート
・医療情報システムサーバ群と踏み台端末で共通のパスワードを利用しない

13

▶システム運用編
14.1.1