よむ、つかう、まなぶ。
【資料3】電子カルテの普及について (20 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73755.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第33回 6/26)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医科診療所/中小病院向け電子カルテの認証制度のイメージ(検討のたたき台)
(4) 認証制度要綱
項目
評
価
の
枠
組
み
(
標
準
仕
様
準
拠
)
非機能
要件
アーキテ
クチャ
※³
主な要綱
セキュリティ
3) 政府情報システムにおける脆弱性診断導入ガイドライン(2024(令和6)年1月31日)に準拠した脆弱性診断
の実施、発覚した脆弱性に対する対策
- 実施頻度:以下の条件を満たすこと
➢ 年1回以上の実施を原則とする。やむを得ない場合や、リスク評価の結果、テストの必要性が著しく低いと判
断される場合は、その理由が提示できること。その場合でも直近3年以内の実施を求める。加えて、継続的
(定期的または自動)な脆弱性スキャンを実施することを強く推奨する。
➢ 2)の内部環境要因と同等
➢ 2)の外部環境要因と同等
- テスト内容:政府情報システムにおける脆弱性診断導入ガイドラインのプラットフォーム診断、
Webアプリケーション診断の実施
- テスト結果を受けた対策:発覚した脆弱性に対する対策状況を提示
CVSSスコアで警告(Medium)以上は、原則対策すること
4) セキュリティパッチの適用ルール及び適用実績の提示
ガイドライン
準拠
以下の項目について評価する。
1) 医療情報システム安全管理ガイドラインへの準拠
2) 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版への準拠
3) 第1章別紙2 IPA「非機能要求グレード」に基づく非機能要件に係る遵守事項一覧への準拠
パブリック
クラウド
ガバメントクラウドで対象となっているパブリッククラウドを利用していること
SaaS型
以下の項目について評価する。
1) 利用者(医療機関及び医療従事者)とサービス提供者との責任範囲が明確に区分されていること。
2) 利用者の責任範囲は「データ」の管理に限定されるものとし、「アプリケーション」「OS」「インフラ(ハードウェア、
ネットワーク、施設等)」に係る管理・運用については、サービス提供者の責任範囲とすること。
マルチテナ
ント構成
以下の項目について評価する。
1) すべて医療機関に対して単一コードベース、単一バージョンにより提供されており、個別医療機関の要望に対応
するための個別改修を行なっていないこと
※³電子カルテがガバメントクラウドにおけるSaaS(公共SaaSをいう。)を利用している場合にあっては、アーキテクチャで掲げる要件の全てに適合しているものとみなすこと。
20
(4) 認証制度要綱
項目
評
価
の
枠
組
み
(
標
準
仕
様
準
拠
)
非機能
要件
アーキテ
クチャ
※³
主な要綱
セキュリティ
3) 政府情報システムにおける脆弱性診断導入ガイドライン(2024(令和6)年1月31日)に準拠した脆弱性診断
の実施、発覚した脆弱性に対する対策
- 実施頻度:以下の条件を満たすこと
➢ 年1回以上の実施を原則とする。やむを得ない場合や、リスク評価の結果、テストの必要性が著しく低いと判
断される場合は、その理由が提示できること。その場合でも直近3年以内の実施を求める。加えて、継続的
(定期的または自動)な脆弱性スキャンを実施することを強く推奨する。
➢ 2)の内部環境要因と同等
➢ 2)の外部環境要因と同等
- テスト内容:政府情報システムにおける脆弱性診断導入ガイドラインのプラットフォーム診断、
Webアプリケーション診断の実施
- テスト結果を受けた対策:発覚した脆弱性に対する対策状況を提示
CVSSスコアで警告(Medium)以上は、原則対策すること
4) セキュリティパッチの適用ルール及び適用実績の提示
ガイドライン
準拠
以下の項目について評価する。
1) 医療情報システム安全管理ガイドラインへの準拠
2) 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版への準拠
3) 第1章別紙2 IPA「非機能要求グレード」に基づく非機能要件に係る遵守事項一覧への準拠
パブリック
クラウド
ガバメントクラウドで対象となっているパブリッククラウドを利用していること
SaaS型
以下の項目について評価する。
1) 利用者(医療機関及び医療従事者)とサービス提供者との責任範囲が明確に区分されていること。
2) 利用者の責任範囲は「データ」の管理に限定されるものとし、「アプリケーション」「OS」「インフラ(ハードウェア、
ネットワーク、施設等)」に係る管理・運用については、サービス提供者の責任範囲とすること。
マルチテナ
ント構成
以下の項目について評価する。
1) すべて医療機関に対して単一コードベース、単一バージョンにより提供されており、個別医療機関の要望に対応
するための個別改修を行なっていないこと
※³電子カルテがガバメントクラウドにおけるSaaS(公共SaaSをいう。)を利用している場合にあっては、アーキテクチャで掲げる要件の全てに適合しているものとみなすこと。
20