よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (18 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
小項目
No.
内容
区分
リスクシナリオ例
①機器や媒体の設置場
①-1
機器や媒体の設置場所等のセキュリティ境界
◎
許可された者以外が機器や媒体に直接
大項目
2.1. 入退管理
対策項目で対応できる
所への認証や入退管理
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
アクセスする。
への入退管理については、個人認証システム
等による制御に基づいて行い、入退者の特定
企画管理編
ができるようにする。これによることが難し
い場合には、例えば、入退に必要な暗証番号
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
企画管理編
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
等の変更を週単位で行う等、入退者を特定し
うる方策を講じる
②
システム運用編
12.物理的安全管理措置
【遵守事項】
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
メラ、自動侵入監視装置等が設置されていることを確認すること。
システム運用編
①-2
機器や媒体の設置場所については、許可され
12.物理的安全管理措置
【遵守事項】
③
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
と。
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
システム運用 12.物理的安全管理
③
編
と。
措置
企画管理編
医療情報システム等を設置、医療情報を保管
企画管理編
◎
15.技術的な安全管理対策の
管理
【遵守事項】
②
15.技術的な安全管
理対策の管理
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
付、機械式の認証装置のいずれか、あるいは
企画管理編
双方を設置して、入退館及び入退室者の確実
な認証を行う。
有人受付を置かずに機械式の認証装置により
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
する部屋の出入りを制限するため、有人の受
①-4
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
◎
た者のみが入退できるように制限する。
①-3
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
◎
入退室者を管理する場合には、生体認証を一
つ以上含む複数要素を利用した認証装置を利
用する。
①-5
有人受付、機械式入退管理のいずれの場合も
◎
認証履歴を取得し、定期的に履歴を検証し
て、不審な活動が無いことを確認する。
①-6
受託事業者の職員の業務に応じて執務室内に
◎
②
滞在できる時間を指定する。
①-7
機械式の認証装置で利用する認証要素として
システム運用編
12.物理的安全管理措置
【遵守事項】
〇
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
メラ、自動侵入監視装置等が設置されていることを確認すること。
は、ハードウェアトークン又は IC カード等
の認証デバイス、暗証番号(PIN )、パス
ワード等の記憶要素、生体情報(バイオメト
リクス)等を組み合わせることが望ましい。
①-8
機器や媒体の設置場所への入退状況の管理
◎
(入退記録のレビュー含む)は定期的に行
う。
2.2. 施錠管理・鍵管理
①サーバラックやキャ
①-1
受託事業者の専有する領域に医療情報システ
ビネットの施錠管理・
ム等を設置する場合には、以下に示す物理的
鍵管理
安全管理策を施す。外部事業者が運用する
◎
サーバラックやキャビネット内の機器
や媒体の紛失・盗難が生じる。
データセンター及びサーバ環境(専有サー
バ、仮想プライベートサーバ等)を利用する
場合においても、同等の措置がとられている
ことを確認する。
企画管理編
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
・ 医療情報が保存されるサーバ機器等への不
正アクセスを防止するため、サーバラックの
施錠管理、鍵管理を行う。
18/39
企画管理編
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
小項目
No.
内容
区分
リスクシナリオ例
①機器や媒体の設置場
①-1
機器や媒体の設置場所等のセキュリティ境界
◎
許可された者以外が機器や媒体に直接
大項目
2.1. 入退管理
対策項目で対応できる
所への認証や入退管理
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
アクセスする。
への入退管理については、個人認証システム
等による制御に基づいて行い、入退者の特定
企画管理編
ができるようにする。これによることが難し
い場合には、例えば、入退に必要な暗証番号
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
企画管理編
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
等の変更を週単位で行う等、入退者を特定し
うる方策を講じる
②
システム運用編
12.物理的安全管理措置
【遵守事項】
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
メラ、自動侵入監視装置等が設置されていることを確認すること。
システム運用編
①-2
機器や媒体の設置場所については、許可され
12.物理的安全管理措置
【遵守事項】
③
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
と。
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
システム運用 12.物理的安全管理
③
編
と。
措置
企画管理編
医療情報システム等を設置、医療情報を保管
企画管理編
◎
15.技術的な安全管理対策の
管理
【遵守事項】
②
15.技術的な安全管
理対策の管理
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
付、機械式の認証装置のいずれか、あるいは
企画管理編
双方を設置して、入退館及び入退室者の確実
な認証を行う。
有人受付を置かずに機械式の認証装置により
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
する部屋の出入りを制限するため、有人の受
①-4
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
◎
た者のみが入退できるように制限する。
①-3
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
◎
入退室者を管理する場合には、生体認証を一
つ以上含む複数要素を利用した認証装置を利
用する。
①-5
有人受付、機械式入退管理のいずれの場合も
◎
認証履歴を取得し、定期的に履歴を検証し
て、不審な活動が無いことを確認する。
①-6
受託事業者の職員の業務に応じて執務室内に
◎
②
滞在できる時間を指定する。
①-7
機械式の認証装置で利用する認証要素として
システム運用編
12.物理的安全管理措置
【遵守事項】
〇
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
メラ、自動侵入監視装置等が設置されていることを確認すること。
は、ハードウェアトークン又は IC カード等
の認証デバイス、暗証番号(PIN )、パス
ワード等の記憶要素、生体情報(バイオメト
リクス)等を組み合わせることが望ましい。
①-8
機器や媒体の設置場所への入退状況の管理
◎
(入退記録のレビュー含む)は定期的に行
う。
2.2. 施錠管理・鍵管理
①サーバラックやキャ
①-1
受託事業者の専有する領域に医療情報システ
ビネットの施錠管理・
ム等を設置する場合には、以下に示す物理的
鍵管理
安全管理策を施す。外部事業者が運用する
◎
サーバラックやキャビネット内の機器
や媒体の紛失・盗難が生じる。
データセンター及びサーバ環境(専有サー
バ、仮想プライベートサーバ等)を利用する
場合においても、同等の措置がとられている
ことを確認する。
企画管理編
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
・ 医療情報が保存されるサーバ機器等への不
正アクセスを防止するため、サーバラックの
施錠管理、鍵管理を行う。
18/39
企画管理編
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。