よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (23 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
④-9
利用者に対して初期パスワードを発行した場
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
合、最初の利用時にそのパスワードを変更し
ないと医療情報システム等にアクセスできな
いにようにする。
④-10
初期パスワード以外のパスワードは、利用者
◎
本人に設定させるとともに、利用者本人しか
知りえない内容を設定するよう求める。
④-11
パスワードの設定に際しては、複数の文字種
◎
(英数字・大文字・小文字・記号等)を用い、
また、8文字以上等、十分に安全な長さの文
字列等から構成されるルールとする。
④-12
利用者がIDやパスワードを失念した場合に
◎
は、予め策定した手順(本人確認を含む)に
則り、本人への通知又は再発行を行う。
④-13
パスワード変更時には変更前のパスワードの
◎
入力を要求し、変更前のパスワード入力を一
定回数以上失敗した場合には、パスワード変
更を一定期間受けつけない機構とする。
④-14
パスワード入力が不成功に終わった場合の再
◎
入力に対して一定の不応時間を設定する。連
続してログオンが失敗した場合は再入力を一
定期間受付けない機構とする。この場合に
は、警告メッセージをシステムの管理者に送
出する仕組みを導入する。
⑤多要素認証方式の採
⑤-1
用
ログオン時に利用する認証要素としては、
〇
単一の要素による認証情報が窃取もし
ハードウェアトークン又は IC カード等の認
くは推測されることで、正当な利用者
証デバイス、暗証番号(PIN)又はパスワー
以外による認証の突破及び不正な閲
ド等の記憶要素、生体情報(バイオメトリク
覧・操作が行われる。
ス)等を組み合わせた多要素認証とすること
が望ましい。
⑤-2
医療情報システム等の運用若しくは開発に従
◎
事する者又は管理者権限を有する者の情報シ
ステム利用に係る認証は、多要素認証とす
る。
⑤-3
利用者の認証で採用する認証方式について、
◎
システム運用編
医療機関等と合意する。
⑤-4
利用者の認証において、ID・パスワードによ
14.認証・認可に関する安全
管理措置
⑤
【遵守事項】
利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが
想定される医療情報システムを、今後、新規導入又は更新するに際しては、二要素認証
を採用するシステムの導入、又はこれに相当する対応を行うこと。
◎
る認証方式を採用している場合には、ID・パ
スワードのみに頼らない認証方式の採用に対
応しうる機能を備えるよう努める。なお、医
療情報システムの安全管理に関するガイドラ
インにおいては、同ガイドライン 第5版の公
表(平成29年5月)から約10年後を目途に2要
素認証について厚生労働省ガイドライン6.5章
「C.最低限のガイドライン」とすることを想
定する旨が記載されていることから、これに
随時対応できるようにする。
3.2. アクセス権限の管理 ①必要最小限となるよ
①-1
医療情報システム等の操作については、医療
◎
一般利用者の権限が高いため、任意の
うなアクセス権限の管
機関等の職務権限に応じたアクセス管理を可
ソフトウェアのインストール、持込機
理
能とし、正当なアクセス権限を持たないもの
器接続、持込Wi-Fiの接続等をされ、不
による情報の生成、閲覧、編集、削除等を防
正アクセスを誘発する。
止する。
①-2
医療機関等の利用者の職種等に応じたアクセ
③
企画管理編
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
医療機関等の内部における利用者については、医療機関等に所属することが前提と
なるよう管理すること。所属に関する実態を認証の仕組みにおいて適切に反映できるよ
う、担当者に対して、人事等の情報と整合性をとって利用者の
ID
等を付与する等の
13.医療情報システ
企画管理編
証等及び権限
必要な手順を作成するよう指示すること。
④
療機関等と必要な協議を行い、実際に設定す
る作業に関する役割分担も含めて合意する。
システム運用編
13.医療情報システムの利用
者に関する認証等及び権限
たものとなっていることが前提となるよう管理すること。資格や権限に関する実態を認
【遵守事項】
証の仕組みにおいて適切に反映できるよう、担当者に対して、利用者が所属する部署等
企画管理編
からの申請を踏まえて権限を付与し、その結果について申請部署の管理者から確認を得
④
に係るセキュリティ要求事項を整理する。
システム運用編
14.認証・認可に関する安全
管理措置
【遵守事項】
13.医療情報システ
じた内容となることを前提となるよう管理すること。権限の実態が反映できるよう、
ムの利用者に関する認
担当者に対して、利用者が所属する部署等からの申請などを踏まえて権限を付与し、
証等及び権限
その結果について申請部署の管理者からの確認を得る等の手順を作成するよう指示す
④
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態が
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態
反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申請な
システム運用 14.認証・認可に関
が反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申
どを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得る等の
編
請などを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得
する安全管理措置
る等の手順を作成するよう指示すること。
◎
用者を最小限に抑えるよう、適切に情報のグ
⑥
ルーピングを行い、情報のグループに対する
アクセス制御を行う。
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応
ること。
手順を作成するよう指示すること。
それぞれの情報にアクセスする権限を持つ利
ること。
◎
置、ソフトウェア)それぞれのアクセス管理
①-4
となるように管理すること。所属に関する実態を反映できるよう、担当者に、人事等
からの情報と整合性をとって、利用者のID等を付与するような手順の作成等を指示す
④
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じ
る等の必要な手順を作成するよう指示すること。
医療情報システム等の構成要素(情報処理装
医療機関等の内部における利用者については、医療機関等に所属することを前提
◎
ス制御の設定について医療機関等に示し、医
①-3
ムの利用者に関する認
③
システム運用編
9.医療情報システムに用いる
情報機器等の資産管理
医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えば
BYOD(Bring
【遵守事項】
Your
Own Device:個人保有の情報機器)の利用による端末)につい
て、利用を許諾する条件や、利用範囲、管理方法等に関する内容を規程等に含めるこ
と。また、これに基づいて利用される情報機器等について、利用の許諾状況も含めて、
医療機関等が管理する情報機器同様に、台帳管理等を行うこと。
23/39
企画管理編
9.医療情報システム
⑥
医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えば
に用いる情報機器等の
BYOD(Bring Your Own Device:個人保有の情報機器)の利用による端末)につい
資産管理
て、利用を許諾する条件や、利用範囲、管理方法等に関する内容を規程等に含めるこ
と。またこれに基づいて利用される情報機器等について、利用の許諾状況も含めて、
医療機関等が管理する情報機器同様に、台帳管理等をおこなうこと。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
④-9
利用者に対して初期パスワードを発行した場
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
合、最初の利用時にそのパスワードを変更し
ないと医療情報システム等にアクセスできな
いにようにする。
④-10
初期パスワード以外のパスワードは、利用者
◎
本人に設定させるとともに、利用者本人しか
知りえない内容を設定するよう求める。
④-11
パスワードの設定に際しては、複数の文字種
◎
(英数字・大文字・小文字・記号等)を用い、
また、8文字以上等、十分に安全な長さの文
字列等から構成されるルールとする。
④-12
利用者がIDやパスワードを失念した場合に
◎
は、予め策定した手順(本人確認を含む)に
則り、本人への通知又は再発行を行う。
④-13
パスワード変更時には変更前のパスワードの
◎
入力を要求し、変更前のパスワード入力を一
定回数以上失敗した場合には、パスワード変
更を一定期間受けつけない機構とする。
④-14
パスワード入力が不成功に終わった場合の再
◎
入力に対して一定の不応時間を設定する。連
続してログオンが失敗した場合は再入力を一
定期間受付けない機構とする。この場合に
は、警告メッセージをシステムの管理者に送
出する仕組みを導入する。
⑤多要素認証方式の採
⑤-1
用
ログオン時に利用する認証要素としては、
〇
単一の要素による認証情報が窃取もし
ハードウェアトークン又は IC カード等の認
くは推測されることで、正当な利用者
証デバイス、暗証番号(PIN)又はパスワー
以外による認証の突破及び不正な閲
ド等の記憶要素、生体情報(バイオメトリク
覧・操作が行われる。
ス)等を組み合わせた多要素認証とすること
が望ましい。
⑤-2
医療情報システム等の運用若しくは開発に従
◎
事する者又は管理者権限を有する者の情報シ
ステム利用に係る認証は、多要素認証とす
る。
⑤-3
利用者の認証で採用する認証方式について、
◎
システム運用編
医療機関等と合意する。
⑤-4
利用者の認証において、ID・パスワードによ
14.認証・認可に関する安全
管理措置
⑤
【遵守事項】
利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが
想定される医療情報システムを、今後、新規導入又は更新するに際しては、二要素認証
を採用するシステムの導入、又はこれに相当する対応を行うこと。
◎
る認証方式を採用している場合には、ID・パ
スワードのみに頼らない認証方式の採用に対
応しうる機能を備えるよう努める。なお、医
療情報システムの安全管理に関するガイドラ
インにおいては、同ガイドライン 第5版の公
表(平成29年5月)から約10年後を目途に2要
素認証について厚生労働省ガイドライン6.5章
「C.最低限のガイドライン」とすることを想
定する旨が記載されていることから、これに
随時対応できるようにする。
3.2. アクセス権限の管理 ①必要最小限となるよ
①-1
医療情報システム等の操作については、医療
◎
一般利用者の権限が高いため、任意の
うなアクセス権限の管
機関等の職務権限に応じたアクセス管理を可
ソフトウェアのインストール、持込機
理
能とし、正当なアクセス権限を持たないもの
器接続、持込Wi-Fiの接続等をされ、不
による情報の生成、閲覧、編集、削除等を防
正アクセスを誘発する。
止する。
①-2
医療機関等の利用者の職種等に応じたアクセ
③
企画管理編
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
医療機関等の内部における利用者については、医療機関等に所属することが前提と
なるよう管理すること。所属に関する実態を認証の仕組みにおいて適切に反映できるよ
う、担当者に対して、人事等の情報と整合性をとって利用者の
ID
等を付与する等の
13.医療情報システ
企画管理編
証等及び権限
必要な手順を作成するよう指示すること。
④
療機関等と必要な協議を行い、実際に設定す
る作業に関する役割分担も含めて合意する。
システム運用編
13.医療情報システムの利用
者に関する認証等及び権限
たものとなっていることが前提となるよう管理すること。資格や権限に関する実態を認
【遵守事項】
証の仕組みにおいて適切に反映できるよう、担当者に対して、利用者が所属する部署等
企画管理編
からの申請を踏まえて権限を付与し、その結果について申請部署の管理者から確認を得
④
に係るセキュリティ要求事項を整理する。
システム運用編
14.認証・認可に関する安全
管理措置
【遵守事項】
13.医療情報システ
じた内容となることを前提となるよう管理すること。権限の実態が反映できるよう、
ムの利用者に関する認
担当者に対して、利用者が所属する部署等からの申請などを踏まえて権限を付与し、
証等及び権限
その結果について申請部署の管理者からの確認を得る等の手順を作成するよう指示す
④
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態が
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態
反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申請な
システム運用 14.認証・認可に関
が反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申
どを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得る等の
編
請などを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得
する安全管理措置
る等の手順を作成するよう指示すること。
◎
用者を最小限に抑えるよう、適切に情報のグ
⑥
ルーピングを行い、情報のグループに対する
アクセス制御を行う。
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応
ること。
手順を作成するよう指示すること。
それぞれの情報にアクセスする権限を持つ利
ること。
◎
置、ソフトウェア)それぞれのアクセス管理
①-4
となるように管理すること。所属に関する実態を反映できるよう、担当者に、人事等
からの情報と整合性をとって、利用者のID等を付与するような手順の作成等を指示す
④
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じ
る等の必要な手順を作成するよう指示すること。
医療情報システム等の構成要素(情報処理装
医療機関等の内部における利用者については、医療機関等に所属することを前提
◎
ス制御の設定について医療機関等に示し、医
①-3
ムの利用者に関する認
③
システム運用編
9.医療情報システムに用いる
情報機器等の資産管理
医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えば
BYOD(Bring
【遵守事項】
Your
Own Device:個人保有の情報機器)の利用による端末)につい
て、利用を許諾する条件や、利用範囲、管理方法等に関する内容を規程等に含めるこ
と。また、これに基づいて利用される情報機器等について、利用の許諾状況も含めて、
医療機関等が管理する情報機器同様に、台帳管理等を行うこと。
23/39
企画管理編
9.医療情報システム
⑥
医療機関等が管理しない情報機器で、医療情報システムに用いるもの(例えば
に用いる情報機器等の
BYOD(Bring Your Own Device:個人保有の情報機器)の利用による端末)につい
資産管理
て、利用を許諾する条件や、利用範囲、管理方法等に関する内容を規程等に含めるこ
と。またこれに基づいて利用される情報機器等について、利用の許諾状況も含めて、
医療機関等が管理する情報機器同様に、台帳管理等をおこなうこと。