よむ、つかう、まなぶ。
資料1 HIC解析環境の利用にあたり検討すべき事項 (8 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000198094_00051.html |
| 出典情報 | 社会保障審議会 医療保険部会・介護保険部会 匿名医療・介護情報等の提供に関する委員会(第8回 6/17)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
(参考)介護DBガイドラインの安全管理措置
第6 提供申出に対する審査
4 審査基準
(4) 匿名要介護認定情報等の利用場所、保管場所及び管理方法
③ 匿名要介護認定情報等の利用に際し講じなければならない安全管理措置
ⅲ)物理的安全管理措置
a)匿名要介護認定情報等が保存されている機器の設置場所及び記録媒体の保存場所には施錠すること。
b)匿名要介護認定情報等が参照可能な区画を明示し、取扱者以外の者の無断立入りを防ぐ対策を講ずること。また、匿名要介護認定情報等を参照できる端末が設置されている区画は、運
用管理規程に基づき、許可された者以外立入ることが出来ないよう、施錠等の対策を講ずること。
ただし、本対策項目と同等レベルの他の取り得る手段がある場合にはこの限りではない。
c)匿名要介護認定情報等を物理的に保存している区画への入退管理を実施すること。例えば、以下の措置を実施すること。
・入退者には名札等の着用を義務付け、台帳等に氏名等を記入することにより入退の事実を記録すること。
・入退者の記録を定期的にチェックし、その妥当性を確認すること。
・入退管理記録は、利用終了後少なくとも1年は保管すること。
d)情報システム等の匿名要介護認定情報等が存在する機器に盗難防止用チェーンを設置すること。
e)窃視防止の対策を実施すること。
f) 匿名要介護認定情報等の消去にあたっては、専用ソフトウェア等を用い、復元不可能な形で行うこと。
ⅳ) 技術的安全管理措置
a)匿名要介護認定情報等を利用する情報システムへのアクセスにおける取扱者の識別と認証を行うこと。
b)上記a)の取扱者の識別・認証に用いる手段として、セキュリティ強度を考慮し、ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指紋、静脈、虹彩のような取扱
者の生体的特徴を利用した生体計測)やユーザID ・パスワード+バイオメトリクスといった2つの独立した要素を用いて行う方式(二要素認証)を採用することを求める。この場合は、必ずし
もパスワードの定期的な変更を求めない。ただし、何らかの事情で上記の実装が困難な場合は、ユーザIDとパスワードを組み合わせた認証を行うこと。その場合は、以下の事項に留意す
ること。
・パスワードは定期的に変更し(最長でも2ヶ月以内)、極端に短い文字列を使用しないこと。英数字、記号を混在させた8文字以上の文字列が望ましい。なお、下記の要件を含め、適切に
設定された13文字以上のパスワードを用いる場合は定期的な変更は必要ない。
・類推しやすいパスワードを使用しないこと。
・匿名要介護認定情報等が複写された情報システムが複数の者によって利用される場合にあっては、当該システム内のパスワードファイルはパスワードを必ず暗号化(不可逆変換が望ま
しい。) した状態とするよう、適切な手法で管理及び運用が行われること。利用者識別にIC カード等他の手段を併用した場合は、システムに応じたパスワードの運用方法を運用管理規程
にて定めること。
・取扱者がパスワードを忘れたり、盗用されたりする恐れがある場合で、システム管理者がパスワードを変更する場合には、取扱者の本人確認を行い、どのような手法で本人確認を行った
のかを台帳に記載(本人確認を行った書類等のコピーを添付)し、本人以外が知り得ない方法で再登録を実施すること。
・システム管理者であっても、取扱者のパスワードを推定できる手段を防止すること。(設定ファイルにパスワードが記載される等があってはならない。)。
c)取扱者が匿名要介護認定情報等を利用する情報システムの端末から、長時間離席する際に、あらかじめ認められた取扱者以外の者が利用する恐れがある場合には、クリアスクリーン等
の防止策を講ずること。
d)匿名要介護認定情報等を利用する情報システムへのアクセスの記録及び定期的なログの確認を行うこと。アクセスの記録は少なくとも取扱者のログイン時刻、アクセス時間並びにログイ
ン中に操作した取扱者が特定できるようにすること。
e)匿名要介護認定情報等を利用する情報システムはアクセス記録機能を備えたものであること。仮に当該機能がない場合には業務日誌等で操作の記録(操作者及び操作内容)を必ず行う
こと。
なお、記録等は利用終了後少なくとも1年は保管すること。
f)匿名要介護認定情報等を利用する情報システムにアクセスログへのアクセス制限を行い、アクセスログの不当な削除、改ざん及び追加等を防止する対策を講ずること。
g)上記f)のアクセスの記録に用いる時刻情報は信頼できるものであること。
h)原則として、匿名要介護認定情報等を利用する情報システムには適切に管理されていないメディアを接続しないこと。ただし、システム構築時に、やむを得ず適切に管理されていないメ
ディアを使用する場合には、外部からの情報受領時にはウイルス等の不正なソフトウェアが混入していないか確認すること。適切に管理されていないと考えられるメディアを利用する際に
は、十分な安全確認を実施し、細心の注意を払って利用すること。常時ウイルス等の不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有効性・安全性の確認・維持
を行うこと。
i)匿名要介護認定情報等の保存・利用に際しては、インターネット等の外部ネットワークに接続した情報システムを使用しないこと。
j)匿名要介護認定情報等の利用終了後には、情報システム内に記録された匿名要介護認定情報等及び中間生成物を消去することに加え、消去後に当該機器を外部ネットワークに接続す
8
る際には、あらかじめコンピューターウイルス等の有害ソフトウェアが無いか検索し、ファイアウォールを導入するなどの安全対策に十分配意すること。
第6 提供申出に対する審査
4 審査基準
(4) 匿名要介護認定情報等の利用場所、保管場所及び管理方法
③ 匿名要介護認定情報等の利用に際し講じなければならない安全管理措置
ⅲ)物理的安全管理措置
a)匿名要介護認定情報等が保存されている機器の設置場所及び記録媒体の保存場所には施錠すること。
b)匿名要介護認定情報等が参照可能な区画を明示し、取扱者以外の者の無断立入りを防ぐ対策を講ずること。また、匿名要介護認定情報等を参照できる端末が設置されている区画は、運
用管理規程に基づき、許可された者以外立入ることが出来ないよう、施錠等の対策を講ずること。
ただし、本対策項目と同等レベルの他の取り得る手段がある場合にはこの限りではない。
c)匿名要介護認定情報等を物理的に保存している区画への入退管理を実施すること。例えば、以下の措置を実施すること。
・入退者には名札等の着用を義務付け、台帳等に氏名等を記入することにより入退の事実を記録すること。
・入退者の記録を定期的にチェックし、その妥当性を確認すること。
・入退管理記録は、利用終了後少なくとも1年は保管すること。
d)情報システム等の匿名要介護認定情報等が存在する機器に盗難防止用チェーンを設置すること。
e)窃視防止の対策を実施すること。
f) 匿名要介護認定情報等の消去にあたっては、専用ソフトウェア等を用い、復元不可能な形で行うこと。
ⅳ) 技術的安全管理措置
a)匿名要介護認定情報等を利用する情報システムへのアクセスにおける取扱者の識別と認証を行うこと。
b)上記a)の取扱者の識別・認証に用いる手段として、セキュリティ強度を考慮し、ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指紋、静脈、虹彩のような取扱
者の生体的特徴を利用した生体計測)やユーザID ・パスワード+バイオメトリクスといった2つの独立した要素を用いて行う方式(二要素認証)を採用することを求める。この場合は、必ずし
もパスワードの定期的な変更を求めない。ただし、何らかの事情で上記の実装が困難な場合は、ユーザIDとパスワードを組み合わせた認証を行うこと。その場合は、以下の事項に留意す
ること。
・パスワードは定期的に変更し(最長でも2ヶ月以内)、極端に短い文字列を使用しないこと。英数字、記号を混在させた8文字以上の文字列が望ましい。なお、下記の要件を含め、適切に
設定された13文字以上のパスワードを用いる場合は定期的な変更は必要ない。
・類推しやすいパスワードを使用しないこと。
・匿名要介護認定情報等が複写された情報システムが複数の者によって利用される場合にあっては、当該システム内のパスワードファイルはパスワードを必ず暗号化(不可逆変換が望ま
しい。) した状態とするよう、適切な手法で管理及び運用が行われること。利用者識別にIC カード等他の手段を併用した場合は、システムに応じたパスワードの運用方法を運用管理規程
にて定めること。
・取扱者がパスワードを忘れたり、盗用されたりする恐れがある場合で、システム管理者がパスワードを変更する場合には、取扱者の本人確認を行い、どのような手法で本人確認を行った
のかを台帳に記載(本人確認を行った書類等のコピーを添付)し、本人以外が知り得ない方法で再登録を実施すること。
・システム管理者であっても、取扱者のパスワードを推定できる手段を防止すること。(設定ファイルにパスワードが記載される等があってはならない。)。
c)取扱者が匿名要介護認定情報等を利用する情報システムの端末から、長時間離席する際に、あらかじめ認められた取扱者以外の者が利用する恐れがある場合には、クリアスクリーン等
の防止策を講ずること。
d)匿名要介護認定情報等を利用する情報システムへのアクセスの記録及び定期的なログの確認を行うこと。アクセスの記録は少なくとも取扱者のログイン時刻、アクセス時間並びにログイ
ン中に操作した取扱者が特定できるようにすること。
e)匿名要介護認定情報等を利用する情報システムはアクセス記録機能を備えたものであること。仮に当該機能がない場合には業務日誌等で操作の記録(操作者及び操作内容)を必ず行う
こと。
なお、記録等は利用終了後少なくとも1年は保管すること。
f)匿名要介護認定情報等を利用する情報システムにアクセスログへのアクセス制限を行い、アクセスログの不当な削除、改ざん及び追加等を防止する対策を講ずること。
g)上記f)のアクセスの記録に用いる時刻情報は信頼できるものであること。
h)原則として、匿名要介護認定情報等を利用する情報システムには適切に管理されていないメディアを接続しないこと。ただし、システム構築時に、やむを得ず適切に管理されていないメ
ディアを使用する場合には、外部からの情報受領時にはウイルス等の不正なソフトウェアが混入していないか確認すること。適切に管理されていないと考えられるメディアを利用する際に
は、十分な安全確認を実施し、細心の注意を払って利用すること。常時ウイルス等の不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有効性・安全性の確認・維持
を行うこと。
i)匿名要介護認定情報等の保存・利用に際しては、インターネット等の外部ネットワークに接続した情報システムを使用しないこと。
j)匿名要介護認定情報等の利用終了後には、情報システム内に記録された匿名要介護認定情報等及び中間生成物を消去することに加え、消去後に当該機器を外部ネットワークに接続す
8
る際には、あらかじめコンピューターウイルス等の有害ソフトウェアが無いか検索し、ファイアウォールを導入するなどの安全対策に十分配意すること。