よむ、つかう、まなぶ。
提出された意見一覧及び意見に対する両省の考え方 (3 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
No.
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
16 個人
17 個人
個人
個人
02GL
02GL
7
11
2.2
6.P7 2.2ぶらさがり段落(hanging paragraph)
2.2.1章が存在するときに、2.2章のタイトルの直下に文章を書くことは、「ぶら下がり段落」とよび、
2.2直下に記載されている段落は、2.2.1-2.2.3が医療情報システム等の代表的な提供形
JIS(日本産業規格)では禁止されている文書構成である。本書がJISではないので、厳密には従う必要はな
態を類型化したものであることを述べた総論として記載したものである点、ご理解くだ
いが、特別な合理的理由がない限り、従うのが望ましいと思います。2.2のタイトル内容に対して、
さい。
2.2.1?2.2.3は、ケースを記載している。細分箇条にするのではなく、JISの言葉では細別(一般的には箇
条書き)で(1)(2)(3)で記載したほうがいいのではないかと思います。
2.2.3
7.P11 2.2.3 医療情報を直接扱わない事業者
本ガイドラインが対象とする事業者は「医療機関等との契約等に基づいて医療情報シス
2.2.3の構成において、「対象事業者A、対象事業者B はそれぞれ独立して自社の医療情報システム等につ
テム等を提供する事業者」となりますので、ご指摘の「自身では」の意味するところが
いて本ガイドラインに基づくリスクマネジメント及び制度上の要求事項への対応を行い」と記載されてい
定かではありませんが、「医療情報を取扱わない場合」には原則として本ガイドライン
る。責任範囲の観点では、事業者A、事業者B及び医療機関等に関しては記載通りかと思います。しかし、
の対象外となります。他方で、ご指摘の2.2.3.図2-6に示す対象事業者Bにつきまして
事業者Bは自身では医療情報を取扱わない場合が多く、そのような場合では本ガイドラインの対象外との
は、同事業者が提供する通信回線等のインフラは「医療情報システム等」の一部ですの
考えもできる。インフラの責任はあるが、本ガイドラインの対象外になる可能性がある。そのような場合
で、医療情報を取扱う事業者となります。
に事業者Bの責任をガイドライン等で明確に定義する必要があるのではないかと思います。同様に自身で
なお、ご提示の考え方については、今後の検討にあたっての参考とさせていただきま
は医療情報を直接扱わないプラットフォームを提供する事業者でかつ、直接医療機関等と契約する事業者
す。
についても考慮が必要ではないかと思われます。
修正案
595223026000000010のつづき
3つめ
18 個人
個人
02GL
26
5.1.1
19 個人
個人
02GL
54
用語集
20 個人
個人
02GL
2
1.1.2
21 個人
個人
02GL
7
2.2
22 個人
個人
02GL
7
2.2
23 個人
個人
02GL
25
図5-1
24 個人
25 個人
個人
個人
02GL
02GL
27
29
表5-1
5.1.4
26 個人
個人
FAQ
6
5.2
27 個人
個人
FAQ
4
2.2
8.P26 5.1.1 リスク特定
「対象事業者は、自らが提供する医療情報システム等の全体構成図を作成することで、医療情報システム (全体構成図を作成する目的である)構成要素間での情報流を洗い出す際には、「特
等の全体構成を明らかにすること。」と記載されている。この記載は対象事業者の責任範囲においては最 に、医療情報システム等をクラウドサービスとして提供するケースにおいては、ASP・
低限の部分であり、これ以上にして医療機関と責任を共有できるようにしたほうがいいのではないかと思 SaaS と PaaS、IaaS をそれぞれ別の事業者が提供する等、ICT サプライチェーンが複
います。例えば、医療情報システムをクラウドで提供する事業者においては、クラウド内が責任範囲であ 雑となる傾向にあるため、抜け漏れがないよう十分留意すること」としております。ご
る場合が多いが、医療機関等からクラウドに接続するための機器、ネットワークも含めて構成図も誰かし 指摘の事項はこの具体的な方法に関するものと認識しておりますが、(今般の改訂にお
らが書いておく必要がある。医療機関等が記載できれば問題ないが、それを期待するだけでなく冗長でも いて「全体構成図の作成に関する役割等を医療機関等と合意すること」という規定を追
対象事業者も記載すべきではないかと思います。これにより5.2.1に記載の「この場合、全体構成図の作 記したところ、)ガイドラインにおいてどこまで具体的に記載すべきかという点も含
成に関する役割等を医療機関等と合意すること」とも整合が取れた記載になるのではないかと思います。 め、今後の検討課題とさせていただきます。
(変更案) 「対象事業者は、自らが提供する医療情報システム等並びに必要に応じてその医療情報システ
ム等を使用する環境及び関連する他のシステム等を記載した全体構成図を作成し、医療情報システム等の
全体構成を明らかにすること。その医療情報システム等を使用する環境及び関連する他のシステム等は、
必要に応じて医療機関等とのコミュニケーションを図り作成すること。」
9.P54 MACアドレス
「原則同一の MACアドレスを持つ LAN カードが 2 つ以上存在することはない。」と記載されている。原
本項目は「用語集」であるため、「原則」を記載しております。
則はその通りですが、悪意を持ってとか他の要因で任意の値にすることが可能であるような記載を追記し
ておいたほうがいいのではと思います。
10.P2 1.1.2「令和4 年●月には第6.0 版が策定された。
「令和4年●月には第6.0 版が策定された。」
ご意見を踏まえて、記載を修正するとともに、医療情報安全管理ガイドライン第6.0版
「令和4 年●月には第6.0 版が策定された。」と記載されている。まだ最終版が公開されていないので、
の公表月を反映いたしました。
変更があることは認識しているが、令和4年は明らかに間違いで少なくても令和5年。
11.P7 2.2ぶらさがり段落(hanging paragraph)
3.1章が存在するときに、3章のタイトルの直下に文章を書くことは、「ぶら下がり段落」とよび、JIS(日 3直下に記載されている段落は、3.1.3-2の総論として記載したものである点、ご理解く
本産業規格)では禁止されている文書構成である。できるだけそのルールに従うほうがわかりやすくなる ださい。
のではないか。
12.P7 2.2 「医療情報システム等の代表的な提供形態」
クラウドの利活用が増加しているため、記載の通りに複数の事業者が関与する場合の説明は非常に有効だ
と思われます。それだけではなく、医療機関内のネットワークとの関係の類型等も追加して記載してある
といいと思われます。通常、クラウド事業者は、医療施設とクラウドとの間のネットワークから責任を持
参考意見として承りました。
つ場合が多いが、医療施設側の接続点(具体的にはVPN機器 )、医療施設内の端末からVPN機器への経路設
定、Zone,フィルタなどの変更などを医療機関が責任を持つことがもれる場合が多い。この部分をクラウ
ド事業者が主になり、責任分界が明確にし、医療機関が知識、経験がない場合はそれへの適切な助言を明
確に要件化するようにしたほうがいいと思われます。
13.P25 図5-1 リスクマネジメントのプロセス
「5.1.5. リスク対応の実施手順」
図内で「5.1.5. リスク対応の実施手順」と記載されているが、5.1.5のタイトルは「リスク対応策の設 ご意見を踏まえて修正いたしました。
計・評価」となっておりあっていない。どちらかに合わせるべきではないか。
(追記)
14.P27 表5-1
情報の改竄・破壊又は医療情報システム等の停止になるのかもしれませんが、最近のランサム(医療情報
ご意見を踏まえて修正いたしました。
を暗号化され、医療情報システムが使用不能になり、身代金を要求)に関しても明示的に脅威として追加
したほうがいいのではないか。
15.P29 5.1.4
リスク管理方針(リスクの回避・低減・移転・受容)」と記載されている。最新のISO27000シリーズの記
ご意見を踏まえて修正いたしました。
載においては、以前の定義であるリスク移転に代わり、リスク共有と定義されているため修正すべきでは
ないでしょうか。
595223026000000011のつづき
4つめ
FAQ
ご意見を踏まえて修正いたしました。
16.P6 5.2
「5.1.5. リスク対応の実施手順」と記載されているが、ガイドラインの5.1.5は「リスク対応策の設計・
評価」である。
17.P4 2.2.
「なお、医療情報連携ネットワーク運営主体の中には、医療情報に関する管理責任は負わず、参加団体の
取りまとめや情報システム仕様の調整等のみを行っている者もあり、そのような運営主体については、本
ガイドラインにおける対象事業者とはなりません。」と記載されていますが、「医療情報に関する管理責 参考意見として承りました。ネットワーク運営主体が医療情報に関する管理責任等を負
任を負わずに情報システム仕様の調整等」を言葉通りならばその通りなのかもしれません。しかし、管理 わない場合については対象外であるという趣旨でありますので、原案通りとさせていた
責任を負わずに、情報システム仕様の調整等を行うことは、責任範囲が不明確になる可能性があるのでは だきます。
ないかと思います。また、「参加団体のとりまとめ」に関しても、参加に関して医療情報の取扱い等含め
て合意、契約等が必要になる可能性も否定できないかと思います。これらのため、記載方法等をもう少し
考慮されてもいいのではないかと思います。
「5.1.5. リスク対応の実施手順」
「令和5年5月には第6.0 版が策定された。」
「5.1.5. リスク対応策の設計・評価」
「ランサムウェア感染
医療情報システム等や関連する端末等をマルウェアに感染さ
せ、PCをロックする、あるいはファイルを暗号化することによっ
て使用不能にしたのち、その復元と引き換えに身代金を要求
する。」
(記述を修正)
「5.1.5リスク対応策の設計・評価」
氏名・名称
属性
資料
ページ
パート
意見
修正内容
方針・コメント
原案
16 個人
17 個人
個人
個人
02GL
02GL
7
11
2.2
6.P7 2.2ぶらさがり段落(hanging paragraph)
2.2.1章が存在するときに、2.2章のタイトルの直下に文章を書くことは、「ぶら下がり段落」とよび、
2.2直下に記載されている段落は、2.2.1-2.2.3が医療情報システム等の代表的な提供形
JIS(日本産業規格)では禁止されている文書構成である。本書がJISではないので、厳密には従う必要はな
態を類型化したものであることを述べた総論として記載したものである点、ご理解くだ
いが、特別な合理的理由がない限り、従うのが望ましいと思います。2.2のタイトル内容に対して、
さい。
2.2.1?2.2.3は、ケースを記載している。細分箇条にするのではなく、JISの言葉では細別(一般的には箇
条書き)で(1)(2)(3)で記載したほうがいいのではないかと思います。
2.2.3
7.P11 2.2.3 医療情報を直接扱わない事業者
本ガイドラインが対象とする事業者は「医療機関等との契約等に基づいて医療情報シス
2.2.3の構成において、「対象事業者A、対象事業者B はそれぞれ独立して自社の医療情報システム等につ
テム等を提供する事業者」となりますので、ご指摘の「自身では」の意味するところが
いて本ガイドラインに基づくリスクマネジメント及び制度上の要求事項への対応を行い」と記載されてい
定かではありませんが、「医療情報を取扱わない場合」には原則として本ガイドライン
る。責任範囲の観点では、事業者A、事業者B及び医療機関等に関しては記載通りかと思います。しかし、
の対象外となります。他方で、ご指摘の2.2.3.図2-6に示す対象事業者Bにつきまして
事業者Bは自身では医療情報を取扱わない場合が多く、そのような場合では本ガイドラインの対象外との
は、同事業者が提供する通信回線等のインフラは「医療情報システム等」の一部ですの
考えもできる。インフラの責任はあるが、本ガイドラインの対象外になる可能性がある。そのような場合
で、医療情報を取扱う事業者となります。
に事業者Bの責任をガイドライン等で明確に定義する必要があるのではないかと思います。同様に自身で
なお、ご提示の考え方については、今後の検討にあたっての参考とさせていただきま
は医療情報を直接扱わないプラットフォームを提供する事業者でかつ、直接医療機関等と契約する事業者
す。
についても考慮が必要ではないかと思われます。
修正案
595223026000000010のつづき
3つめ
18 個人
個人
02GL
26
5.1.1
19 個人
個人
02GL
54
用語集
20 個人
個人
02GL
2
1.1.2
21 個人
個人
02GL
7
2.2
22 個人
個人
02GL
7
2.2
23 個人
個人
02GL
25
図5-1
24 個人
25 個人
個人
個人
02GL
02GL
27
29
表5-1
5.1.4
26 個人
個人
FAQ
6
5.2
27 個人
個人
FAQ
4
2.2
8.P26 5.1.1 リスク特定
「対象事業者は、自らが提供する医療情報システム等の全体構成図を作成することで、医療情報システム (全体構成図を作成する目的である)構成要素間での情報流を洗い出す際には、「特
等の全体構成を明らかにすること。」と記載されている。この記載は対象事業者の責任範囲においては最 に、医療情報システム等をクラウドサービスとして提供するケースにおいては、ASP・
低限の部分であり、これ以上にして医療機関と責任を共有できるようにしたほうがいいのではないかと思 SaaS と PaaS、IaaS をそれぞれ別の事業者が提供する等、ICT サプライチェーンが複
います。例えば、医療情報システムをクラウドで提供する事業者においては、クラウド内が責任範囲であ 雑となる傾向にあるため、抜け漏れがないよう十分留意すること」としております。ご
る場合が多いが、医療機関等からクラウドに接続するための機器、ネットワークも含めて構成図も誰かし 指摘の事項はこの具体的な方法に関するものと認識しておりますが、(今般の改訂にお
らが書いておく必要がある。医療機関等が記載できれば問題ないが、それを期待するだけでなく冗長でも いて「全体構成図の作成に関する役割等を医療機関等と合意すること」という規定を追
対象事業者も記載すべきではないかと思います。これにより5.2.1に記載の「この場合、全体構成図の作 記したところ、)ガイドラインにおいてどこまで具体的に記載すべきかという点も含
成に関する役割等を医療機関等と合意すること」とも整合が取れた記載になるのではないかと思います。 め、今後の検討課題とさせていただきます。
(変更案) 「対象事業者は、自らが提供する医療情報システム等並びに必要に応じてその医療情報システ
ム等を使用する環境及び関連する他のシステム等を記載した全体構成図を作成し、医療情報システム等の
全体構成を明らかにすること。その医療情報システム等を使用する環境及び関連する他のシステム等は、
必要に応じて医療機関等とのコミュニケーションを図り作成すること。」
9.P54 MACアドレス
「原則同一の MACアドレスを持つ LAN カードが 2 つ以上存在することはない。」と記載されている。原
本項目は「用語集」であるため、「原則」を記載しております。
則はその通りですが、悪意を持ってとか他の要因で任意の値にすることが可能であるような記載を追記し
ておいたほうがいいのではと思います。
10.P2 1.1.2「令和4 年●月には第6.0 版が策定された。
「令和4年●月には第6.0 版が策定された。」
ご意見を踏まえて、記載を修正するとともに、医療情報安全管理ガイドライン第6.0版
「令和4 年●月には第6.0 版が策定された。」と記載されている。まだ最終版が公開されていないので、
の公表月を反映いたしました。
変更があることは認識しているが、令和4年は明らかに間違いで少なくても令和5年。
11.P7 2.2ぶらさがり段落(hanging paragraph)
3.1章が存在するときに、3章のタイトルの直下に文章を書くことは、「ぶら下がり段落」とよび、JIS(日 3直下に記載されている段落は、3.1.3-2の総論として記載したものである点、ご理解く
本産業規格)では禁止されている文書構成である。できるだけそのルールに従うほうがわかりやすくなる ださい。
のではないか。
12.P7 2.2 「医療情報システム等の代表的な提供形態」
クラウドの利活用が増加しているため、記載の通りに複数の事業者が関与する場合の説明は非常に有効だ
と思われます。それだけではなく、医療機関内のネットワークとの関係の類型等も追加して記載してある
といいと思われます。通常、クラウド事業者は、医療施設とクラウドとの間のネットワークから責任を持
参考意見として承りました。
つ場合が多いが、医療施設側の接続点(具体的にはVPN機器 )、医療施設内の端末からVPN機器への経路設
定、Zone,フィルタなどの変更などを医療機関が責任を持つことがもれる場合が多い。この部分をクラウ
ド事業者が主になり、責任分界が明確にし、医療機関が知識、経験がない場合はそれへの適切な助言を明
確に要件化するようにしたほうがいいと思われます。
13.P25 図5-1 リスクマネジメントのプロセス
「5.1.5. リスク対応の実施手順」
図内で「5.1.5. リスク対応の実施手順」と記載されているが、5.1.5のタイトルは「リスク対応策の設 ご意見を踏まえて修正いたしました。
計・評価」となっておりあっていない。どちらかに合わせるべきではないか。
(追記)
14.P27 表5-1
情報の改竄・破壊又は医療情報システム等の停止になるのかもしれませんが、最近のランサム(医療情報
ご意見を踏まえて修正いたしました。
を暗号化され、医療情報システムが使用不能になり、身代金を要求)に関しても明示的に脅威として追加
したほうがいいのではないか。
15.P29 5.1.4
リスク管理方針(リスクの回避・低減・移転・受容)」と記載されている。最新のISO27000シリーズの記
ご意見を踏まえて修正いたしました。
載においては、以前の定義であるリスク移転に代わり、リスク共有と定義されているため修正すべきでは
ないでしょうか。
595223026000000011のつづき
4つめ
FAQ
ご意見を踏まえて修正いたしました。
16.P6 5.2
「5.1.5. リスク対応の実施手順」と記載されているが、ガイドラインの5.1.5は「リスク対応策の設計・
評価」である。
17.P4 2.2.
「なお、医療情報連携ネットワーク運営主体の中には、医療情報に関する管理責任は負わず、参加団体の
取りまとめや情報システム仕様の調整等のみを行っている者もあり、そのような運営主体については、本
ガイドラインにおける対象事業者とはなりません。」と記載されていますが、「医療情報に関する管理責 参考意見として承りました。ネットワーク運営主体が医療情報に関する管理責任等を負
任を負わずに情報システム仕様の調整等」を言葉通りならばその通りなのかもしれません。しかし、管理 わない場合については対象外であるという趣旨でありますので、原案通りとさせていた
責任を負わずに、情報システム仕様の調整等を行うことは、責任範囲が不明確になる可能性があるのでは だきます。
ないかと思います。また、「参加団体のとりまとめ」に関しても、参加に関して医療情報の取扱い等含め
て合意、契約等が必要になる可能性も否定できないかと思います。これらのため、記載方法等をもう少し
考慮されてもいいのではないかと思います。
「5.1.5. リスク対応の実施手順」
「令和5年5月には第6.0 版が策定された。」
「5.1.5. リスク対応策の設計・評価」
「ランサムウェア感染
医療情報システム等や関連する端末等をマルウェアに感染さ
せ、PCをロックする、あるいはファイルを暗号化することによっ
て使用不能にしたのち、その復元と引き換えに身代金を要求
する。」
(記述を修正)
「5.1.5リスク対応策の設計・評価」