よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


【資料3】電子カルテの普及について (19 ページ)

公開元URL https://www.mhlw.go.jp/stf/newpage_73755.html
出典情報 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第33回 6/26)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

医科診療所/中小病院向け電子カルテの認証制度のイメージ(検討のたたき台)
(4) 認証制度要綱
項目















非機能
要件

セキュリティ

主な要綱
2) 第三者機関によるペネトレーションテストの実施、発覚した脆弱性に対する対策
- 実施頻度:以下の条件を満たすこと

➢ 年1回以上の実施を原則とする。やむを得ない場合や、リスク評価の結果、テストの必要性が著しく低いと
判断される場合は、その理由が提示できること。その場合でもリリースしてから必ず1度は実施すること。
➢ 内部環境要因による実施判断を行っていること
次の内容に変更が発生した場合は、再テストを実施すること。
再テストは、原則として変更の影響が及ぶ範囲を対象とする。
ただし、影響範囲の特定が困難な場合は、システム全体を対象とした再診断を検討する。
<更新時に追加テストを求める基準>
■外部公開の追加・変更
外部公開のドメイン/URL の追加・変更
外部公開のAPIエンドポイント の追加・変更
外部公開のグローバルIP の追加・変更
■重要機能の追加・変更
認証・認可方式の変更
暗号化方式・鍵管理の変更
大きな機能追加・変更
■セキュリティの変更
WAF/IPS/CDN/API Gateway等の追加・設定変更
➢ 外部環境要因による実施判定を行っていること
外部で新たに重大な脆弱性が公表された場合(例:CISA KEV、JVN、クラウドサービス事業者からのセキュ
リティ通知等)には、当該システムへの影響有無を評価し、必要に応じて追加診断または対策を実施すること
- テスト内容:外部ペネトレーションテストを実施していること
- テスト結果を受けた対策:発覚した脆弱性に対する対策状況を提示
CVSSスコアで警告(Medium)以上は、原則対策すること
19