よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (13 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
④-4
非常時に有効化した利用者アカウント及び非
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
常時用の機能については、正常復帰後、速や
かに無効化を図る。
1.11. サイバー攻撃等に
①サイバー攻撃等によ
①-1
よる障害発生時の対応
る障害発生時の医療機
障が生じた場合において、サービスに生じて
められる関係者及び所管官庁への速や
関等への速やかな状況
いる障害の状況及び復旧に関する見通し等に
かな報告が実施できないことで、必要
報告
ついて、医療機関等に速やかに報告を行う。
な措置が講じられない。
①-2
サイバー攻撃等により、サービスの提供に支
サイバー攻撃等により、サービスの提供に支
◎
サイバー攻撃発生時に医療機関等に求
企画管理編
◎
障が生じた場合において、医療機関等が行う
必要のある所管官庁への連絡・報告のために
提供する資料の範囲、条件等について、医療
機関と合意する。サイバー攻撃、その他医療
⑦
機関等における危機管理対応時において、対
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個
個人情報の漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案
人情報の漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であ
象事業者が医療機関等と医療情報システム等
ると判断された場合には、「医療機関等におけるサイバーセキュリティ対策の強化につ
に関して委託契約を締結している場合、対象
企画管理編
事業者は、医療機関等への危機管理対応内容
12.サイバーセキュリティ
【遵守事項】
12.サイバーセキュ
いて」(平成30年10月29日付け医政総発1029第1号・医政地発1029第3号・医政研発
リティ
1029第1号厚生労働省医政局関係課長連名通知)に基づき、所管官庁への連絡等の必要
に応じて構築すべき体制(事業者内の危機対
な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医
応体制の構築の要否や責任者等)やその内容
であると判断された場合には、「医療機関等におけるサイバーセキュリティ対策の強
化について」(医政総発1029 第1号
医政地発1029 第3号
医政研発1029 第1号
平成30年10月29日)に基づき、所管官庁への連絡等、必要な対応を行うほか、その
ための体制を整備すること。また上記に関わらず、医療情報システムに障害が発生し
療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
(情報提供方法、役割分担の設定の必要性の
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、
た場合も、必要に応じて所管官庁への連絡を行うこと。
判断等)等を運用管理規程に定める。
①-3
医療機関等が所管官庁に対して法令に基づき
◎
提出する資料を円滑に提出できるよう、サー
ビスの提供に用いるアプリケーション、プ
ラットフォーム、サーバ・ストレージ等は国
内法の執行が及ぶ場所に設置する。
②サイバー攻撃等によ
②-1
サイバー攻撃等により、サービスの提供に支
る原因調査のためのロ
障が生じた場合に、その原因探査に必要なロ
グ等の記録の保全
グ等の記録を保全するための措置を講じる。
①外部と医療情報を交
①-1
ネットワーク経路におけるウイルスや不正な
◎
サイバー攻撃発生後にログ等を用いた
被害範囲や原因調査が困難となる。
◎
他の事業者及び医療機関等との間で責
換する際の責任範囲・
メッセージの混入等の改竄に対する防護措置
任範囲の認識の相違が生じることで、
役割の合意
に関する受託事業者の役割の範囲について、
本来必要な対策が通信回線のいずれの
医療機関等と合意する。
箇所でも講じられない。
①-2
ネットワーク経路におけるウイルスや不正な
システム運用編
13.ネットワークに関する安
全管理措置
【遵守事項】
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び中
間者攻撃等を防止する対策を実施すること。
システム運用
編
◎
メッセージの混入等の改竄に対する防護措置
システム運用編
に関する受託事業者の役割の範囲について、
13.ネットワークに関する安
全管理措置
【遵守事項】
⑩
13.ネットワークに
関する安全管理措置
13.ネットワークに
施設間の経路上においてクラッカーによるパスワード盗聴、本文の盗聴を防止する
関する安全管理措置
対策を実施すること。
医療機関等と合意する。
①-3
ネットワークで用いられる医療機関等の施設
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び
中間者攻撃等を防止する対策を実施すること。
⑩
施設間の経路上においてクラッカーによるパスワード盗聴、本文の盗聴を防止す
る対策を実施すること。
◎
内のルータについて、これを経由して施設間
⑤
を結ぶVPNの間で送受信ができないように経
路設定すること等に関する受託事業者の役割
システム運用編
分担について、医療機関等と合意する。
13.ネットワークに関する安
全管理措置
ルータ等のネットワーク機器について、安全性が確認できる機器を利用し、不正な
機器の接続や不正なデータやソフトウェアの混入が生じないよう、セキュリティ対策を
【遵守事項】
実施すること。
企画管理編
特にVPN接続による場合は、施設内のルータを経由して異なる施設間を結ぶ通信経路の
3.安全管理のための
⑨
患者等や医療情報システムの利用者からの苦情や質問への対応を行うための体制
体制と責任・権限
を構築すること。
間で送受信ができないように経路を設定すること。
①-4
回線の管理、品質等に対する受託事業者の管
◎
理責任の所在や管理方法について、医療機関
④
等と合意する。
企画管理編
2.責任分界
【遵守事項】
④
委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情
報システム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決
企画管理編
めること。
①-5
通常運用時及び非常時の医療機関等と受託事
2.責任分界
委託先事業者等との責任分界を行う際に、委託先事業者が提供する医療情報シス
テム・サービスの内容を踏まえて、安全管理に関する役割の分担について、取り決め
ること。
◎
業者との起点から終点までの通信手順、その
他医療情報システムの安全管理に関するガイ
ドライン
システム運用編「13.ネット
ワークに関する安全管理措置」に定めるネッ
⑤
トワーク経路及びこれに関連する機器等に係
企画管理編
管理責任の所在や管理方法について、医療機
2.責任分界
【遵守事項】
交換する情報の機密レベルについて、受領側
2.責任分界
【遵守事項】
⑥
割分担なども含めて、責任分界の設定に漏れがないよう留意すること。
第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分
担を含めて取り決めること。
企画管理編
任、管理責任等に関し、受託事業者が負う管
2.責任分界
◎
企画管理編
◎
⑥
企画管理編
15.技術的な安全管理対策の
管理
⑩
【遵守事項】
医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理
し、必要に応じて、改善措置を講じること。品質の管理方法については、担当者と協働
して検討すること。
理責任の所在や管理方法について、医療機関
等と合意する。
13/39
第三者提供を行う際の責任分界について、技術的な内容と手続的な役割を含めて
取り決めること。
⑩
等と合意する。
医療機関等の管理者の患者等に対する説明責
等、関与する者への管理なども責任分界の取決めに含めること。さらに、責任分界の
取決めに際しては、委託先事業者となる医療情報システム・サービス事業者間での役
で機密レベルが低くならないよう、医療機関
①-7
2.責任分界
と。
企画管理編
①-6
企画管理編
委託先事業者間での役割分担なども含めて、取決め内容に漏れがないよう留意するこ
関等と合意する。
責任範囲・役割の合意
の管理なども責任分界の取決めに含めること。さらに、責任分界の取決めに際しては、
委託先事業者等において複数の当事者が関与する場合には、その関係を整理し、
医療機関等が直接、責任分界を取り決める相手方を特定すること。また複数当事者
療機関等が直接責任分界を取り決める相手方を特定すること。また、関与する関係者へ
る責任の所在を明確にし、受託事業者の負う
1.12. ネットワーク上の
⑤
委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医
医療情報システムで用いるシステム、サービス、情報機器等の品質に関する安全
15.技術的な安全管
管理について、システム、サービス、情報機器等の品質を定期的に管理し、必要に応
理対策の管理
じて、改善措置を講じること。品質の管理及び確認方法については、担当者と協働し
て検討すること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
④-4
非常時に有効化した利用者アカウント及び非
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
常時用の機能については、正常復帰後、速や
かに無効化を図る。
1.11. サイバー攻撃等に
①サイバー攻撃等によ
①-1
よる障害発生時の対応
る障害発生時の医療機
障が生じた場合において、サービスに生じて
められる関係者及び所管官庁への速や
関等への速やかな状況
いる障害の状況及び復旧に関する見通し等に
かな報告が実施できないことで、必要
報告
ついて、医療機関等に速やかに報告を行う。
な措置が講じられない。
①-2
サイバー攻撃等により、サービスの提供に支
サイバー攻撃等により、サービスの提供に支
◎
サイバー攻撃発生時に医療機関等に求
企画管理編
◎
障が生じた場合において、医療機関等が行う
必要のある所管官庁への連絡・報告のために
提供する資料の範囲、条件等について、医療
機関と合意する。サイバー攻撃、その他医療
⑦
機関等における危機管理対応時において、対
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個
個人情報の漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案
人情報の漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であ
象事業者が医療機関等と医療情報システム等
ると判断された場合には、「医療機関等におけるサイバーセキュリティ対策の強化につ
に関して委託契約を締結している場合、対象
企画管理編
事業者は、医療機関等への危機管理対応内容
12.サイバーセキュリティ
【遵守事項】
12.サイバーセキュ
いて」(平成30年10月29日付け医政総発1029第1号・医政地発1029第3号・医政研発
リティ
1029第1号厚生労働省医政局関係課長連名通知)に基づき、所管官庁への連絡等の必要
に応じて構築すべき体制(事業者内の危機対
な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医
応体制の構築の要否や責任者等)やその内容
であると判断された場合には、「医療機関等におけるサイバーセキュリティ対策の強
化について」(医政総発1029 第1号
医政地発1029 第3号
医政研発1029 第1号
平成30年10月29日)に基づき、所管官庁への連絡等、必要な対応を行うほか、その
ための体制を整備すること。また上記に関わらず、医療情報システムに障害が発生し
療情報システムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
(情報提供方法、役割分担の設定の必要性の
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、
た場合も、必要に応じて所管官庁への連絡を行うこと。
判断等)等を運用管理規程に定める。
①-3
医療機関等が所管官庁に対して法令に基づき
◎
提出する資料を円滑に提出できるよう、サー
ビスの提供に用いるアプリケーション、プ
ラットフォーム、サーバ・ストレージ等は国
内法の執行が及ぶ場所に設置する。
②サイバー攻撃等によ
②-1
サイバー攻撃等により、サービスの提供に支
る原因調査のためのロ
障が生じた場合に、その原因探査に必要なロ
グ等の記録の保全
グ等の記録を保全するための措置を講じる。
①外部と医療情報を交
①-1
ネットワーク経路におけるウイルスや不正な
◎
サイバー攻撃発生後にログ等を用いた
被害範囲や原因調査が困難となる。
◎
他の事業者及び医療機関等との間で責
換する際の責任範囲・
メッセージの混入等の改竄に対する防護措置
任範囲の認識の相違が生じることで、
役割の合意
に関する受託事業者の役割の範囲について、
本来必要な対策が通信回線のいずれの
医療機関等と合意する。
箇所でも講じられない。
①-2
ネットワーク経路におけるウイルスや不正な
システム運用編
13.ネットワークに関する安
全管理措置
【遵守事項】
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び中
間者攻撃等を防止する対策を実施すること。
システム運用
編
◎
メッセージの混入等の改竄に対する防護措置
システム運用編
に関する受託事業者の役割の範囲について、
13.ネットワークに関する安
全管理措置
【遵守事項】
⑩
13.ネットワークに
関する安全管理措置
13.ネットワークに
施設間の経路上においてクラッカーによるパスワード盗聴、本文の盗聴を防止する
関する安全管理措置
対策を実施すること。
医療機関等と合意する。
①-3
ネットワークで用いられる医療機関等の施設
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び
中間者攻撃等を防止する対策を実施すること。
⑩
施設間の経路上においてクラッカーによるパスワード盗聴、本文の盗聴を防止す
る対策を実施すること。
◎
内のルータについて、これを経由して施設間
⑤
を結ぶVPNの間で送受信ができないように経
路設定すること等に関する受託事業者の役割
システム運用編
分担について、医療機関等と合意する。
13.ネットワークに関する安
全管理措置
ルータ等のネットワーク機器について、安全性が確認できる機器を利用し、不正な
機器の接続や不正なデータやソフトウェアの混入が生じないよう、セキュリティ対策を
【遵守事項】
実施すること。
企画管理編
特にVPN接続による場合は、施設内のルータを経由して異なる施設間を結ぶ通信経路の
3.安全管理のための
⑨
患者等や医療情報システムの利用者からの苦情や質問への対応を行うための体制
体制と責任・権限
を構築すること。
間で送受信ができないように経路を設定すること。
①-4
回線の管理、品質等に対する受託事業者の管
◎
理責任の所在や管理方法について、医療機関
④
等と合意する。
企画管理編
2.責任分界
【遵守事項】
④
委託先事業者等と責任分界の取決めを行う際には、委託先事業者が提供する医療情
報システム・サービスの内容を踏まえて、安全管理に関する役割分担についても取り決
企画管理編
めること。
①-5
通常運用時及び非常時の医療機関等と受託事
2.責任分界
委託先事業者等との責任分界を行う際に、委託先事業者が提供する医療情報シス
テム・サービスの内容を踏まえて、安全管理に関する役割の分担について、取り決め
ること。
◎
業者との起点から終点までの通信手順、その
他医療情報システムの安全管理に関するガイ
ドライン
システム運用編「13.ネット
ワークに関する安全管理措置」に定めるネッ
⑤
トワーク経路及びこれに関連する機器等に係
企画管理編
管理責任の所在や管理方法について、医療機
2.責任分界
【遵守事項】
交換する情報の機密レベルについて、受領側
2.責任分界
【遵守事項】
⑥
割分担なども含めて、責任分界の設定に漏れがないよう留意すること。
第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分
担を含めて取り決めること。
企画管理編
任、管理責任等に関し、受託事業者が負う管
2.責任分界
◎
企画管理編
◎
⑥
企画管理編
15.技術的な安全管理対策の
管理
⑩
【遵守事項】
医療情報システムで用いるシステム、サービス、情報機器等の品質を適切に管理
し、必要に応じて、改善措置を講じること。品質の管理方法については、担当者と協働
して検討すること。
理責任の所在や管理方法について、医療機関
等と合意する。
13/39
第三者提供を行う際の責任分界について、技術的な内容と手続的な役割を含めて
取り決めること。
⑩
等と合意する。
医療機関等の管理者の患者等に対する説明責
等、関与する者への管理なども責任分界の取決めに含めること。さらに、責任分界の
取決めに際しては、委託先事業者となる医療情報システム・サービス事業者間での役
で機密レベルが低くならないよう、医療機関
①-7
2.責任分界
と。
企画管理編
①-6
企画管理編
委託先事業者間での役割分担なども含めて、取決め内容に漏れがないよう留意するこ
関等と合意する。
責任範囲・役割の合意
の管理なども責任分界の取決めに含めること。さらに、責任分界の取決めに際しては、
委託先事業者等において複数の当事者が関与する場合には、その関係を整理し、
医療機関等が直接、責任分界を取り決める相手方を特定すること。また複数当事者
療機関等が直接責任分界を取り決める相手方を特定すること。また、関与する関係者へ
る責任の所在を明確にし、受託事業者の負う
1.12. ネットワーク上の
⑤
委託先事業者等において複数の関係者が関与する場合には、その関係を整理し、医
医療情報システムで用いるシステム、サービス、情報機器等の品質に関する安全
15.技術的な安全管
管理について、システム、サービス、情報機器等の品質を定期的に管理し、必要に応
理対策の管理
じて、改善措置を講じること。品質の管理及び確認方法については、担当者と協働し
て検討すること。