よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (35 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
高
リスク回避
顕
在
化
率
リスク低減
リスク保有
リスク移転
低
小
影響度
大
図 5-2 影響度と顕在化率に応じた選択肢の考え方
リスク低減
対象事業者は、リスクへの対応を要としたリスクについては、原則として、リスク低減
について検討すること。このとき、対策については、費用対効果を踏まえつつ、過剰とな
らない範囲で複数組み合わせることによる多層防御(多重防御ともいう)を講じることが
望ましい。
リスク回避
対象事業者は、影響度及び顕在化率ともに極めて高いリスクについては、リスク回避を
検討すること。例えば、「外部と大量の個人情報の電子メールによる受け渡し」が頻繁に
えい
発生する場合、誤送信による情報漏洩リスクの影響度及び顕在化率は極めて高いと判断す
ることができる。こういったケースでは、教育や誤送信対策システムの導入等によるリス
ク低減策よりも、別の手段により個人情報を受け渡すリスク回避策のほうが有効となるこ
ともあり得る。
リスク共有
リスク低減を行った結果、顕在化率の低減は可能だが影響度の低減は困難なリスクにつ
いては、リスク共有を検討することが有効である。例えば、情報流の一部を他社に委託す
ることにより、サイバー攻撃で被害を受けたとしても、契約等により被害に対する損害賠
償責任の一部を委託先に移転することができる。また、リスクが顕在化し損害賠償を求め
られた時に備えて、サイバー保険等により金銭的な損失を補填することができる。ただし、
サイバー保険等によるリスク共有は、あくまでも金銭面での損失にのみ有効な対応であり、
情報セキュリティ事故発生時の被害や、医療機関等の信用失墜を防ぐものではない。この
ため、リスク共有はリスク低減を行った上で残存するリスクに対して適用を検討すべきで
ある。
29
リスク回避
顕
在
化
率
リスク低減
リスク保有
リスク移転
低
小
影響度
大
図 5-2 影響度と顕在化率に応じた選択肢の考え方
リスク低減
対象事業者は、リスクへの対応を要としたリスクについては、原則として、リスク低減
について検討すること。このとき、対策については、費用対効果を踏まえつつ、過剰とな
らない範囲で複数組み合わせることによる多層防御(多重防御ともいう)を講じることが
望ましい。
リスク回避
対象事業者は、影響度及び顕在化率ともに極めて高いリスクについては、リスク回避を
検討すること。例えば、「外部と大量の個人情報の電子メールによる受け渡し」が頻繁に
えい
発生する場合、誤送信による情報漏洩リスクの影響度及び顕在化率は極めて高いと判断す
ることができる。こういったケースでは、教育や誤送信対策システムの導入等によるリス
ク低減策よりも、別の手段により個人情報を受け渡すリスク回避策のほうが有効となるこ
ともあり得る。
リスク共有
リスク低減を行った結果、顕在化率の低減は可能だが影響度の低減は困難なリスクにつ
いては、リスク共有を検討することが有効である。例えば、情報流の一部を他社に委託す
ることにより、サイバー攻撃で被害を受けたとしても、契約等により被害に対する損害賠
償責任の一部を委託先に移転することができる。また、リスクが顕在化し損害賠償を求め
られた時に備えて、サイバー保険等により金銭的な損失を補填することができる。ただし、
サイバー保険等によるリスク共有は、あくまでも金銭面での損失にのみ有効な対応であり、
情報セキュリティ事故発生時の被害や、医療機関等の信用失墜を防ぐものではない。この
ため、リスク共有はリスク低減を行った上で残存するリスクに対して適用を検討すべきで
ある。
29