よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (2 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
1. 人的・組織的対策
1.1. 規程・手順の策定
①アクセス管理規程の
企画管理編
策定
医療情報システム等へのアクセス制限、記
4.医療情報システムの安全管
録、点検等を定めたアクセス管理規程を作成
①-1
し、医療機関等の求めに応じて提出できる状
1.管理体系
◎
態にしておく。
権限のない第三者や内部不正による不
企画管理編
理において必要な規程・文書類
【遵守事項】
4.医療情報システムの安全管
企画管理編
理において必要な規程・文書類
組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医
療情報システムの安全管理に関する方針を策定し、経営層の承認を得ること。
【遵守事項】
①
療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するため
に必要な規程等の整備を行い、経営層の承認を取ること。
の整備
正な閲覧や操作が行われる。
⑤
②
【遵守事項】
企画管理編
4.医療情報の安全管
企画管理編
4.医療情報の安全管
企画管理編
の整備
①-2
アクセス管理規程には以下の内容を含める。
理において必要な規
程・文書類の整備
規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うため
に必要な規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
1.管理体系
理において必要な規
程・文書類の整備
⑤
組織における情報セキュリティ方針、医療情報の取扱い・保護に関する方針及び
医療情報システムの安全管理に関する方針を策定し、経営層の承認を得ること。
①
医療機関等が医療情報の安全な取扱いに関して定める各種方針等を実現するのに
必要な規程等の整備を行い、経営層の承認を取ること。
②
規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うの
に必要な規則類の整備を行うこと。規則類は必要に応じて、適宜見直しを行うこと。
◎
・アクセス権限、アカウント管理における登
録申請、変更申請、廃棄申請、及びそれらの
承認、定期的な検証プロセス
・認証及びアクセス等に対する記録の収集と
保存
企画管理編
・認証及びアクセス等に対する記録の定期的
なレビュー
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権
限に関する規程を整備し、管理すること。
・アクセス管理の運用状況に関する定期的な
レビューの実施
持ち出した機器を外部のネットワークに接続
する場合の接続条件、安全管理措置等(格納
②持ち出した機器の外
部のネットワークに接
続する場合の対策の策
システム運用編
るための具体的な措置(不正プログラム対
◎
【遵守事項】
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領
時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認するこ
システム運用
と。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安全確認
編
を実施し、細心の注意を払って利用すること。
策の不十分なネットワークに接続する
スに対する安全管理措
置
①
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受
領時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認す
ること。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安
全確認を実施し、細心の注意を払って利用すること。
運用管理規程に含める。
④
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
④
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや他
③-1
CD-R 等の廃棄手順について定める。
◎
情報の廃棄が不十分なまま、再利用が
行われることで、情報漏洩が生じる。
③-2
ハードディスク等の廃棄手順について定め
◎
る。
③-3
破棄手順に、不可逆的な破壊・抹消等により
企画管理編
システム運用編
8.情報管理(管理、持ち出
し、破棄等)
システム運用 7.情報管理(管理・
他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナル
アウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならないような対
編
ファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならない
7.情報管理(管理・持出し・
破棄等)
⑪
【遵守事項】
こと。当該手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
⑨
破棄に関する規程を踏まえて、把握した情報種別ごとに具体的な破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法を
含めること。また情報の破棄については、企画管理者に報告すること。
持出し・破棄等)
ような対策を実施すること。
医療情報の破棄に関する手順等を定める際は、情報種別ごとに破棄の手順を定める
企画管理編
を含めること。
【遵守事項】
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや
の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナルファイ
策を実施すること。
③情報の廃棄対応
8.利用機器・サービ
ことで、不正プログラムへ感染する。
策、暗号化、ファイアウォール導入等))を
定
る安全管理措置
持ち出した機器を情報セキュリティ対
された情報の漏洩や改竄が生じないようにす
②-1
①
8.利用機器・サービスに対す
8.情報管理(管理、
持ち出し、破棄等)
システム運用 7.情報管理(管理・
編
持出し・破棄等)
⑪
医療情報の破棄に関する手順等を定める際に、情報種別ごとに破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
を含めること。
⑨
破棄に関する規程を踏まえて、把握した情報種別ごとに具体的な破棄の手順を定
めること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方
法を含めること。また情報の破棄については、企画管理者に報告すること。
◎
元のデータを復元できなくする措置を含め
る。
③-4
ハードディスク等を医療情報システム等内の
◎
別の機器で再利用する場合には、再利用前
に、複数回のデータ書き込みによる元データ
の消去等の確実な方法でデータを消去し、再
利用前に情報が消去されていることを確認す
る。
③-5
サーバ等の BIOS パスワード、ハードディス
◎
クパスワード等のハードウェアに対するパス
ワードを設定している場合には、それらを消
去する。
③-6
ハードディスクを機器に接続する際には、再
◎
利用であるかどうかに関わらず、検証用の機
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
⑩
情報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこと。ま
た、破棄終了後に、残存し、読み出し可能な医療情報がないことを確認すること。
器で不正なプログラム等が記録されていない
ことを検証する。
③-7
ハードディスクの廃棄については、再利用及
◎
びデータの読み出しが不可能となるよう、複
数回のデータ書き込みによる元データの消
去、強磁気によるデータ消去措置、物理的な
破壊措置(高温による融解、裁断等)等を適
用し、当該装置に実施した措置の概要の記録
(対象機器の形式、管理番号、作業担当者、
作業実施日時、作業内容等)について、医療
機関等の求めに応じ、速やかに提出できるよ
う整備する。
2/39
システム運用 7.情報管理(管理・
⑩
編
また、破棄終了後に、残存し、読み出し可能な医療情報がないことを確認すること。
持出し・破棄等)
情報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこと。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
1. 人的・組織的対策
1.1. 規程・手順の策定
①アクセス管理規程の
企画管理編
策定
医療情報システム等へのアクセス制限、記
4.医療情報システムの安全管
録、点検等を定めたアクセス管理規程を作成
①-1
し、医療機関等の求めに応じて提出できる状
1.管理体系
◎
態にしておく。
権限のない第三者や内部不正による不
企画管理編
理において必要な規程・文書類
【遵守事項】
4.医療情報システムの安全管
企画管理編
理において必要な規程・文書類
組織における情報セキュリティ方針、医療情報の取扱いや保護に関する方針及び医
療情報システムの安全管理に関する方針を策定し、経営層の承認を得ること。
【遵守事項】
①
療機関等が医療情報システムの安全管理に関して定める各種方針等を実現するため
に必要な規程等の整備を行い、経営層の承認を取ること。
の整備
正な閲覧や操作が行われる。
⑤
②
【遵守事項】
企画管理編
4.医療情報の安全管
企画管理編
4.医療情報の安全管
企画管理編
の整備
①-2
アクセス管理規程には以下の内容を含める。
理において必要な規
程・文書類の整備
規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うため
に必要な規則類の整備を行うこと。規則類は必要に応じて見直しを行うこと。
1.管理体系
理において必要な規
程・文書類の整備
⑤
組織における情報セキュリティ方針、医療情報の取扱い・保護に関する方針及び
医療情報システムの安全管理に関する方針を策定し、経営層の承認を得ること。
①
医療機関等が医療情報の安全な取扱いに関して定める各種方針等を実現するのに
必要な規程等の整備を行い、経営層の承認を取ること。
②
規程等に基づいて、医療情報の取扱いや医療情報システムの構築、運用を行うの
に必要な規則類の整備を行うこと。規則類は必要に応じて、適宜見直しを行うこと。
◎
・アクセス権限、アカウント管理における登
録申請、変更申請、廃棄申請、及びそれらの
承認、定期的な検証プロセス
・認証及びアクセス等に対する記録の収集と
保存
企画管理編
・認証及びアクセス等に対する記録の定期的
なレビュー
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権
限に関する規程を整備し、管理すること。
・アクセス管理の運用状況に関する定期的な
レビューの実施
持ち出した機器を外部のネットワークに接続
する場合の接続条件、安全管理措置等(格納
②持ち出した機器の外
部のネットワークに接
続する場合の対策の策
システム運用編
るための具体的な措置(不正プログラム対
◎
【遵守事項】
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領
時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認するこ
システム運用
と。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安全確認
編
を実施し、細心の注意を払って利用すること。
策の不十分なネットワークに接続する
スに対する安全管理措
置
①
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受
領時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認す
ること。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安
全確認を実施し、細心の注意を払って利用すること。
運用管理規程に含める。
④
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
④
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや他
③-1
CD-R 等の廃棄手順について定める。
◎
情報の廃棄が不十分なまま、再利用が
行われることで、情報漏洩が生じる。
③-2
ハードディスク等の廃棄手順について定め
◎
る。
③-3
破棄手順に、不可逆的な破壊・抹消等により
企画管理編
システム運用編
8.情報管理(管理、持ち出
し、破棄等)
システム運用 7.情報管理(管理・
他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナル
アウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならないような対
編
ファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならない
7.情報管理(管理・持出し・
破棄等)
⑪
【遵守事項】
こと。当該手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
⑨
破棄に関する規程を踏まえて、把握した情報種別ごとに具体的な破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法を
含めること。また情報の破棄については、企画管理者に報告すること。
持出し・破棄等)
ような対策を実施すること。
医療情報の破棄に関する手順等を定める際は、情報種別ごとに破棄の手順を定める
企画管理編
を含めること。
【遵守事項】
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや
の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナルファイ
策を実施すること。
③情報の廃棄対応
8.利用機器・サービ
ことで、不正プログラムへ感染する。
策、暗号化、ファイアウォール導入等))を
定
る安全管理措置
持ち出した機器を情報セキュリティ対
された情報の漏洩や改竄が生じないようにす
②-1
①
8.利用機器・サービスに対す
8.情報管理(管理、
持ち出し、破棄等)
システム運用 7.情報管理(管理・
編
持出し・破棄等)
⑪
医療情報の破棄に関する手順等を定める際に、情報種別ごとに破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法
を含めること。
⑨
破棄に関する規程を踏まえて、把握した情報種別ごとに具体的な破棄の手順を定
めること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方
法を含めること。また情報の破棄については、企画管理者に報告すること。
◎
元のデータを復元できなくする措置を含め
る。
③-4
ハードディスク等を医療情報システム等内の
◎
別の機器で再利用する場合には、再利用前
に、複数回のデータ書き込みによる元データ
の消去等の確実な方法でデータを消去し、再
利用前に情報が消去されていることを確認す
る。
③-5
サーバ等の BIOS パスワード、ハードディス
◎
クパスワード等のハードウェアに対するパス
ワードを設定している場合には、それらを消
去する。
③-6
ハードディスクを機器に接続する際には、再
◎
利用であるかどうかに関わらず、検証用の機
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
⑩
情報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこと。ま
た、破棄終了後に、残存し、読み出し可能な医療情報がないことを確認すること。
器で不正なプログラム等が記録されていない
ことを検証する。
③-7
ハードディスクの廃棄については、再利用及
◎
びデータの読み出しが不可能となるよう、複
数回のデータ書き込みによる元データの消
去、強磁気によるデータ消去措置、物理的な
破壊措置(高温による融解、裁断等)等を適
用し、当該装置に実施した措置の概要の記録
(対象機器の形式、管理番号、作業担当者、
作業実施日時、作業内容等)について、医療
機関等の求めに応じ、速やかに提出できるよ
う整備する。
2/39
システム運用 7.情報管理(管理・
⑩
編
また、破棄終了後に、残存し、読み出し可能な医療情報がないことを確認すること。
持出し・破棄等)
情報処理機器自体を破棄する場合、必ず専門的な知識を有するものが行うこと。