よむ、つかう、まなぶ。
【参考資料1-4】医療情報システムの安全管理に関するガイドライン第6.0版[特集] 医療機関等におけるサイバーセキュリティ(案) (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
1.はじめに
診療情報等の機微な情報を扱う電子カルテをはじめとする医療情報システムは、情報の利用性を高め
て連携を容易にし、質の高い医療の提供に極めて有用ですが、短時間で大量の情報を処理できることが
可能であるために、何かセキュリティ上の問題が起こると被害や業務影響が大きくなる可能性がありま
す。セキュリティ上の問題としては、例えば、システム利用終了時にログアウトし忘れるといった運用
上の問題から、停電や機器の故障、さらにはマルウェア(コンピュータウイルス)と呼ばれる悪意のあ
る不正ソフトウェアの混入など様々な事象があります。「医療情報システムの安全管理に関するガイド
ライン」は、これらすべてに対応するためのガイドラインで、どうしても扱う項目が多くなります。一
方でサイバー攻撃と呼ばれる外部からの不正ソフトウェアの混入による被害が昨今増えてきており、最
悪の場合は診療機能停止に至るなど、社会的にも問題になっています。イバー攻撃の脅威が近年増大し
ていることに鑑み、医療法施行規則(昭和 23 年厚生省令第 50 号)第 14 条第2項では、病院、診療所
又は助産所の管理者が遵守すべき事項として、医薬品、医療機器等の品質、有効性及び安全性の確保等
に関する法律施行規則(昭和 36 年厚生省令第1号)第 11 条第2項において薬局の管理者が順守すべき
事項として、サイバーセキュリティの確保について必要な措置を講じなければならないとしています。
そこで、「医療情報システムの安全管理に関するガイドライン」の中で、サイバーセキュリティに関係
する部分を要約し、できるだけ具体的な例などにも触れてまとめたものがこの特集です。一読いただい
て、ご自身の所属する医療機関の対策に役立てていただければ幸いです。
最初に述べなければならないことは、サイバーセキュリティは導入している医療情報システムによっ
て異なるということです。例えば、フルクラウドの電子カルテサービスを導入している診療所など小規
模医療機関等の場合は、サイバーセキュリティを踏まえたシステムやデータ、サービスが用意された適
切なシステム関連事業者のサービスを採用していれば、医療機関等が主に取り組むことは医療情報シス
テムの利用者認証を適切に行うことと想定されますので、当該事業者にサイバーセキュリティに関して
医療機関等側が取り組むべきことを確認し、認識の齟齬や漏れがないようにして、適切に医療情報シス
テムを利用してください。
これ以降の記載はオンプレミス型の医療情報システムや、オンプレミス型とクラウド型の混在した医
療情報システムを導入・利用している医療機関等を想定しており、地域において地域医療の基幹を担う
医療機関は必要最小限の対策に留まることなく、地域で担っている役割を維持できるよう各種対策に注
力してください。
2.サイバーセキュリティとは
不正ソフトウェアによる感染被害や、外部から不法に医療情報システムに侵入し、データを盗み取っ
たり、または破壊したりするような被害を受けるか、または被害には至らなくとも対応が必要になる事
象をサイバーインシデントと呼び、これに対応する対策がサイバーセキュリティです。
外部からネットワーク等を介して、侵入または不正ソフトウェアの送り込みをサイバー攻撃と呼びま
すが、例えばユーザや保守事業者の自宅のパソコンが不正ソフトウェアに感染し、USB メモリや CD
-1-
診療情報等の機微な情報を扱う電子カルテをはじめとする医療情報システムは、情報の利用性を高め
て連携を容易にし、質の高い医療の提供に極めて有用ですが、短時間で大量の情報を処理できることが
可能であるために、何かセキュリティ上の問題が起こると被害や業務影響が大きくなる可能性がありま
す。セキュリティ上の問題としては、例えば、システム利用終了時にログアウトし忘れるといった運用
上の問題から、停電や機器の故障、さらにはマルウェア(コンピュータウイルス)と呼ばれる悪意のあ
る不正ソフトウェアの混入など様々な事象があります。「医療情報システムの安全管理に関するガイド
ライン」は、これらすべてに対応するためのガイドラインで、どうしても扱う項目が多くなります。一
方でサイバー攻撃と呼ばれる外部からの不正ソフトウェアの混入による被害が昨今増えてきており、最
悪の場合は診療機能停止に至るなど、社会的にも問題になっています。イバー攻撃の脅威が近年増大し
ていることに鑑み、医療法施行規則(昭和 23 年厚生省令第 50 号)第 14 条第2項では、病院、診療所
又は助産所の管理者が遵守すべき事項として、医薬品、医療機器等の品質、有効性及び安全性の確保等
に関する法律施行規則(昭和 36 年厚生省令第1号)第 11 条第2項において薬局の管理者が順守すべき
事項として、サイバーセキュリティの確保について必要な措置を講じなければならないとしています。
そこで、「医療情報システムの安全管理に関するガイドライン」の中で、サイバーセキュリティに関係
する部分を要約し、できるだけ具体的な例などにも触れてまとめたものがこの特集です。一読いただい
て、ご自身の所属する医療機関の対策に役立てていただければ幸いです。
最初に述べなければならないことは、サイバーセキュリティは導入している医療情報システムによっ
て異なるということです。例えば、フルクラウドの電子カルテサービスを導入している診療所など小規
模医療機関等の場合は、サイバーセキュリティを踏まえたシステムやデータ、サービスが用意された適
切なシステム関連事業者のサービスを採用していれば、医療機関等が主に取り組むことは医療情報シス
テムの利用者認証を適切に行うことと想定されますので、当該事業者にサイバーセキュリティに関して
医療機関等側が取り組むべきことを確認し、認識の齟齬や漏れがないようにして、適切に医療情報シス
テムを利用してください。
これ以降の記載はオンプレミス型の医療情報システムや、オンプレミス型とクラウド型の混在した医
療情報システムを導入・利用している医療機関等を想定しており、地域において地域医療の基幹を担う
医療機関は必要最小限の対策に留まることなく、地域で担っている役割を維持できるよう各種対策に注
力してください。
2.サイバーセキュリティとは
不正ソフトウェアによる感染被害や、外部から不法に医療情報システムに侵入し、データを盗み取っ
たり、または破壊したりするような被害を受けるか、または被害には至らなくとも対応が必要になる事
象をサイバーインシデントと呼び、これに対応する対策がサイバーセキュリティです。
外部からネットワーク等を介して、侵入または不正ソフトウェアの送り込みをサイバー攻撃と呼びま
すが、例えばユーザや保守事業者の自宅のパソコンが不正ソフトウェアに感染し、USB メモリや CD
-1-