よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (20 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
対策項目で対応できる
大項目
小項目
No.
内容
区分
リスクシナリオ例
2.3. 不正な侵入の監視
①防犯カメラ等による
①-1
受託事業者の専有する領域に医療情報システ
◎
部外者の侵入への抑止や侵入による被
医療情報を処理する施
ム等を設置する場合には、以下に示す物理的
設内への侵入監視
安全管理策を施す。外部事業者が運用する
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
害範囲の特定が困難となる。
データセンター及びサーバ環境(専有サー
バ、仮想プライベートサーバ等)を利用する
場合においても、同等の措置がとられている
ことを確認する。
②
・ 傍受、盗撮等の不正な行為を防止するた
め、部屋を区切る壁面、天井、床部分におい
ては十分な厚みを持たせ、監視カメラでの常
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
時監視及び画像記録の保存、不正に取り付け
られた装置の定期的な検出等の対策を施す。
・ 建物、部屋に対する不正な物理的な侵入を
②
抑止するため、監視カメラ等の侵入検知装置
を導入する。
①-2
防犯カメラ等の監視映像は記録し、期間を定
システム運用編
12.物理的安全管理措置
【遵守事項】
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
メラ、自動侵入監視装置等が設置されていることを確認すること。
◎
めて管理を行い、必要に応じて事後参照でき
る措置を講じる。
①-3
機器、媒体等が物理的に保存されている場所
◎
に、監視カメラ等を設置し、その記録を保存
し、状況を確認することで、不正な入退者が
ないことを確認する。
①-4
サービスの運用・保守端末等を設置している
◎
区域は監視カメラ等により適切に監視を行
う。
②受託事業者の職員に
②-1
受託事業者の専有する領域での職務中におい
対する職員証等の着用
ては、職員の顔写真を券面に記録した受託事
の義務付け
業者の職員証を外部から目視で確認できる状
◎
対象事業者の職員と部外者の見分けが
付かず、侵入が容易となる。
態で携帯することを義務付け、受託事業者の
企画管理編
職員で無い者が領域内に立ち入っていた場合
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
企画管理編
15.技術的な安全管
理対策の管理
に識別できるようにしておく。
②-2
受託事業者の職員は、受託事業者の専有する
◎
した際には声掛け等を行い、身分を確認す
る。
職員証を紛失あるいは不正利用された疑いを
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
②
領域にて、受託事業者の職員で無い者を識別
②-3
②
②
システム運用編
◎
12.物理的安全管理措置
【遵守事項】
持った際には、ただちに管理者に連絡する、
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
メラ、自動侵入監視装置等が設置されていることを確認すること。
受託事業者の職員の退職時には確実に職員証
を回収・廃棄する等、職員証の厳密な発行及
び失効管理を行う。
2.4. バックアップ施設に ①バックアップ施設に
おける対策
①-1
医療機関等に提供する医療情報システム等の
対する物理的安全対策
継続に必要であれば、受託する医療情報の
の実施
バックアップ施設等、医療情報システム等を
◎
物理的安全対策が手薄となったバック
アップ施設へ侵入される。
継続するための代替情報処理施設を設置し、
企画管理編
それらの施設に対しても物理的安全対策を施
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
企画管理編
15.技術的な安全管
理対策の管理
す。
システム運用編
2.5. 個人所有物の持ち込 ①医療情報を処理する
み制限
①-1
施設内への個人所有物
医療情報処理施設内への業務遂行に関係のな
◎
い個人的所有物の持ち込みを制限する。
医療情報の窃取・破壊・改竄を目的と
した機器や媒体、機具等の持ち込みが
の持ち込み制限
生じる。
①-2
機器や媒体の設置場所には、業務遂行に関係
システム運用編
12.物理的安全管理措置
15.技術的な安全管理対策の
管理
【遵守事項】
【遵守事項】
◎
③
と。
②
システム運用編
12.物理的安全管理措置
【遵守事項】
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
①-1
防止用チェーン等の取
個人情報が存在するPC 等の重要な機器に
◎
は、盗難防止用チェーン等を取り付ける。
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
③
措置
と。
企画管理編
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
メラ、自動侵入監視装置等が設置されていることを確認すること。
2.6. 機器の盗難への対策 ①重要な機器への盗難
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
システム運用 12.物理的安全管理
編
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
②
のない個人的所有物の持ち込みを制限する。
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
②
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
個人情報が存在するPC等の重要な機器
が盗難される。
付
システム運用編
2.7. 覗き見への対策
①覗き見防止対策
①-1
医療情報等が表示される端末画面等がアクセ
ス権限の無いものが視野に入らないような対
◎
12.物理的安全管理措置
【遵守事項】
③
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
と。
アクセス権限の無い者に医療情報等が
表示される端末画面を覗き見される。
応(室内の機器レイアウト等)を行う。
20/39
システム運用 12.物理的安全管理
③
編
と。
措置
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
対策項目で対応できる
大項目
小項目
No.
内容
区分
リスクシナリオ例
2.3. 不正な侵入の監視
①防犯カメラ等による
①-1
受託事業者の専有する領域に医療情報システ
◎
部外者の侵入への抑止や侵入による被
医療情報を処理する施
ム等を設置する場合には、以下に示す物理的
設内への侵入監視
安全管理策を施す。外部事業者が運用する
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
害範囲の特定が困難となる。
データセンター及びサーバ環境(専有サー
バ、仮想プライベートサーバ等)を利用する
場合においても、同等の措置がとられている
ことを確認する。
②
・ 傍受、盗撮等の不正な行為を防止するた
め、部屋を区切る壁面、天井、床部分におい
ては十分な厚みを持たせ、監視カメラでの常
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
時監視及び画像記録の保存、不正に取り付け
られた装置の定期的な検出等の対策を施す。
・ 建物、部屋に対する不正な物理的な侵入を
②
抑止するため、監視カメラ等の侵入検知装置
を導入する。
①-2
防犯カメラ等の監視映像は記録し、期間を定
システム運用編
12.物理的安全管理措置
【遵守事項】
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
メラ、自動侵入監視装置等が設置されていることを確認すること。
◎
めて管理を行い、必要に応じて事後参照でき
る措置を講じる。
①-3
機器、媒体等が物理的に保存されている場所
◎
に、監視カメラ等を設置し、その記録を保存
し、状況を確認することで、不正な入退者が
ないことを確認する。
①-4
サービスの運用・保守端末等を設置している
◎
区域は監視カメラ等により適切に監視を行
う。
②受託事業者の職員に
②-1
受託事業者の専有する領域での職務中におい
対する職員証等の着用
ては、職員の顔写真を券面に記録した受託事
の義務付け
業者の職員証を外部から目視で確認できる状
◎
対象事業者の職員と部外者の見分けが
付かず、侵入が容易となる。
態で携帯することを義務付け、受託事業者の
企画管理編
職員で無い者が領域内に立ち入っていた場合
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
企画管理編
15.技術的な安全管
理対策の管理
に識別できるようにしておく。
②-2
受託事業者の職員は、受託事業者の専有する
◎
した際には声掛け等を行い、身分を確認す
る。
職員証を紛失あるいは不正利用された疑いを
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
②
領域にて、受託事業者の職員で無い者を識別
②-3
②
②
システム運用編
◎
12.物理的安全管理措置
【遵守事項】
持った際には、ただちに管理者に連絡する、
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
メラ、自動侵入監視装置等が設置されていることを確認すること。
受託事業者の職員の退職時には確実に職員証
を回収・廃棄する等、職員証の厳密な発行及
び失効管理を行う。
2.4. バックアップ施設に ①バックアップ施設に
おける対策
①-1
医療機関等に提供する医療情報システム等の
対する物理的安全対策
継続に必要であれば、受託する医療情報の
の実施
バックアップ施設等、医療情報システム等を
◎
物理的安全対策が手薄となったバック
アップ施設へ侵入される。
継続するための代替情報処理施設を設置し、
企画管理編
それらの施設に対しても物理的安全対策を施
15.技術的な安全管理対策の
管理
【遵守事項】
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
企画管理編
15.技術的な安全管
理対策の管理
す。
システム運用編
2.5. 個人所有物の持ち込 ①医療情報を処理する
み制限
①-1
施設内への個人所有物
医療情報処理施設内への業務遂行に関係のな
◎
い個人的所有物の持ち込みを制限する。
医療情報の窃取・破壊・改竄を目的と
した機器や媒体、機具等の持ち込みが
の持ち込み制限
生じる。
①-2
機器や媒体の設置場所には、業務遂行に関係
システム運用編
12.物理的安全管理措置
15.技術的な安全管理対策の
管理
【遵守事項】
【遵守事項】
◎
③
と。
②
システム運用編
12.物理的安全管理措置
【遵守事項】
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入退
①-1
防止用チェーン等の取
個人情報が存在するPC 等の重要な機器に
◎
は、盗難防止用チェーン等を取り付ける。
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
③
措置
と。
企画管理編
15.技術的な安全管
理対策の管理
②
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
退室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
医療機関等の施設外からの入力・参照等が可能な端末等についても同様である。
②
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設置
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
医療情報を保護する施設について、医療情報を格納する情報機器や記録媒体の設
場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づいて
システム運用 12.物理的安全管理
置場所等のセキュリティ境界への入退管理が、個人認証システム等による制御に基づ
行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、防犯カ
編
いて行われていることを確認すること。また建物、部屋への不正な侵入を防ぐため、
メラ、自動侵入監視装置等が設置されていることを確認すること。
2.6. 機器の盗難への対策 ①重要な機器への盗難
個人情報の保存場所及び入力・参照可能な端末等が設置されている区画等への入
システム運用 12.物理的安全管理
編
室管理(施錠、識別、記録)を行うよう、管理内容を含む規程等を策定すること。
②
のない個人的所有物の持ち込みを制限する。
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
②
措置
防犯カメラ、自動侵入監視装置等を設置されていることを確認すること。
個人情報が存在するPC等の重要な機器
が盗難される。
付
システム運用編
2.7. 覗き見への対策
①覗き見防止対策
①-1
医療情報等が表示される端末画面等がアクセ
ス権限の無いものが視野に入らないような対
◎
12.物理的安全管理措置
【遵守事項】
③
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ
と。
アクセス権限の無い者に医療情報等が
表示される端末画面を覗き見される。
応(室内の機器レイアウト等)を行う。
20/39
システム運用 12.物理的安全管理
③
編
と。
措置
個人情報が保管されている情報機器等の重要な情報機器には盗難防止を講じるこ