よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (19 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-2
機器、媒体等の設置場所等のセキュリティ境
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
界について、施錠管理を行う。
企画管理編
①-3
サーバ等を格納するラック等について、施錠
15.技術的な安全管理対策の
管理
【遵守事項】
③
記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な
保管及び取扱いを行うよう関係者に周知徹底す
◎
管理を行う。
①-4
媒体等を格納するキャビネット等について、
◎
施錠管理を行う。
①-5
電子媒体を保存するキャビネット等には十分
システム運用編
12.1 サーバルーム等の物
理的要件
【遵守事項】
医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックな
どについては、施錠管理されていることが求められる。
◎
な安全強度を持つ物理的施錠装置を設け、鍵
管理について十分に配慮する。
①-6
データセンターを運営する外部事業者が、自
◎
社専有の建物と同等な安全管理策を実施する
等、受託事業者の管理外にある者の物理的な
不正操作に対する十分な安全性が確保されて
いることを確認する。
①-7
医療情報システム等の設置されるサーバラッ
◎
クには施錠を行い、定められた受託事業者の
職員以外が鍵を扱わないよう、確実な鍵管理
システム運用編
を行う。
①-8
受託事業者が医療情報システム等の設置され
12.1 サーバルーム等の物
理的要件
【遵守事項】
医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックな
どについては、施錠管理されていることが求められる。
◎
るサーバラックを解錠して行う作業について
は、作業者、作業開始時刻、作業終了時刻、
作業内容等について記録する。
①-9
データセンターを運営する外部事業者がサー
◎
バラックを解錠して作業を行う場合には、事
前連絡を原則とし、医療情報システム等、医
療情報に影響を与えないことを確認する。
①-10
医療情報システム等であることが、同じデー
◎
タセンター内に立ち入る他事業者にわからな
いよう、扱う情報の種類、システムの機能等
が識別できるような情報を外部から見える状
態にしない。
①-11
医療情報システム等の設置されるサーバラッ
〇
クの施錠装置については、ハードウェアトー
クン又は ICカード等の認証デバイス、暗証番
号(PIN)、パスワード等の記憶要素、生体
情報(バイオメトリクス)等を組み合わせる
ことが望ましい。
①-12
受託事業者の管理外にある者の不正なアクセ
◎
スに対する十分な安全性が確保されているこ
とを確認する。
①-13
機器や媒体の保存場所(ラック、保管庫含
◎
む)の外部から、取り扱う情報の種類、シス
テムの機能等が識別できるような情報が見え
ないようにする。
①-14
①-1~①-13につき、運用管理規程等に規定す
◎
る。
19/39
システム運用 12.物理的安全管理
③
編
と。
措置
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-2
機器、媒体等の設置場所等のセキュリティ境
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
界について、施錠管理を行う。
企画管理編
①-3
サーバ等を格納するラック等について、施錠
15.技術的な安全管理対策の
管理
【遵守事項】
③
記録媒体及び記録機器の保管及び取扱いについて、運用管理規程を作成し、適切な
保管及び取扱いを行うよう関係者に周知徹底す
◎
管理を行う。
①-4
媒体等を格納するキャビネット等について、
◎
施錠管理を行う。
①-5
電子媒体を保存するキャビネット等には十分
システム運用編
12.1 サーバルーム等の物
理的要件
【遵守事項】
医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックな
どについては、施錠管理されていることが求められる。
◎
な安全強度を持つ物理的施錠装置を設け、鍵
管理について十分に配慮する。
①-6
データセンターを運営する外部事業者が、自
◎
社専有の建物と同等な安全管理策を実施する
等、受託事業者の管理外にある者の物理的な
不正操作に対する十分な安全性が確保されて
いることを確認する。
①-7
医療情報システム等の設置されるサーバラッ
◎
クには施錠を行い、定められた受託事業者の
職員以外が鍵を扱わないよう、確実な鍵管理
システム運用編
を行う。
①-8
受託事業者が医療情報システム等の設置され
12.1 サーバルーム等の物
理的要件
【遵守事項】
医療情報の記録媒体や医療情報システムが格納されるキャビネットやシステムラックな
どについては、施錠管理されていることが求められる。
◎
るサーバラックを解錠して行う作業について
は、作業者、作業開始時刻、作業終了時刻、
作業内容等について記録する。
①-9
データセンターを運営する外部事業者がサー
◎
バラックを解錠して作業を行う場合には、事
前連絡を原則とし、医療情報システム等、医
療情報に影響を与えないことを確認する。
①-10
医療情報システム等であることが、同じデー
◎
タセンター内に立ち入る他事業者にわからな
いよう、扱う情報の種類、システムの機能等
が識別できるような情報を外部から見える状
態にしない。
①-11
医療情報システム等の設置されるサーバラッ
〇
クの施錠装置については、ハードウェアトー
クン又は ICカード等の認証デバイス、暗証番
号(PIN)、パスワード等の記憶要素、生体
情報(バイオメトリクス)等を組み合わせる
ことが望ましい。
①-12
受託事業者の管理外にある者の不正なアクセ
◎
スに対する十分な安全性が確保されているこ
とを確認する。
①-13
機器や媒体の保存場所(ラック、保管庫含
◎
む)の外部から、取り扱う情報の種類、シス
テムの機能等が識別できるような情報が見え
ないようにする。
①-14
①-1~①-13につき、運用管理規程等に規定す
◎
る。
19/39
システム運用 12.物理的安全管理
③
編
と。
措置
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ