よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (26 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
③-6
パスワード等の情報の漏洩のおそれがある場
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
合、利用者本人にその事実を通知した上で、
当該パスワードを無効化し、変更できるよう
な対応を講じる。
3.4. ログの取得と検証
①ログの取得と検証
①-1
利用者の活動、機器で発生したイベント、シ
◎
5.安全管理における
ログが取得・保存されておらず、ログ
ステム障害、システム使用状況等を記録した
の監視・分析による不正な行為などの
ログを作成し、一定期間保存する。
検出や、情報事故発生後のログの解析
企画管理編
5.安全管理におけるエビデン
ス
【遵守事項】
③
収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把
握し、必要があれば証跡の整備に関する改善を行うこと。
企画管理編
エビデンス
ログを定期的に検証して不正な行為、システ
◎
①
ムの異常等を検出する。
システム運用編
17.証跡のレビュー・システ
ム監査
①
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確
認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びロ
【遵守事項】
グイン中に操作した医療情報が特定できるように記録すること。医療情報システムにア
クセスログの記録機能があることが前提であるが、ない場合は、業務日誌等により操作
システム運用 17.証跡のレ
編
ビュー・システム監査
者、操作内容等を記録すること。
①-3
ログに記録する事項としては次のようなもの
収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を
把握し、必要があれば証跡の整備に関する改善を行うこと。
による検証ができない。
①-2
③
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを
確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及
びログイン中に操作した医療情報が特定できるように記録すること。医療情報システ
ムにアクセスログの記録機能があることが前提であるが、ない場合は、業務日誌等に
より操作者、操作内容等を記録すること。
〇
が考えられる。
・ 利用者情報(利用者の ID、ログオンの可
否、利用時刻及び時間、実行作業内容、ネッ
トワークアクセスの場合はアクセス元 IP ア
ドレス)
・ ファイル及びデータへのアクセス、変更、
削除記録(利用者の ID、アクセスの可否、利
用時刻及び時間、作業内容、対象ファイル又
はデータ種類)
・ データベース操作記録(利用者のID、接続
及び作業の可否、利用時刻及び時間、実施作
業内容、アクセス元 IP アドレス、設定変更
時にはその内容)修正パッチの適用作業(利
用者の ID、変更されたファイル)
・ 特権操作(特権取得者 ID、特権取得の可
否、利用時刻及び時間、実行作業内容)
・ システム起動、停止イベント
・ ログ取得機能の開始、終了イベント外部デ
バイスの取り外し
・ IDS・IPS 等のセキュリティ装置のイベン
トログ
・ サービス及びアプリケーションの動作によ
り生成されたログ(時刻同期に関するログを
含む)
①-4
ログを集中させ問題の検出を一箇所で確実に
◎
行うことを目的として、システムとして可能
な場合は専用のログサーバにログデータを集
約して分析管理する。
①-5
運用システムに関わるライブラリプログラム
◎
の更新については監査に必要なログを取得す
る。
①-6
システム運用情報(システム及びサービス設
◎
定ファイル等)の複製及び利用については監
査証跡とするためにログを取得する。
①-7
医療情報システム等の運用若しくは開発に従
◎
事する者又は管理者権限を有する者によるア
クセスの記録については、定期的なレビュー
を行い、不正なアクセス等がないことを確認
する。
①-8
①-7に関する情報の医療機関等への提供につ
◎
いて、医療機関等と合意する。
①-9
ログの取得機能を有しない場合には、医療機
◎
関等と合意する。
①-10
医療情報システム等の保守に従事する者及び
◎
管理者権限を有する者が、その業務の目的で
当該医療情報システム等にアクセスする場合
には、当該要員ごとに発行されたアカウント
システム運用編
により、アクセスを行う。
①-11
①-10で定めるアカウントで行った作業等
③
10.医療情報システム・サー
ビス事業者による保守対応等に
対する安全管理措置
【遵守事項】
10.システム・サー
保守を実施するためにサーバに事業者の作業員(保守要員)がアクセスする際に
③
保守を実施するためにサーバに事業者の作業員(保守要員)がアクセスする際に
は、保守要員の専用アカウントを使用させ、個人情報へのアクセスの有無並びに個人情
システム運用 ビス事業者による保守
は、保守要員の専用アカウントを使用させ、個人情報へのアクセスの有無並びに個人
報にアクセスした場合の対象個人情報及び作業内容を記録すること。なお、これは利用
編
対応等に対する安全管
情報にアクセスした場合の対象個人情報及び作業内容を記録すること。なお、これは
理措置
利用者を模して操作確認を行う際の識別・認証についても同様である。
者を模して操作確認を行う際の識別・認証についても同様である。
◎
は、アクセスした個人情報が特定できる形
で、ログ等により記録し、保存する。
26/39
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
③-6
パスワード等の情報の漏洩のおそれがある場
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
項番
区分
内容
合、利用者本人にその事実を通知した上で、
当該パスワードを無効化し、変更できるよう
な対応を講じる。
3.4. ログの取得と検証
①ログの取得と検証
①-1
利用者の活動、機器で発生したイベント、シ
◎
5.安全管理における
ログが取得・保存されておらず、ログ
ステム障害、システム使用状況等を記録した
の監視・分析による不正な行為などの
ログを作成し、一定期間保存する。
検出や、情報事故発生後のログの解析
企画管理編
5.安全管理におけるエビデン
ス
【遵守事項】
③
収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を把
握し、必要があれば証跡の整備に関する改善を行うこと。
企画管理編
エビデンス
ログを定期的に検証して不正な行為、システ
◎
①
ムの異常等を検出する。
システム運用編
17.証跡のレビュー・システ
ム監査
①
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確
認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びロ
【遵守事項】
グイン中に操作した医療情報が特定できるように記録すること。医療情報システムにア
クセスログの記録機能があることが前提であるが、ない場合は、業務日誌等により操作
システム運用 17.証跡のレ
編
ビュー・システム監査
者、操作内容等を記録すること。
①-3
ログに記録する事項としては次のようなもの
収集した証跡に対するレビュー等を行い、医療情報システムの安全管理の状況を
把握し、必要があれば証跡の整備に関する改善を行うこと。
による検証ができない。
①-2
③
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを
確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及
びログイン中に操作した医療情報が特定できるように記録すること。医療情報システ
ムにアクセスログの記録機能があることが前提であるが、ない場合は、業務日誌等に
より操作者、操作内容等を記録すること。
〇
が考えられる。
・ 利用者情報(利用者の ID、ログオンの可
否、利用時刻及び時間、実行作業内容、ネッ
トワークアクセスの場合はアクセス元 IP ア
ドレス)
・ ファイル及びデータへのアクセス、変更、
削除記録(利用者の ID、アクセスの可否、利
用時刻及び時間、作業内容、対象ファイル又
はデータ種類)
・ データベース操作記録(利用者のID、接続
及び作業の可否、利用時刻及び時間、実施作
業内容、アクセス元 IP アドレス、設定変更
時にはその内容)修正パッチの適用作業(利
用者の ID、変更されたファイル)
・ 特権操作(特権取得者 ID、特権取得の可
否、利用時刻及び時間、実行作業内容)
・ システム起動、停止イベント
・ ログ取得機能の開始、終了イベント外部デ
バイスの取り外し
・ IDS・IPS 等のセキュリティ装置のイベン
トログ
・ サービス及びアプリケーションの動作によ
り生成されたログ(時刻同期に関するログを
含む)
①-4
ログを集中させ問題の検出を一箇所で確実に
◎
行うことを目的として、システムとして可能
な場合は専用のログサーバにログデータを集
約して分析管理する。
①-5
運用システムに関わるライブラリプログラム
◎
の更新については監査に必要なログを取得す
る。
①-6
システム運用情報(システム及びサービス設
◎
定ファイル等)の複製及び利用については監
査証跡とするためにログを取得する。
①-7
医療情報システム等の運用若しくは開発に従
◎
事する者又は管理者権限を有する者によるア
クセスの記録については、定期的なレビュー
を行い、不正なアクセス等がないことを確認
する。
①-8
①-7に関する情報の医療機関等への提供につ
◎
いて、医療機関等と合意する。
①-9
ログの取得機能を有しない場合には、医療機
◎
関等と合意する。
①-10
医療情報システム等の保守に従事する者及び
◎
管理者権限を有する者が、その業務の目的で
当該医療情報システム等にアクセスする場合
には、当該要員ごとに発行されたアカウント
システム運用編
により、アクセスを行う。
①-11
①-10で定めるアカウントで行った作業等
③
10.医療情報システム・サー
ビス事業者による保守対応等に
対する安全管理措置
【遵守事項】
10.システム・サー
保守を実施するためにサーバに事業者の作業員(保守要員)がアクセスする際に
③
保守を実施するためにサーバに事業者の作業員(保守要員)がアクセスする際に
は、保守要員の専用アカウントを使用させ、個人情報へのアクセスの有無並びに個人情
システム運用 ビス事業者による保守
は、保守要員の専用アカウントを使用させ、個人情報へのアクセスの有無並びに個人
報にアクセスした場合の対象個人情報及び作業内容を記録すること。なお、これは利用
編
対応等に対する安全管
情報にアクセスした場合の対象個人情報及び作業内容を記録すること。なお、これは
理措置
利用者を模して操作確認を行う際の識別・認証についても同様である。
者を模して操作確認を行う際の識別・認証についても同様である。
◎
は、アクセスした個人情報が特定できる形
で、ログ等により記録し、保存する。
26/39