よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (27 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-12
医療情報システム等の保守において実施した
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
操作結果について、操作ログ等により記録
項番
区分
10.医療情報システム・サー
し、管理する。
システム運用編
ビス事業者による保守対応等に
④
【遵守事項】
取得した操作ログ等により、アクセスされた
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合に
は、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確認
し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
対する安全管理措置
①-13
内容
10.システム・サー
システム運用 ビス事業者による保守
編
対応等に対する安全管
理措置
④
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合
には、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確
認し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
◎
医療情報についての状況をレビューする。
①
システム運用編
17.証跡のレビュー・システ
ム監査
認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びロ
【遵守事項】
①
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確
グイン中に操作した医療情報が特定できるように記録すること。医療情報システムにア
クセスログの記録機能があることが前提であるが、ない場合は、業務日誌等により操作
システム運用 17.証跡のレ
編
ビュー・システム監査
者、操作内容等を記録すること。
①-14
ログを検証するため、利用者がアクセスした
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを
確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及
びログイン中に操作した医療情報が特定できるように記録すること。医療情報システ
ムにアクセスログの記録機能があることが前提であるが、ない場合は、業務日誌等に
より操作者、操作内容等を記録すること。
〇
医療情報等を迅速に確認できるよう、利用者
のIDと、情報の識別子(資産台帳記載の番号
等)、生成時系列、アクセス時系列等、多様
な指標での並び替え、情報の種別、アクセス
時間等での絞り込み等が行うことができるよ
うなシステムを整備することが望ましい。
②ログの改竄や削除を
②-1
ログ情報を不正なアクセスから適切に保護す
◎
内部不正やサイバー攻撃による不正ア
防止するためのアクセ
るため以下の管理策を適用する。
クセスなどでログが改竄、消去され
ス制限や外部保存
・ ログデータにアクセスする利用者及び操作
る。
を制限する。
・ 容量超過によりログが取得できない事態を
避けるため、ログサーバの記憶容量を常時監
システム運用編
視し、電子媒体への書き出し、容量の増強等
17.証跡のレビュー・システ
ム監査
【遵守事項】
②
アクセスログへのアクセス制限を行い、アクセスログの不当な削除/改ざん/追加
等を防止する対策を実施すること。
システム運用 17.証跡のレ
②
編
加等を防止する対策を実施すること。
ビュー・システム監査
アクセスログへのアクセス制限を行い、アクセスログの不当な削除/改ざん/追
の対策をとる。
・ ログデータに対する不正な改竄及び削除行
為に対する検出・防止策を施す。
③時刻の標準時刻への
③-1
同期
ログを利用して正確に事故原因等を検証する
◎
機器が時刻同期しておらず、診療記録
ため、医療情報システム等のすべてのサーバ
等に不整合が生じたり、製品やサービ
機器等の時刻を時刻サーバ等の提供する標準
ス間のログ突合が困難となることで不
時刻に同期しておく。
正な閲覧・操作が行われた範囲の特定
システム運用編
17.証跡のレビュー・システ
ム監査
③
【遵守事項】
アクセスログの記録に用いる時刻情報は、信頼できるものを利用すること。利用す
る時刻情報は、医療機関等の内部で同期させるとともに、標準時刻と定期的に一致させ
る等の手段で診療事実の記録として問題のない範囲の精度を保つ必要がある。
システム運用 17.証跡のレ
編
ビュー・システム監査
ができない。
③-2
医療情報システム等のすべてのサーバ機器等
③
アクセスログの記録に用いる時刻情報は、信頼できるものを利用すること。利用
する時刻情報は、医療機関等の内部で同期させるとともに、標準時刻と定期的に一致
させる等の手段で診療事実の記録として問題のない範囲の精度を保つ必要がある。
〇
の時刻が時刻サーバ等の提供する標準時刻に
同期していることを定期的に検証することが
望ましい。
③-3
ログの時刻の信頼性を確保するために、医療
◎
情報システム等の時刻と、信頼できる機関が
提供する標準時刻あるいは同等の時刻情報と
の同期を日次又はそれよりも多い頻度で行
う。
④リモートメンテナン
④-1
リモートメンテナンスにより保守業務を行う
◎
リモートメンテナンスに用いるIDやパ
スにおける不正な侵入
場合の手順を策定するとともに、医療情報シ
スワード等の認証情報の不適切な管理
防止とログの取得・検
ステム等への不正な侵入が生じないよう安全
により医療情報システム等への不正な
証
管理措置を講じる。
侵入が生じ、ログから被害が特定でき
10.システム・サー
システム運用 ビス事業者による保守
編
理措置
ない。
④-2
リモートメンテナンスによる保守業務の記録
10.医療情報システム・サー
◎
システム運用編
を、アクセスログ等により取得し、システム
サービス提供に必要な医療情報システム等の
ビス事業者による保守対応等に
④
【遵守事項】
対する安全管理措置
管理者はその内容を速やかに確認する。
④-3
対応等に対する安全管
④
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合
には、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確
認し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合に
は、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確認
し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
◎
保守をリモートメンテナンスで行う場合、医
療機関等と合意する。
⑤取り扱う医療情報の
⑤-1
取り扱う医療情報に法定保存年限が設けられ
◎
法定保存期間中の医療情報への不正な
法定保存年限に基づく
ている場合、診療録等に関するログ又はこれ
閲覧・操作があった場合の影響範囲が
ログの保存期間の設定
に代わる記録について、当該法定年限以上の
特定できない。
保存期間を設ける。
①
システム運用 17.証跡のレ
編
①
システム運用編
⑤-2
法定保存年限が経過した医療情報及び法定保
◎
17.証跡のレビュー・システ
ム監査
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確
認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びロ
【遵守事項】
グイン中に操作した医療情報が特定できるように記録すること。医療情報システムにア
クセスログの記録機能があることが前提であるが、ない場合は、業務日誌等により操作
者、操作内容等を記録すること。
存年限が設けられていない医療情報の保存期
間について、医療機関等と合意する。なお、
本項におけるログの管理方法について保存期
間を設けた場合には、原則として法定保存年
限がある医療情報に準じて取り扱う。
27/39
ビュー・システム監査
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを
確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及
びログイン中に操作した医療情報が特定できるように記録すること。医療情報システ
ムにアクセスログの記録機能があることが前提であるが、ない場合は、業務日誌等に
より操作者、操作内容等を記録すること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
対策項目で対応できる
No.
内容
区分
①-12
医療情報システム等の保守において実施した
◎
リスクシナリオ例
関連する医療情報安全管理ガイドライン要求事項
編
操作結果について、操作ログ等により記録
項番
区分
10.医療情報システム・サー
し、管理する。
システム運用編
ビス事業者による保守対応等に
④
【遵守事項】
取得した操作ログ等により、アクセスされた
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合に
は、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確認
し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
対する安全管理措置
①-13
内容
10.システム・サー
システム運用 ビス事業者による保守
編
対応等に対する安全管
理措置
④
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合
には、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確
認し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
◎
医療情報についての状況をレビューする。
①
システム運用編
17.証跡のレビュー・システ
ム監査
認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びロ
【遵守事項】
①
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確
グイン中に操作した医療情報が特定できるように記録すること。医療情報システムにア
クセスログの記録機能があることが前提であるが、ない場合は、業務日誌等により操作
システム運用 17.証跡のレ
編
ビュー・システム監査
者、操作内容等を記録すること。
①-14
ログを検証するため、利用者がアクセスした
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを
確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及
びログイン中に操作した医療情報が特定できるように記録すること。医療情報システ
ムにアクセスログの記録機能があることが前提であるが、ない場合は、業務日誌等に
より操作者、操作内容等を記録すること。
〇
医療情報等を迅速に確認できるよう、利用者
のIDと、情報の識別子(資産台帳記載の番号
等)、生成時系列、アクセス時系列等、多様
な指標での並び替え、情報の種別、アクセス
時間等での絞り込み等が行うことができるよ
うなシステムを整備することが望ましい。
②ログの改竄や削除を
②-1
ログ情報を不正なアクセスから適切に保護す
◎
内部不正やサイバー攻撃による不正ア
防止するためのアクセ
るため以下の管理策を適用する。
クセスなどでログが改竄、消去され
ス制限や外部保存
・ ログデータにアクセスする利用者及び操作
る。
を制限する。
・ 容量超過によりログが取得できない事態を
避けるため、ログサーバの記憶容量を常時監
システム運用編
視し、電子媒体への書き出し、容量の増強等
17.証跡のレビュー・システ
ム監査
【遵守事項】
②
アクセスログへのアクセス制限を行い、アクセスログの不当な削除/改ざん/追加
等を防止する対策を実施すること。
システム運用 17.証跡のレ
②
編
加等を防止する対策を実施すること。
ビュー・システム監査
アクセスログへのアクセス制限を行い、アクセスログの不当な削除/改ざん/追
の対策をとる。
・ ログデータに対する不正な改竄及び削除行
為に対する検出・防止策を施す。
③時刻の標準時刻への
③-1
同期
ログを利用して正確に事故原因等を検証する
◎
機器が時刻同期しておらず、診療記録
ため、医療情報システム等のすべてのサーバ
等に不整合が生じたり、製品やサービ
機器等の時刻を時刻サーバ等の提供する標準
ス間のログ突合が困難となることで不
時刻に同期しておく。
正な閲覧・操作が行われた範囲の特定
システム運用編
17.証跡のレビュー・システ
ム監査
③
【遵守事項】
アクセスログの記録に用いる時刻情報は、信頼できるものを利用すること。利用す
る時刻情報は、医療機関等の内部で同期させるとともに、標準時刻と定期的に一致させ
る等の手段で診療事実の記録として問題のない範囲の精度を保つ必要がある。
システム運用 17.証跡のレ
編
ビュー・システム監査
ができない。
③-2
医療情報システム等のすべてのサーバ機器等
③
アクセスログの記録に用いる時刻情報は、信頼できるものを利用すること。利用
する時刻情報は、医療機関等の内部で同期させるとともに、標準時刻と定期的に一致
させる等の手段で診療事実の記録として問題のない範囲の精度を保つ必要がある。
〇
の時刻が時刻サーバ等の提供する標準時刻に
同期していることを定期的に検証することが
望ましい。
③-3
ログの時刻の信頼性を確保するために、医療
◎
情報システム等の時刻と、信頼できる機関が
提供する標準時刻あるいは同等の時刻情報と
の同期を日次又はそれよりも多い頻度で行
う。
④リモートメンテナン
④-1
リモートメンテナンスにより保守業務を行う
◎
リモートメンテナンスに用いるIDやパ
スにおける不正な侵入
場合の手順を策定するとともに、医療情報シ
スワード等の認証情報の不適切な管理
防止とログの取得・検
ステム等への不正な侵入が生じないよう安全
により医療情報システム等への不正な
証
管理措置を講じる。
侵入が生じ、ログから被害が特定でき
10.システム・サー
システム運用 ビス事業者による保守
編
理措置
ない。
④-2
リモートメンテナンスによる保守業務の記録
10.医療情報システム・サー
◎
システム運用編
を、アクセスログ等により取得し、システム
サービス提供に必要な医療情報システム等の
ビス事業者による保守対応等に
④
【遵守事項】
対する安全管理措置
管理者はその内容を速やかに確認する。
④-3
対応等に対する安全管
④
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合
には、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確
認し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
リモートメンテナンス(保守)によるシステムの改造・保守作業が行われる場合に
は、必ずアクセスログを収集し、保守に関する作業計画書と照合するなどにより確認
し、当該作業の終了後速やかに企画管理者に報告し、確認を求めること。
◎
保守をリモートメンテナンスで行う場合、医
療機関等と合意する。
⑤取り扱う医療情報の
⑤-1
取り扱う医療情報に法定保存年限が設けられ
◎
法定保存期間中の医療情報への不正な
法定保存年限に基づく
ている場合、診療録等に関するログ又はこれ
閲覧・操作があった場合の影響範囲が
ログの保存期間の設定
に代わる記録について、当該法定年限以上の
特定できない。
保存期間を設ける。
①
システム運用 17.証跡のレ
編
①
システム運用編
⑤-2
法定保存年限が経過した医療情報及び法定保
◎
17.証跡のレビュー・システ
ム監査
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確
認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及びロ
【遵守事項】
グイン中に操作した医療情報が特定できるように記録すること。医療情報システムにア
クセスログの記録機能があることが前提であるが、ない場合は、業務日誌等により操作
者、操作内容等を記録すること。
存年限が設けられていない医療情報の保存期
間について、医療機関等と合意する。なお、
本項におけるログの管理方法について保存期
間を設けた場合には、原則として法定保存年
限がある医療情報に準じて取り扱う。
27/39
ビュー・システム監査
利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを
確認すること。アクセスログは、少なくとも利用者のログイン時刻、アクセス時間及
びログイン中に操作した医療情報が特定できるように記録すること。医療情報システ
ムにアクセスログの記録機能があることが前提であるが、ない場合は、業務日誌等に
より操作者、操作内容等を記録すること。