よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (21 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
No.
①-2
対策項目で対応できる
内容
個人情報の表示中の覗き見を予防するため
リスクシナリオ例
区分
システム運用編
策を行う。
①地震、水害、落雷、
①-1
機器や媒体を物理的に保存するための施設
編
項番
区分
内容
◎
に、端末に覗き見対策のシートを貼る等の対
2.8. 災害等への対策
関連する医療情報安全管理ガイドライン要求事項
◎
12.物理的安全管理措置
【遵守事項】
⑥
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者
以外の者による入力・参照が生じないよう対策を実施すること。
システム運用 12.物理的安全管理
⑥
編
者以外の者による入力・参照が生じないよう対策を実施すること。
地震、水害、落雷、火災等、及び、そ
①
て、その場所の選定を企画管理者と協働して検討し、決定すること。検討に際して
火災等、及び、それに
は、災害(地震、水害、落雷、火災等、及
れに伴う停電等により、医療情報シス
伴う停電等への対策
び、それに伴う停電等)に耐えうる機能・構
テム等が停止もしくは不具合が生じ
造を備え、災害による障害(結露等)につい
る。
①-1の施設を設置する建築物について、医療
医療情報及び医療情報システムを保管する場所について、リスク評価を踏まえ
システム運用 12.物理的安全管理
は、医療情報を格納する情報機器や記録媒体を物理的に保管するための施設が、災害
編
(地震、水害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造を備
て対策が講じられている建築物に設置する。
①-2
措置
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用
措置
え、災害による障害(結露等)について対策が講じられている建築物に設置するなど
を考慮すること。
◎
機関等と合意する。
①-3
火災発生時の消火設備が機器に損傷を与えな
◎
いよう配慮する。
①-4
医療情報システム等を配置する室内での喫
①
◎
その場所の選定を企画管理者と協働して検討し、決定すること。検討に際しては、医療
煙、飲食を禁止する。
①-5
医療情報システム等を配置する室内に可燃物
医療情報及び医療情報システムを保管する場所について、リスク評価を踏まえて、
システム運用編
12.物理的安全管理措置
【遵守事項】
◎
情報を格納する情報機器や記録媒体を物理的に保管するための施設が、災害(地震、水
害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造を備え、災害による障
害(結露等)について対策が講じられている建築物に設置することなどを考慮するこ
及び液体を置く場合には、装置との間に十分
と。
な距離を保ち、専用の収納設備を設ける等、
装置に悪影響を及ぼさないよう配慮する。
①-6
医療情報システム等を設置するサーバラック
◎
については以下の安全管理策を実施する。
・ 震災時に転倒することが無いよう確実に設
置する。
・ 熱による障害を防ぐため十分な空調設備を
保有し、サーバラック内が十分に換気されて
いる。
・ 扉には十分な安全強度を持つ物理的施錠装
置を設け、鍵管理について十分に配慮する。
3.技術的対策
3.1. 利用者認証の実装
①利用者を一意に識別
①-1
する方式の採用
医療情報システム等にて情報の登録、編集、
◎
正当な利用者以外により、医療情報シ
削除等を行う際には、ユーザを特定し、権限
ステム等上の情報が閲覧・操作され
を確認するため、ログオンを行うよう設計及
る。
び実装を行う。
①-2
医療情報システム等の利用者を特定し識別で
企画管理編
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権
限に関する規程を整備し、管理すること。
13.医療情報システ
企画管理編
ムの利用者に関する認
証等及び権限
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス
権限等に関する規程を整備し、管理すること。
◎
きるように、アカウントの発行を行う(複数
の利用者によるIDの共同利用は行わない。た
システム運用 14.認証・認可に関
だし当該医療情報システム等が他の医療情報
システム等を利用するためのID(non
システム運用編
interactive ID)は除く)。
①-3
利用者のなりすまし等を防止するための認証
14.認証・認可に関する安全
管理措置
①
【遵守事項】
医療機関等で用いる医療情報システムへのアクセスにおいて、利用者の識別・認証
編
する安全管理措置
を行い、利用者認証方法に関する手順等に関して、規則、マニュアル等で文書化するこ
①
医療機関等で用いる医療情報システムへのアクセスにおいて、利用者の識別・認
証を行い、利用者認証方法に関する手順等に関して、規則、マニュアル等で文書化す
ること。
と。
◎
を行う。
①-4
医療情報システム等の運用若しくは開発に従
◎
事する者又は管理者権限を有する者に対する
IDの発行は必要最小限とし、定期的な棚卸し
を行う。
②一時的な認証手段の
②-1
用意
利用者の認証に際して、何らかの物理的な媒
◎
利用者の認証に用いる物理的な媒体・
体・身体情報等を必要とする場合に、例外的
身体情報等が欠損した場合、情報シス
にそれらの媒体等がなくても一時的に認証す
テムが利用できない。
システム運用 14.認証・認可に関
編
るための代替的手段・手順を事前に定める。
②-2
代替的手段・手順を用いるケースにおいて
◎
は、本来の利用者の認証方法による場合との
リスクの差が最小となるようにする。
②-3
代替的手段・手順により、医療情報システム
システム運用編
◎
14.認証・認可に関する安全
管理措置
③
【遵守事項】
利用者の識別・認証に
カードの破損等、セキュリティ・デバイスが利用できないときを想定し、緊急時の代替
手段による一時的なアクセスルールを用意すること。
等利用を行った場合でも、事後の追跡を可能
とする記録を行い、これを管理する。
②-4
その他、一時的な利用者の認証方法について
IC カード等のセキュリティ・デバイスを用いる場合、IC
◎
医療機関等と合意する。
21/39
する安全管理措置
③
利用者の識別・認証にICカード等のセキュリティ・デバイスを用いる場合、IC
カードの破損等、セキュリティ・デバイスが利用できないときを想定し、緊急時の代
替手段による一時的なアクセスルールを用意すること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
No.
①-2
対策項目で対応できる
内容
個人情報の表示中の覗き見を予防するため
リスクシナリオ例
区分
システム運用編
策を行う。
①地震、水害、落雷、
①-1
機器や媒体を物理的に保存するための施設
編
項番
区分
内容
◎
に、端末に覗き見対策のシートを貼る等の対
2.8. 災害等への対策
関連する医療情報安全管理ガイドライン要求事項
◎
12.物理的安全管理措置
【遵守事項】
⑥
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用者
以外の者による入力・参照が生じないよう対策を実施すること。
システム運用 12.物理的安全管理
⑥
編
者以外の者による入力・参照が生じないよう対策を実施すること。
地震、水害、落雷、火災等、及び、そ
①
て、その場所の選定を企画管理者と協働して検討し、決定すること。検討に際して
火災等、及び、それに
は、災害(地震、水害、落雷、火災等、及
れに伴う停電等により、医療情報シス
伴う停電等への対策
び、それに伴う停電等)に耐えうる機能・構
テム等が停止もしくは不具合が生じ
造を備え、災害による障害(結露等)につい
る。
①-1の施設を設置する建築物について、医療
医療情報及び医療情報システムを保管する場所について、リスク評価を踏まえ
システム運用 12.物理的安全管理
は、医療情報を格納する情報機器や記録媒体を物理的に保管するための施設が、災害
編
(地震、水害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造を備
て対策が講じられている建築物に設置する。
①-2
措置
利用者が医療情報を入力・参照する端末から長時間離席する際など、正当な利用
措置
え、災害による障害(結露等)について対策が講じられている建築物に設置するなど
を考慮すること。
◎
機関等と合意する。
①-3
火災発生時の消火設備が機器に損傷を与えな
◎
いよう配慮する。
①-4
医療情報システム等を配置する室内での喫
①
◎
その場所の選定を企画管理者と協働して検討し、決定すること。検討に際しては、医療
煙、飲食を禁止する。
①-5
医療情報システム等を配置する室内に可燃物
医療情報及び医療情報システムを保管する場所について、リスク評価を踏まえて、
システム運用編
12.物理的安全管理措置
【遵守事項】
◎
情報を格納する情報機器や記録媒体を物理的に保管するための施設が、災害(地震、水
害、落雷、火災等並びにそれに伴う停電等)に耐えうる機能・構造を備え、災害による障
害(結露等)について対策が講じられている建築物に設置することなどを考慮するこ
及び液体を置く場合には、装置との間に十分
と。
な距離を保ち、専用の収納設備を設ける等、
装置に悪影響を及ぼさないよう配慮する。
①-6
医療情報システム等を設置するサーバラック
◎
については以下の安全管理策を実施する。
・ 震災時に転倒することが無いよう確実に設
置する。
・ 熱による障害を防ぐため十分な空調設備を
保有し、サーバラック内が十分に換気されて
いる。
・ 扉には十分な安全強度を持つ物理的施錠装
置を設け、鍵管理について十分に配慮する。
3.技術的対策
3.1. 利用者認証の実装
①利用者を一意に識別
①-1
する方式の採用
医療情報システム等にて情報の登録、編集、
◎
正当な利用者以外により、医療情報シ
削除等を行う際には、ユーザを特定し、権限
ステム等上の情報が閲覧・操作され
を確認するため、ログオンを行うよう設計及
る。
び実装を行う。
①-2
医療情報システム等の利用者を特定し識別で
企画管理編
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権
限に関する規程を整備し、管理すること。
13.医療情報システ
企画管理編
ムの利用者に関する認
証等及び権限
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス
権限等に関する規程を整備し、管理すること。
◎
きるように、アカウントの発行を行う(複数
の利用者によるIDの共同利用は行わない。た
システム運用 14.認証・認可に関
だし当該医療情報システム等が他の医療情報
システム等を利用するためのID(non
システム運用編
interactive ID)は除く)。
①-3
利用者のなりすまし等を防止するための認証
14.認証・認可に関する安全
管理措置
①
【遵守事項】
医療機関等で用いる医療情報システムへのアクセスにおいて、利用者の識別・認証
編
する安全管理措置
を行い、利用者認証方法に関する手順等に関して、規則、マニュアル等で文書化するこ
①
医療機関等で用いる医療情報システムへのアクセスにおいて、利用者の識別・認
証を行い、利用者認証方法に関する手順等に関して、規則、マニュアル等で文書化す
ること。
と。
◎
を行う。
①-4
医療情報システム等の運用若しくは開発に従
◎
事する者又は管理者権限を有する者に対する
IDの発行は必要最小限とし、定期的な棚卸し
を行う。
②一時的な認証手段の
②-1
用意
利用者の認証に際して、何らかの物理的な媒
◎
利用者の認証に用いる物理的な媒体・
体・身体情報等を必要とする場合に、例外的
身体情報等が欠損した場合、情報シス
にそれらの媒体等がなくても一時的に認証す
テムが利用できない。
システム運用 14.認証・認可に関
編
るための代替的手段・手順を事前に定める。
②-2
代替的手段・手順を用いるケースにおいて
◎
は、本来の利用者の認証方法による場合との
リスクの差が最小となるようにする。
②-3
代替的手段・手順により、医療情報システム
システム運用編
◎
14.認証・認可に関する安全
管理措置
③
【遵守事項】
利用者の識別・認証に
カードの破損等、セキュリティ・デバイスが利用できないときを想定し、緊急時の代替
手段による一時的なアクセスルールを用意すること。
等利用を行った場合でも、事後の追跡を可能
とする記録を行い、これを管理する。
②-4
その他、一時的な利用者の認証方法について
IC カード等のセキュリティ・デバイスを用いる場合、IC
◎
医療機関等と合意する。
21/39
する安全管理措置
③
利用者の識別・認証にICカード等のセキュリティ・デバイスを用いる場合、IC
カードの破損等、セキュリティ・デバイスが利用できないときを想定し、緊急時の代
替手段による一時的なアクセスルールを用意すること。