よむ、つかう、まなぶ。
「(別紙2)統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」 (28 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
別紙2
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
3.5. 不正プログラムへの ①不正プログラム対策
対策
対策項目で対応できる
No.
内容
区分
リスクシナリオ例
①-1
最新の脅威についての情報収集に努め、導入
◎
不正プログラムの実行により、端末・
ソフトウェアの導入と
している不正プログラム対策ソフトウェアの
サーバ内の情報の漏洩・改竄・破壊の
管理
対応範囲を確認し、対策漏れが無いことを確
ほか、資源の不正使用が行われる。
関連する医療情報安全管理ガイドライン要求事項
編
システム運用編
(トロイの木馬)、スパイウェア(キーロ
区分
内容
①
認する。対応すべき脅威の例としては、コン
ピュータウイルス(ワーム)、バックドア
項番
8.利用機器・サービスに対す
る安全管理措置
【遵守事項】
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領
時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認するこ
システム運用
と。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安全確認
編
を実施し、細心の注意を払って利用すること。
ガー)、ボットプログラム(ダウンロー
8.利用機器・サービ
スに対する安全管理措
置
①
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受
領時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認す
ること。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安
全確認を実施し、細心の注意を払って利用すること。
ダー)等がある。
①-2
不正プログラム対策ソフトウェアにおいて次
◎
の設定を行う。
・ リアルタイムスキャン(ディスク書き出
し・読み込み、ネットワーク通信)リスク評
システム運用編
価の結果として必要であれば定期的にスキャ
8.利用機器・サービスに対す
る安全管理措置
②
【遵守事項】
常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有
効性・安全性の確認・維持(例えばパターンファイルの更新の確認・維持)を行うこ
と。
ンを実施
システム運用
編
8.利用機器・サービ
②
常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の
スに対する安全管理措
有効性・安全性の確認・維持(例えばパターンファイルの更新の確認・維持)を行う
置
こと。
8.利用機器・サービ
③ 医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等
スに対する安全管理措
を防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュ
置
リティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
・ 電子媒体へのデータ書き出し・読み込み時
①-3
デ
一定期間、不正プログラムのチェックが行わ
◎
れていない場合や定義ファイル、スキャンエ
ンジンが更新されていない機器については、
利用者への警告を表示する、管理者への通知
システム運用編
を行う、施設内ネットワーク接続の禁止又は
8.利用機器・サービスに対す
る安全管理措置
③
【遵守事項】
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を
防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュリ
ティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
システム運用
編
隔離措置をとる。
①-4
医療情報システム等の構築に際しては、不正
◎
④
プログラム等の混入が生じないようにするた
システム運用編
めの手順を策定し、これに則って構築する。
8.利用機器・サービスに対す
る安全管理措置
【遵守事項】
メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれる
データやファイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこと。な
システム運用
お、保守等でやむを得ずファイル送信等を行う場合、送信側で無害化処理が行われてい
編
ることを確認すること
①-5
不正プログラム対策ソフトウェアのパターン
。
8.利用機器・サービ
スに対する安全管理措
置
◎
④ メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれ
るデータやファイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこ
と。なお、保守等でやむを得ずファイル送信等を行う場合、送信側で無害化処理が行
われていることを確認すること 。
定義ファイルを常に最新のものに更新する。
①-6
医療情報システム等の構築に際して、外部か
◎
らプログラムを媒体で持ち込んだりダウン
システム運用編
ロードしたりする必要がある場合には、必ず
事前に最新の不正プログラム対策ソフトウェ
8.利用機器・サービスに対す
る安全管理措置
③
【遵守事項】
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を
防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュリ
ティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
ア等の導入を行う。また情報システムへの影
響度を勘案して、最新のセキュリティパッチ
の適用を行う。
①-7
医療情報システム等利用環境がウイルス等に
◎
よる攻撃を受けた場合に、医療情報システム
等提供に係る影響について、速やかに医療機
関等に周知し、必要な対応等を求める。
3.6. 端末やサーバの堅牢 ①端末やサーバの堅牢
化
①-1
化
①-2
医療情報はサーバ機器のみに保存し、表示の
◎
端末やサーバで利用していない機能や
ための一時的な保存等を除き、端末上に保存
アプリケーションが悪用されることに
されることがないようにする。
より、不正プログラムが実行される。
ウェブブラウザの接続するサーバを業務上必
企画管理編
15.技術的な安全管理対策の
管理
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
15.技術的な安全管
理対策の管理
◎
システム運用編
イトから、ActiveX、Java アプレット、Flash
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナル
編
ファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならない
持出し・破棄等)
ような対策を実施すること。
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや他
の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナルファイ
アウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならないような対
④
行することができない設定とする(管理ソフ
トウェアが実行されるサーバのみを認可す
他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナル
編
ファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならない
持出し・破棄等)
ような対策を実施すること。
◎
ドについても不正プログラム対策ソフトウェ
アにより検査する。
①-5
ウェブブラウザからメールクライアント等の
システム運用編
ションが明示的な確認なしに起動されないよ
システム運用編
う設定を行うことが望ましい。
医療情報システム等のサーバ機器等への同時
8.利用機器・サービスに対す
る安全管理措置
③
【遵守事項】
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を
防止するために、不正ソフトウェア対策ソフトのパターンファイルや
OS のセキュリ
ティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
システム運用
編
8.利用機器・サービ
③
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等
スに対する安全管理措
を防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュ
置
リティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
〇
業務処理において想定しない外部アプリケー
①-6
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや
システム運用 7.情報管理(管理・
る)。
認可したサイトからダウンロードされるコー
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや
システム運用 7.情報管理(管理・
策を実施すること。
等のプログラムコードをダウンロード及び実
①-4
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
④
④
ウェブブラウザの設定で、認可していないサ
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
◎
要なサーバに限定する。
①-3
⑥
13.ネットワークに関する安
全管理措置
【遵守事項】
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び中
間者攻撃等を防止する対策を実施すること。
システム運用
編
13.ネットワークに
関する安全管理措置
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び
中間者攻撃等を防止する対策を実施すること。
◎
ログオンユーザ数(OS アカウント等)に適
切な上限を設ける。
①-7
医療情報システム等に用いる装置には、必要
◎
のないアプリケーション等をインストールし
⑥
ない。
⑥
①-8
医療情報システム等に関する情報を格納する
機器を持ち出す場合には、当該持ち出しの目
的に必要な最小限のアプリケーションをイン
◎
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
持ち出した医療情報を取り扱う情報機器には、必要最小限のアプリケーションのみ
をインストールするとともに、原則として情報機器に対する変更権限がないような設定
を行うこと。業務に使用しないアプリケーションや機能については削除又は停止する
か、業務に対して影響がないことを確認すること。
ストールする
28/39
持ち出した医療情報を取り扱う情報機器には、必要最小限のアプリケーションの
システム運用 7.情報管理(管理・
みをインストールするとともに、原則として情報機器対する変更権限がない設定を行
編
うこと。業務に使用しないアプリケーションや機能については削除又は停止するか、
持出し・破棄等)
業務に対して影響がないことを確認すること。
統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表
対策項目
大項目
小項目
3.5. 不正プログラムへの ①不正プログラム対策
対策
対策項目で対応できる
No.
内容
区分
リスクシナリオ例
①-1
最新の脅威についての情報収集に努め、導入
◎
不正プログラムの実行により、端末・
ソフトウェアの導入と
している不正プログラム対策ソフトウェアの
サーバ内の情報の漏洩・改竄・破壊の
管理
対応範囲を確認し、対策漏れが無いことを確
ほか、資源の不正使用が行われる。
関連する医療情報安全管理ガイドライン要求事項
編
システム運用編
(トロイの木馬)、スパイウェア(キーロ
区分
内容
①
認する。対応すべき脅威の例としては、コン
ピュータウイルス(ワーム)、バックドア
項番
8.利用機器・サービスに対す
る安全管理措置
【遵守事項】
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領
時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認するこ
システム運用
と。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安全確認
編
を実施し、細心の注意を払って利用すること。
ガー)、ボットプログラム(ダウンロー
8.利用機器・サービ
スに対する安全管理措
置
①
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受
領時には、コンピュータウイルス等の不正なソフトウェアが混入していないか確認す
ること。適切に管理されていないと考えられる記録媒体を利用する際には、十分な安
全確認を実施し、細心の注意を払って利用すること。
ダー)等がある。
①-2
不正プログラム対策ソフトウェアにおいて次
◎
の設定を行う。
・ リアルタイムスキャン(ディスク書き出
し・読み込み、ネットワーク通信)リスク評
システム運用編
価の結果として必要であれば定期的にスキャ
8.利用機器・サービスに対す
る安全管理措置
②
【遵守事項】
常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有
効性・安全性の確認・維持(例えばパターンファイルの更新の確認・維持)を行うこ
と。
ンを実施
システム運用
編
8.利用機器・サービ
②
常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の
スに対する安全管理措
有効性・安全性の確認・維持(例えばパターンファイルの更新の確認・維持)を行う
置
こと。
8.利用機器・サービ
③ 医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等
スに対する安全管理措
を防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュ
置
リティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
・ 電子媒体へのデータ書き出し・読み込み時
①-3
デ
一定期間、不正プログラムのチェックが行わ
◎
れていない場合や定義ファイル、スキャンエ
ンジンが更新されていない機器については、
利用者への警告を表示する、管理者への通知
システム運用編
を行う、施設内ネットワーク接続の禁止又は
8.利用機器・サービスに対す
る安全管理措置
③
【遵守事項】
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を
防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュリ
ティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
システム運用
編
隔離措置をとる。
①-4
医療情報システム等の構築に際しては、不正
◎
④
プログラム等の混入が生じないようにするた
システム運用編
めの手順を策定し、これに則って構築する。
8.利用機器・サービスに対す
る安全管理措置
【遵守事項】
メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれる
データやファイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこと。な
システム運用
お、保守等でやむを得ずファイル送信等を行う場合、送信側で無害化処理が行われてい
編
ることを確認すること
①-5
不正プログラム対策ソフトウェアのパターン
。
8.利用機器・サービ
スに対する安全管理措
置
◎
④ メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれ
るデータやファイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこ
と。なお、保守等でやむを得ずファイル送信等を行う場合、送信側で無害化処理が行
われていることを確認すること 。
定義ファイルを常に最新のものに更新する。
①-6
医療情報システム等の構築に際して、外部か
◎
らプログラムを媒体で持ち込んだりダウン
システム運用編
ロードしたりする必要がある場合には、必ず
事前に最新の不正プログラム対策ソフトウェ
8.利用機器・サービスに対す
る安全管理措置
③
【遵守事項】
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を
防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュリ
ティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
ア等の導入を行う。また情報システムへの影
響度を勘案して、最新のセキュリティパッチ
の適用を行う。
①-7
医療情報システム等利用環境がウイルス等に
◎
よる攻撃を受けた場合に、医療情報システム
等提供に係る影響について、速やかに医療機
関等に周知し、必要な対応等を求める。
3.6. 端末やサーバの堅牢 ①端末やサーバの堅牢
化
①-1
化
①-2
医療情報はサーバ機器のみに保存し、表示の
◎
端末やサーバで利用していない機能や
ための一時的な保存等を除き、端末上に保存
アプリケーションが悪用されることに
されることがないようにする。
より、不正プログラムが実行される。
ウェブブラウザの接続するサーバを業務上必
企画管理編
15.技術的な安全管理対策の
管理
⑥
【遵守事項】
システム運用に関する安全管理対策として必要な項目を担当者と協働して検討する
こと。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアやサイバー
企画管理編
攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
15.技術的な安全管
理対策の管理
◎
システム運用編
イトから、ActiveX、Java アプレット、Flash
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナル
編
ファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならない
持出し・破棄等)
ような対策を実施すること。
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや他
の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナルファイ
アウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならないような対
④
行することができない設定とする(管理ソフ
トウェアが実行されるサーバのみを認可す
他の外部媒体に接続したりする場合は、不正ソフトウェア対策ソフトやパーソナル
編
ファイアウォールの導入等により、情報端末が情報漏洩、改ざん等の対象にならない
持出し・破棄等)
ような対策を実施すること。
◎
ドについても不正プログラム対策ソフトウェ
アにより検査する。
①-5
ウェブブラウザからメールクライアント等の
システム運用編
ションが明示的な確認なしに起動されないよ
システム運用編
う設定を行うことが望ましい。
医療情報システム等のサーバ機器等への同時
8.利用機器・サービスに対す
る安全管理措置
③
【遵守事項】
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を
防止するために、不正ソフトウェア対策ソフトのパターンファイルや
OS のセキュリ
ティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
システム運用
編
8.利用機器・サービ
③
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等
スに対する安全管理措
を防止するために、不正ソフトウェア対策ソフトのパターンファイルやOSのセキュ
置
リティ・パッチ等、リスクに対してセキュリティ対策を適切に適用すること。
〇
業務処理において想定しない外部アプリケー
①-6
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや
システム運用 7.情報管理(管理・
る)。
認可したサイトからダウンロードされるコー
持ち出した利用者が情報機器を、医療機関等が管理しない外部のネットワークや
システム運用 7.情報管理(管理・
策を実施すること。
等のプログラムコードをダウンロード及び実
①-4
サイバー攻撃含む)への対策に関する項目については、定期的に見直しを図ること。
④
④
ウェブブラウザの設定で、認可していないサ
システム運用に関する安全管理対策について、必要な項目を担当者と協働して検
討すること。特に医療情報システムの脆弱性(不正ソフトウェア対策ソフトウェアや
◎
要なサーバに限定する。
①-3
⑥
13.ネットワークに関する安
全管理措置
【遵守事項】
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び中
間者攻撃等を防止する対策を実施すること。
システム運用
編
13.ネットワークに
関する安全管理措置
⑨
ネットワーク経路でのメッセージ挿入、不正ソフトウェアの混入等の改ざん及び
中間者攻撃等を防止する対策を実施すること。
◎
ログオンユーザ数(OS アカウント等)に適
切な上限を設ける。
①-7
医療情報システム等に用いる装置には、必要
◎
のないアプリケーション等をインストールし
⑥
ない。
⑥
①-8
医療情報システム等に関する情報を格納する
機器を持ち出す場合には、当該持ち出しの目
的に必要な最小限のアプリケーションをイン
◎
システム運用編
7.情報管理(管理・持出し・
破棄等)
【遵守事項】
持ち出した医療情報を取り扱う情報機器には、必要最小限のアプリケーションのみ
をインストールするとともに、原則として情報機器に対する変更権限がないような設定
を行うこと。業務に使用しないアプリケーションや機能については削除又は停止する
か、業務に対して影響がないことを確認すること。
ストールする
28/39
持ち出した医療情報を取り扱う情報機器には、必要最小限のアプリケーションの
システム運用 7.情報管理(管理・
みをインストールするとともに、原則として情報機器対する変更権限がない設定を行
編
うこと。業務に使用しないアプリケーションや機能については削除又は停止するか、
持出し・破棄等)
業務に対して影響がないことを確認すること。