よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (24 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-5
業務内容を考慮した必要最小限のアクセス権
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
限を設け、アプリケーションやオペレーショ
ンシステムでの権限を設定する。
①-6
定められたアクセス制御方針がファイル、
〇
ディレクトリパーミッション、データベース
アクセス等のアクセス制御機構として適切に
反映されていることを定期的に検証すること
が望ましい。
①-7
予定された保守・運用等を行う際に受託した
◎
医療情報を許可なく閲覧できないようにする
ために、権限設定等の対策を講じる。
①-8
システム管理者、運用担当者、保守担当者等
◎
が、意図しない閲覧を行わないことを担保す
るための措置(データベースの暗号化等)を
講じる。
②医療情報に対するア
②-1
クセス制御
医療情報とそれ以外の情報を区分できる措置
◎
を講じる。
情報の区分に依らない一律のアクセス
管理が行われることで、医療情報等の
より重要な情報に対しても、重要性の
低い情報と同じレベルで不正な閲覧・
企画管理編
6.リスクマネジメント(リス
ク管理)
①
【遵守事項】
医療情報については、情報区分に従ってアク
企画管理編
仮想化技術を用いた資源をサービスに供する
保証できる措置を講じる。
医療機関等による情報資産の区分の設定や、
企画管理編
いて、医療機関等と合意する。
理
①-1
IDの管理・運用
利用者は医療情報システム等上においてユ
システム運用編
◎
ニークな利用者ごとのID により識別する。
6.リスクマネジメント(リス
ク管理)
②
【遵守事項】
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安
全管理上の重要度に応じて分類し、常に最新の状態が維持されていることを確認するこ
企画管理編
と。
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
4.リスクアセスメントを踏ま
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権
限に関する規程を整備し、管理すること。
えた安全管理対策の設計
①
【遵守事項】
順等を作成し、運用すること。その際、情報種別による重要度を踏まえるほか、患者情
④
不正な閲覧・操作を行った利用者が特
企画管理編
13.医療情報システムの利用
者に関する認証等及び権限
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手
報については、患者ごとに識別できるような措置を講じること。
情報システムで保存される履歴から、
定できない。
利用者のID を発行する際に、既存の ID との
企画管理編
【遵守事項】
システム運用
編
14.認証・認可に関する安全
管理措置
【遵守事項】
手順を作成するよう指示すること。
◎
◎
◎
〇
ること(不正に変更されていないこと)を定
期的に確認することが望ましい。
〇
ことを利用者自身で検出するため、利用者の
ログオン後に前回のログオンが成功していれ
ば成功日時を表示し、前回のログオンが失敗
①-8
不正なアカウントの利用を防ぐため、利用者
①
企画管理編
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための
トを踏まえた安全管理
手順等を作成し、運用すること。その際、情報種別による重要度を踏まえるほか、患
対策の設計
者情報については、患者ごとに識別できるような措置を講じること。
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応
13.医療情報システ
じた内容となることを前提となるよう管理すること。権限の実態が反映できるよう、
ムの利用者に関する認
担当者に対して、利用者が所属する部署等からの申請などを踏まえて権限を付与し、
証等及び権限
その結果について申請部署の管理者からの確認を得る等の手順を作成するよう指示す
ること。
④
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態
請などを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得
クセス可能範囲が許可された通りとなってい
不正なアカウントの利用又は試みが行われた
権限等に関する規程を整備し、管理すること。
編
再利用しない。
①-7
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス
どを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得る等の
ため、利用者の ID は過去に使われたものを
アクセスを許可された利用者 のID によるア
①
が反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申
理に必要な最小限の人数に留める。
①-6
安全管理上の重要度に応じて分類を行い、常に最新の状態が維持されていることを確
認すること。
システム運用 14.認証・認可に関
ループ ID に変更する仕組みを利用する。
監視ログの監査時に利用者を確実に特定する
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、
反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申請な
に、利用者ごとのID でログオンしてからグ
①-5
②
4.リスクアセスメン
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態が
ば、ログ上で操作の実施者が特定できるよう
利用者のID の発行は医療情報システム等の管
の状況を経営層に報告すること。またリスクマネジメントに不備がある場合には、改
善策を検討し講じること
④
からの申請を踏まえて権限を付与し、その結果について申請部署の管理者から確認を得
利用は原則として行わず、業務上必要であれ
①-4
ムの利用者に関する認
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じ
証の仕組みにおいて適切に反映できるよう、担当者に対して、利用者が所属する部署等
④
システム運用編
複数利用者で共用するためのグループ ID の
ト(リスク管理)
証等及び権限
たものとなっていることが前提となるよう管理すること。資格や権限に関する実態を認
◎
重複を排除する仕組みを導入する。
①-3
6.リスクマネジメン
13.医療情報システ
る等の必要な手順を作成するよう指示すること。
①-2
医療機関等で行うリスクマネジメントが適切に実施されていることを管理し、そ
◎
これに対するアクセス制御の設定の対応につ
3.3. ID・パスワードの管 ①利用者アクセス及び
ト(リスク管理)
①
◎
場合には、論理的に区分管理を行えることを
②-4
企画管理編
6.リスクマネジメン
◎
セス制御を行えるようにする。
②-3
の状況を経営層に報告すること。また、リスクマネジメントに不備がある場合には、改
善策を検討して必要な措置を講じること。
操作が行われる。
②-2
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、そ
〇
のログオンを許可する曜日、時間帯は作業に
必要な曜日、時間帯に制限することが望まし
い。
24/39
する安全管理措置
る等の手順を作成するよう指示すること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-5
業務内容を考慮した必要最小限のアクセス権
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
限を設け、アプリケーションやオペレーショ
ンシステムでの権限を設定する。
①-6
定められたアクセス制御方針がファイル、
〇
ディレクトリパーミッション、データベース
アクセス等のアクセス制御機構として適切に
反映されていることを定期的に検証すること
が望ましい。
①-7
予定された保守・運用等を行う際に受託した
◎
医療情報を許可なく閲覧できないようにする
ために、権限設定等の対策を講じる。
①-8
システム管理者、運用担当者、保守担当者等
◎
が、意図しない閲覧を行わないことを担保す
るための措置(データベースの暗号化等)を
講じる。
②医療情報に対するア
②-1
クセス制御
医療情報とそれ以外の情報を区分できる措置
◎
を講じる。
情報の区分に依らない一律のアクセス
管理が行われることで、医療情報等の
より重要な情報に対しても、重要性の
低い情報と同じレベルで不正な閲覧・
企画管理編
6.リスクマネジメント(リス
ク管理)
①
【遵守事項】
医療情報については、情報区分に従ってアク
企画管理編
仮想化技術を用いた資源をサービスに供する
保証できる措置を講じる。
医療機関等による情報資産の区分の設定や、
企画管理編
いて、医療機関等と合意する。
理
①-1
IDの管理・運用
利用者は医療情報システム等上においてユ
システム運用編
◎
ニークな利用者ごとのID により識別する。
6.リスクマネジメント(リス
ク管理)
②
【遵守事項】
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安
全管理上の重要度に応じて分類し、常に最新の状態が維持されていることを確認するこ
企画管理編
と。
13.医療情報システムの利用
者に関する認証等及び権限
【遵守事項】
4.リスクアセスメントを踏ま
①
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス権
限に関する規程を整備し、管理すること。
えた安全管理対策の設計
①
【遵守事項】
順等を作成し、運用すること。その際、情報種別による重要度を踏まえるほか、患者情
④
不正な閲覧・操作を行った利用者が特
企画管理編
13.医療情報システムの利用
者に関する認証等及び権限
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための手
報については、患者ごとに識別できるような措置を講じること。
情報システムで保存される履歴から、
定できない。
利用者のID を発行する際に、既存の ID との
企画管理編
【遵守事項】
システム運用
編
14.認証・認可に関する安全
管理措置
【遵守事項】
手順を作成するよう指示すること。
◎
◎
◎
〇
ること(不正に変更されていないこと)を定
期的に確認することが望ましい。
〇
ことを利用者自身で検出するため、利用者の
ログオン後に前回のログオンが成功していれ
ば成功日時を表示し、前回のログオンが失敗
①-8
不正なアカウントの利用を防ぐため、利用者
①
企画管理編
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理するための
トを踏まえた安全管理
手順等を作成し、運用すること。その際、情報種別による重要度を踏まえるほか、患
対策の設計
者情報については、患者ごとに識別できるような措置を講じること。
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応
13.医療情報システ
じた内容となることを前提となるよう管理すること。権限の実態が反映できるよう、
ムの利用者に関する認
担当者に対して、利用者が所属する部署等からの申請などを踏まえて権限を付与し、
証等及び権限
その結果について申請部署の管理者からの確認を得る等の手順を作成するよう指示す
ること。
④
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態
請などを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得
クセス可能範囲が許可された通りとなってい
不正なアカウントの利用又は試みが行われた
権限等に関する規程を整備し、管理すること。
編
再利用しない。
①-7
リスク評価に基づいて、医療情報システムにおける利用者の認証等及びアクセス
どを踏まえて権限を付与し、その結果について申請部署の管理者からの確認を得る等の
ため、利用者の ID は過去に使われたものを
アクセスを許可された利用者 のID によるア
①
が反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申
理に必要な最小限の人数に留める。
①-6
安全管理上の重要度に応じて分類を行い、常に最新の状態が維持されていることを確
認すること。
システム運用 14.認証・認可に関
ループ ID に変更する仕組みを利用する。
監視ログの監査時に利用者を確実に特定する
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、
反映できるよう、システム運用担当者に対して、利用者が所属する部署等からの申請な
に、利用者ごとのID でログオンしてからグ
①-5
②
4.リスクアセスメン
アクセス管理に関する規程に基づいてアクセス権限を付与する場合、権限の実態が
ば、ログ上で操作の実施者が特定できるよう
利用者のID の発行は医療情報システム等の管
の状況を経営層に報告すること。またリスクマネジメントに不備がある場合には、改
善策を検討し講じること
④
からの申請を踏まえて権限を付与し、その結果について申請部署の管理者から確認を得
利用は原則として行わず、業務上必要であれ
①-4
ムの利用者に関する認
医療情報システムの利用権限は、医療従事者の資格や医療機関内の権限規程に応じ
証の仕組みにおいて適切に反映できるよう、担当者に対して、利用者が所属する部署等
④
システム運用編
複数利用者で共用するためのグループ ID の
ト(リスク管理)
証等及び権限
たものとなっていることが前提となるよう管理すること。資格や権限に関する実態を認
◎
重複を排除する仕組みを導入する。
①-3
6.リスクマネジメン
13.医療情報システ
る等の必要な手順を作成するよう指示すること。
①-2
医療機関等で行うリスクマネジメントが適切に実施されていることを管理し、そ
◎
これに対するアクセス制御の設定の対応につ
3.3. ID・パスワードの管 ①利用者アクセス及び
ト(リスク管理)
①
◎
場合には、論理的に区分管理を行えることを
②-4
企画管理編
6.リスクマネジメン
◎
セス制御を行えるようにする。
②-3
の状況を経営層に報告すること。また、リスクマネジメントに不備がある場合には、改
善策を検討して必要な措置を講じること。
操作が行われる。
②-2
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、そ
〇
のログオンを許可する曜日、時間帯は作業に
必要な曜日、時間帯に制限することが望まし
い。
24/39
する安全管理措置
る等の手順を作成するよう指示すること。