よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (12 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
1.10. 非常時に備えた対
No.
①-2
対策項目で対応できる
内容
業務プロセス間の相互関係を評価する。
区分
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
◎
-
応
①-3
事業を継続するための業務プロセスの優先順
医療情報システム等に発生するハードウェア
サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成分割された
ネットワークを整備すること。
◎
-
位を明確にする。
①-4
内容
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフ
トウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの
重要なファイルの復元手順を整備すること。
◎
及びソフトウェアの障害が業務プロセスに与
える影響について識別する。
①-5
医療情報システム等に発生するハードウェア
◎
及びソフトウェアの障害が他のハードウェ
ア、ソフトウェアに及ぼす影響、相互作用に
ついて認識し、影響度の大きなハードウェア
及びソフトウェアを識別する。
②医療情報システム等
②-1
医療情報システム等の提供における医療機関
の提供に係る事業継続
等が想定する医療の継続性の観点を入れて、
のための計画策定と模
医療情報処理に関する事業継続計画を策定す
擬試験等による検証
る。
◎
災害発生時に、医療情報システム等を
最大許容停止時間内に復旧できない。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし
使用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
-
システム運用
編
11.システム運用管
理(通常時・非常時
等)
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができない
ように変更すること。
-
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡
手段や紙での運用等の代替手段を準備すること。
-
(「~~論理的/物理的に構成分割されたネットワークを整備すること。」を加
筆)
-
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソ
フトウェアの混入による影響が波及しない手段で管理するとともに、バックアップか
らの重要なファイルの復元手順を整備すること。
②-2
策定した事業継続計画について模擬試験を含
◎
めた適切な方法でレビューする。
②-3
事業継続計画について定期的に見直しを行
策定される事業継続計画には次のような事項
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし使
用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
◎
-
う。
②-4
①
システム運用編
〇
11.システム運用管理(通常
時・非常時等)
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができないよ
うに変更すること。
【遵守事項】
-
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡手
段や紙での運用等の代替手段を準備すること。
を含むことが望ましい。
-
・ 事前準備計画
サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成分割された
ネットワークを整備すること。
・ 「非常時」判断手順
-
・ 関係者の召集、対応本部の設置
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフ
トウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの
・ 機器及び作業員の縮退措置及び代替施設の
重要なファイルの復元手順を整備すること。
手配措置
・バックアップ施設等、代替施設への切替え
措置
・ 代替施設運用中の考慮事項(非常時アカウ
ントの運用手順、復帰後に医療情報を正常シ
ステムに同期するための配慮等)
・障害の拡大範囲に関する判断手順、基準
・正常復帰の判断手順、基準
・正常復帰後の医療情報システム等の点検手
順(不正侵入、情報改竄、情報破損等の検出
等)
・ 所管官庁への連絡体制、等
②-5
策定した事業継続計画に基づくサービス内容
◎
について、医療機関等と合意する。
③医療情報システム等
③-1
非常時に行ったデータ処理の結果が、サービ
◎
非常時の代替手段で処理した情報が医
復旧後における整合性
ス回復後に齟齬が生じないよう、データの整
療情報システム等復旧後に正しく処理
確保
合性を確保するための対応策(規約の策定・
できない。
11.非常時(災害、サイバー
企画管理編
検証方法の規定等)を講じる。
④非常時用の利用者ア
④-1
非常時に用いる利用者アカウント及び非常時
攻撃、システム障害)対応と
①
【遵守事項】
BCP 策定
◎
11.非常時(災害、
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容
の整理を行い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時
企画管理編
への復旧に向けた計画を含めること。
サイバー攻撃、システ
ム障害)対応とBCP策
定
非常時用のアクセス制限が緩和された
カウントや機能の管理
用の機能の有効化のための措置について、医
利用者アカウントや機能が通常時に悪
手順の策定
療機関等と合意する。
用される。
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内
容の整理を行い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通
常時への復旧に向けた計画を含めること。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし
使用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
-
①
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし使
用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
-
システム運用編
④-2
非常時に用いる利用者アカウントの利用状況
◎
については定期的にレビューを行う。
④-3
非常時に用いる利用者アカウントが利用され
た場合、システム管理者及び運用者がこれを
11.システム運用管理(通常
時・非常時等)
【遵守事項】
編
11.システム運用管
理(通常時・非常時
等)
ように変更すること。
-
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡
手段や紙での運用等の代替手段を準備すること。
-
(「~~論理的/物理的に構成分割されたネットワークを整備すること。」を加
筆)
-
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソ
うに変更すること。
フトウェアの混入による影響が波及しない手段で管理するとともに、バックアップか
-
らの重要なファイルの復元手順を整備すること。
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡手
段や紙での運用等の代替手段を準備すること。
-
サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成分割された
ネットワークを整備すること。
-
◎
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができないよ
システム運用
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができない
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフ
トウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの
重要なファイルの復元手順を整備すること。
速やかに確認できるための措置を講じる。
12/39
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
1.10. 非常時に備えた対
No.
①-2
対策項目で対応できる
内容
業務プロセス間の相互関係を評価する。
区分
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
◎
-
応
①-3
事業を継続するための業務プロセスの優先順
医療情報システム等に発生するハードウェア
サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成分割された
ネットワークを整備すること。
◎
-
位を明確にする。
①-4
内容
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフ
トウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの
重要なファイルの復元手順を整備すること。
◎
及びソフトウェアの障害が業務プロセスに与
える影響について識別する。
①-5
医療情報システム等に発生するハードウェア
◎
及びソフトウェアの障害が他のハードウェ
ア、ソフトウェアに及ぼす影響、相互作用に
ついて認識し、影響度の大きなハードウェア
及びソフトウェアを識別する。
②医療情報システム等
②-1
医療情報システム等の提供における医療機関
の提供に係る事業継続
等が想定する医療の継続性の観点を入れて、
のための計画策定と模
医療情報処理に関する事業継続計画を策定す
擬試験等による検証
る。
◎
災害発生時に、医療情報システム等を
最大許容停止時間内に復旧できない。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし
使用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
-
システム運用
編
11.システム運用管
理(通常時・非常時
等)
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができない
ように変更すること。
-
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡
手段や紙での運用等の代替手段を準備すること。
-
(「~~論理的/物理的に構成分割されたネットワークを整備すること。」を加
筆)
-
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソ
フトウェアの混入による影響が波及しない手段で管理するとともに、バックアップか
らの重要なファイルの復元手順を整備すること。
②-2
策定した事業継続計画について模擬試験を含
◎
めた適切な方法でレビューする。
②-3
事業継続計画について定期的に見直しを行
策定される事業継続計画には次のような事項
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし使
用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
◎
-
う。
②-4
①
システム運用編
〇
11.システム運用管理(通常
時・非常時等)
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができないよ
うに変更すること。
【遵守事項】
-
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡手
段や紙での運用等の代替手段を準備すること。
を含むことが望ましい。
-
・ 事前準備計画
サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成分割された
ネットワークを整備すること。
・ 「非常時」判断手順
-
・ 関係者の召集、対応本部の設置
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフ
トウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの
・ 機器及び作業員の縮退措置及び代替施設の
重要なファイルの復元手順を整備すること。
手配措置
・バックアップ施設等、代替施設への切替え
措置
・ 代替施設運用中の考慮事項(非常時アカウ
ントの運用手順、復帰後に医療情報を正常シ
ステムに同期するための配慮等)
・障害の拡大範囲に関する判断手順、基準
・正常復帰の判断手順、基準
・正常復帰後の医療情報システム等の点検手
順(不正侵入、情報改竄、情報破損等の検出
等)
・ 所管官庁への連絡体制、等
②-5
策定した事業継続計画に基づくサービス内容
◎
について、医療機関等と合意する。
③医療情報システム等
③-1
非常時に行ったデータ処理の結果が、サービ
◎
非常時の代替手段で処理した情報が医
復旧後における整合性
ス回復後に齟齬が生じないよう、データの整
療情報システム等復旧後に正しく処理
確保
合性を確保するための対応策(規約の策定・
できない。
11.非常時(災害、サイバー
企画管理編
検証方法の規定等)を講じる。
④非常時用の利用者ア
④-1
非常時に用いる利用者アカウント及び非常時
攻撃、システム障害)対応と
①
【遵守事項】
BCP 策定
◎
11.非常時(災害、
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容
の整理を行い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時
企画管理編
への復旧に向けた計画を含めること。
サイバー攻撃、システ
ム障害)対応とBCP策
定
非常時用のアクセス制限が緩和された
カウントや機能の管理
用の機能の有効化のための措置について、医
利用者アカウントや機能が通常時に悪
手順の策定
療機関等と合意する。
用される。
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内
容の整理を行い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通
常時への復旧に向けた計画を含めること。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし
使用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
-
①
非常時の医療情報システムの運用について、次に掲げる対策を実施すること。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするとともに、もし使
用された場合に使用されたことが検知できるよう、適切に管理及び監査すること。
-
システム運用編
④-2
非常時に用いる利用者アカウントの利用状況
◎
については定期的にレビューを行う。
④-3
非常時に用いる利用者アカウントが利用され
た場合、システム管理者及び運用者がこれを
11.システム運用管理(通常
時・非常時等)
【遵守事項】
編
11.システム運用管
理(通常時・非常時
等)
ように変更すること。
-
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡
手段や紙での運用等の代替手段を準備すること。
-
(「~~論理的/物理的に構成分割されたネットワークを整備すること。」を加
筆)
-
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソ
うに変更すること。
フトウェアの混入による影響が波及しない手段で管理するとともに、バックアップか
-
らの重要なファイルの復元手順を整備すること。
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先への連絡手
段や紙での運用等の代替手段を準備すること。
-
サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成分割された
ネットワークを整備すること。
-
◎
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができないよ
システム運用
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用ができない
重要なファイルは数世代バックアップを複数の方式で確保し、その一部は不正ソフ
トウェアの混入による影響が波及しない手段で管理するとともに、バックアップからの
重要なファイルの復元手順を整備すること。
速やかに確認できるための措置を講じる。
12/39