よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (33 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
リスク分析
対象事業者は、特定したリスクについて、「医療情報システム等への影響の度合い」(以
下、「影響度」という。)と「当該リスクが顕在化する可能性」(以下、「顕在化率」とい
う。)をもとに、「リスクの大きさの度合い」(以下、「リスクレベル」という。)を算出す
ること。
リスク分析の手順として、まず、対象事業者は、特定したリスクについて、リスクを洗
い出す際のもととなった情報流の分類を参考に、当該リスクが顕在化した場合の医療情報
システム等への機密性、完全性、可用性への影響度合いを総合的に判断し、リスクの影響
度を特定すること。例えば、リスクを洗い出す際のもととなった情報流の分類が「患者個
人情報等」であり、当該情報が頻繁かつ大量に処理されるような場合は、リスクの影響度
は極めて大きいと考えられる。
次に、対象事業者は、被害が発生する際の前提条件等をもとにリスクの顕在化率を特定
すること。例えば、サイバー攻撃においては、インターネット経由で直接的な攻撃が可能
である場合や、認証を要求していない場合、既に攻撃手法が知られており被害が発生して
いる場合等は、顕在化率は高いと考えられる。一方、施設へ物理的な侵入を行わないと攻
撃ができない場合や、多要素認証を要求している場合、攻撃手法が知られておらず攻撃難
易度が高い場合等は、顕在化率が低いと考えられる。
本ガイドラインでは、リスク分析手法の実践例として、影響度と顕在化率をもとに、5
段階のリスクレベルに分類する例を表 5-2 に示す。対象事業者は ISO/IEC 27005:2018 の規
格等も参考に自ら適切なリスク分析手法を選択し適用すること。
表 5-2 リスクレベルの分類例
顕在化率
影
響
度
きわめて低い
低い
中程度
高い
きわめて高い
(ほとんど起こらない)
(まず起こらない)
(起こる可能性がある)
(起こる可能性が高い)
(頻繁に起こる)
1
2
3
4
5
リスク
レベル
影響度×顕在化率
(ランク)
きわめて
小さい
1
1
2
3
4
5
S
20~25
小さい
2
2
4
6
8
10
A
10~16
中程度
3
3
6
9
12
15
B
5~9
大きい
4
4
8
12
16
20
C
2~4
きわめて
大きい
5
5
10
15
20
25
D
1
リスク評価
対象事業者は、各リスクについて、リスクレベルをもとに対応要否を検討し、リスクア
27
対象事業者は、特定したリスクについて、「医療情報システム等への影響の度合い」(以
下、「影響度」という。)と「当該リスクが顕在化する可能性」(以下、「顕在化率」とい
う。)をもとに、「リスクの大きさの度合い」(以下、「リスクレベル」という。)を算出す
ること。
リスク分析の手順として、まず、対象事業者は、特定したリスクについて、リスクを洗
い出す際のもととなった情報流の分類を参考に、当該リスクが顕在化した場合の医療情報
システム等への機密性、完全性、可用性への影響度合いを総合的に判断し、リスクの影響
度を特定すること。例えば、リスクを洗い出す際のもととなった情報流の分類が「患者個
人情報等」であり、当該情報が頻繁かつ大量に処理されるような場合は、リスクの影響度
は極めて大きいと考えられる。
次に、対象事業者は、被害が発生する際の前提条件等をもとにリスクの顕在化率を特定
すること。例えば、サイバー攻撃においては、インターネット経由で直接的な攻撃が可能
である場合や、認証を要求していない場合、既に攻撃手法が知られており被害が発生して
いる場合等は、顕在化率は高いと考えられる。一方、施設へ物理的な侵入を行わないと攻
撃ができない場合や、多要素認証を要求している場合、攻撃手法が知られておらず攻撃難
易度が高い場合等は、顕在化率が低いと考えられる。
本ガイドラインでは、リスク分析手法の実践例として、影響度と顕在化率をもとに、5
段階のリスクレベルに分類する例を表 5-2 に示す。対象事業者は ISO/IEC 27005:2018 の規
格等も参考に自ら適切なリスク分析手法を選択し適用すること。
表 5-2 リスクレベルの分類例
顕在化率
影
響
度
きわめて低い
低い
中程度
高い
きわめて高い
(ほとんど起こらない)
(まず起こらない)
(起こる可能性がある)
(起こる可能性が高い)
(頻繁に起こる)
1
2
3
4
5
リスク
レベル
影響度×顕在化率
(ランク)
きわめて
小さい
1
1
2
3
4
5
S
20~25
小さい
2
2
4
6
8
10
A
10~16
中程度
3
3
6
9
12
15
B
5~9
大きい
4
4
8
12
16
20
C
2~4
きわめて
大きい
5
5
10
15
20
25
D
1
リスク評価
対象事業者は、各リスクについて、リスクレベルをもとに対応要否を検討し、リスクア
27