【参考資料2】電子カルテ情報共有サービスの導入に関するシステムベンダ向け技術解説書v2.1.0(案) (200 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_73755.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第33回 6/26)《厚生労働省》 |
ページ画像
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
本サービスでは、
「医療情報システムの安全管理に関するガイドライン 6.0 版」に準拠したセキュ
リティ対策を実施しています。一方、医療機関等においても、同ガイドラインに準拠したセキュリテ
ィ対策を実施していただく必要があります。そのうえで、本サービスの利用に際して取り組むべき追
加的なセキュリティ対策については、「別紙 セキュリティアセスメントに基づいたセキュリティ対
策例」に整理していますので、内容をご確認のうえ、必要な対応を実施してください。
表 51.本サービスにおける主なセキュリティ対策
主なセキュリティ対策
アクセス、利用制限
概要
・
情報資産へのアクセスを許可された者のみに限定するため、利用する主体
(職員、システム運用要員、医療機関等)を識別するための認証を行う。
・
管理者に対するアクセス制御を検討し、内部の要員によるデータ漏えいを防
止する仕組みを実現する。
セキュリティリスク分析、
・
設計、開発するソフトウェアの緊急性の高いセキュリティパッチなどの適用
セキュリティ診断、
を適宜正確かつ迅速に行う。脆弱性が生じないよう留意して設計、開発し、
セキュリティリスク管理
定期的な検査を通じた確認により修正を適用できるようにする。
マルウェア対策
・
アンチウイルスソフトウェア等の導入によりマルウェアへの対策を講ずる
ための機能を備える。
・
外部ネットワークからのマルウェアの侵入や、万が一、マルウェアに侵入さ
れた場合の外部ネットワークへの不正な通信等を監視し、侵入の検知、防止
及び当該マルウェアによる通信の遮断等を行う。
データの秘匿
・
情報の窃取や漏えいを防止するため、保護すべき情報に対してアクセス制御
を行うことに加えて、保存された情報及び情報にアクセスするための通信回
線を暗号化する機能を備える。
不正アクセス、
・
内部不正対策
ネットワーク機器及びサーバー機器への不正アクセス等による被害を極小
化するため、全てのサーバー、ネットワーク機器を対象に、ネットワーク及
びサーバー機器への不正アクセスの防止や万が一侵入された場合の検知、通
知を行う。
・
正当な権限を持つ内部職員による内部不正や、外部攻撃によるセキュリティ
インシデントの放置を防止するため、ログ等の証跡に対し、当該事象を特定
できるようにする。
ネットワーク対策
・
通信回線を介した不正を防止するため、不正アクセス及び許可されていない
通信プロトコルを通信回線上で遮断する機能を備える。不正な通信、サービ
ス停止攻撃等に対し通信の遮断や通信量の抑制、レピュテーション情報を活
用したセキュリティ監視等により、サービス停止の脅威を軽減する機能(自
動的に遮断する仕組みも含める。
)を備える。
Web 対策
・
L7レイヤーまでのセキュリティ対策(Cookie、パラメータの改ざん、URL
の改ざんなどへの対応)を行う。
・
DDoS 攻撃を回避する仕組みを設ける。新たに発見された脅威に対し、速や
かに対応する必要がある場合、WAF の導入による対策が必要。WAF を導入
した場合に、WAF を経由した攻撃等にも対処を実施する。
200