よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインFAQ」 (9 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
対応を図ります。リスク対応は対象事業者だけで完結するものではなく、医療情報システム
等を利用する医療機関等にも対応を求めることもあります。例えば、様々な患者やスタッフ
が行き交う診察室の端末にパスワードを貼り付けておかないなどです。パスワードの桁数
を増やすという対応は、その時点において、対象事業者は残存リスクとして許容できたとし
ても、情報技術の進展によるセキュリティの危殆化から、対象事業者として多要素認証を用
いるべきであると判断する場合が出てきます。その場合、対象事業者はリスク対応方法につ
いて再度検討し、医療機関等とあらためて合意形成を図ることになります。
5.3. 別紙2の取扱いをどう考えれば良いか?
本ガイドラインは、リスクベースアプローチを採用しています。医療情報システム等のリ
スク特定、リスク分析、リスク評価、リスク対応といったプロセスをもとに、リスクマネジ
メントを継続的に実施し、医療情報システム等の適切な運用を図っていきます。言い換えれ
ば、ある特定の要求事項を最低限満たすことを目的としていません。
別紙2は、従前の経済産業省「医療情報を受託管理する情報処理事業者における安全管理
ガイドライン」及び総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に
関するガイドライン」の要求事項を、医療情報安全管理ガイドライン(第6版)との対応関
係も踏まえ対策項目として整理・統合したものです。別紙 2 は、医療情報システム等の運用
が適切であるか、リスクマネジメントを通じて、最低限確認するためのものと位置づけてい
ます。リスク分析の結果、適切であるならば、別紙 2 に記載されていない対策(代替策を含
む)
、記載されていること以上の対策の実施を妨げるものではありません。別紙 2 は ISMS
の附属書 A 管理策に近い位置づけと考えることができます。
ただ、基本的に、適切なリスクマネジメントを実施していれば、別紙 2 で求められている
対策項目と同等又はそれ以上の対策は実施されるものと考えています。別紙 2 で求められ
る対策を採用しない場合は、合理的な理由(例:当該医療システムとは関係のない事項であ
る、要求事項の代替措置がある等)が必要です。
5.4. 医療情報システム等特有の考慮事項はどう考えるべきか?
ガイドライン「5.1.5. リスク対応策の設計・評価、(1) リスク対応策の設計、(イ) 医療情
報システム等特有の考慮事項」では、現行の医療情報安全管理ガイドラインも踏まえつつ医
療情報システム等特有の考慮事項をまとめています。しかし、この考慮事項は医療情報安全
管理ガイドラインの改定等とともに、変更される可能性(例えば、VPN や無線 LAN の技術
的な項目)があります。対象事業者は医療情報システム等を医療機関に提供する場合、最新
7
等を利用する医療機関等にも対応を求めることもあります。例えば、様々な患者やスタッフ
が行き交う診察室の端末にパスワードを貼り付けておかないなどです。パスワードの桁数
を増やすという対応は、その時点において、対象事業者は残存リスクとして許容できたとし
ても、情報技術の進展によるセキュリティの危殆化から、対象事業者として多要素認証を用
いるべきであると判断する場合が出てきます。その場合、対象事業者はリスク対応方法につ
いて再度検討し、医療機関等とあらためて合意形成を図ることになります。
5.3. 別紙2の取扱いをどう考えれば良いか?
本ガイドラインは、リスクベースアプローチを採用しています。医療情報システム等のリ
スク特定、リスク分析、リスク評価、リスク対応といったプロセスをもとに、リスクマネジ
メントを継続的に実施し、医療情報システム等の適切な運用を図っていきます。言い換えれ
ば、ある特定の要求事項を最低限満たすことを目的としていません。
別紙2は、従前の経済産業省「医療情報を受託管理する情報処理事業者における安全管理
ガイドライン」及び総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に
関するガイドライン」の要求事項を、医療情報安全管理ガイドライン(第6版)との対応関
係も踏まえ対策項目として整理・統合したものです。別紙 2 は、医療情報システム等の運用
が適切であるか、リスクマネジメントを通じて、最低限確認するためのものと位置づけてい
ます。リスク分析の結果、適切であるならば、別紙 2 に記載されていない対策(代替策を含
む)
、記載されていること以上の対策の実施を妨げるものではありません。別紙 2 は ISMS
の附属書 A 管理策に近い位置づけと考えることができます。
ただ、基本的に、適切なリスクマネジメントを実施していれば、別紙 2 で求められている
対策項目と同等又はそれ以上の対策は実施されるものと考えています。別紙 2 で求められ
る対策を採用しない場合は、合理的な理由(例:当該医療システムとは関係のない事項であ
る、要求事項の代替措置がある等)が必要です。
5.4. 医療情報システム等特有の考慮事項はどう考えるべきか?
ガイドライン「5.1.5. リスク対応策の設計・評価、(1) リスク対応策の設計、(イ) 医療情
報システム等特有の考慮事項」では、現行の医療情報安全管理ガイドラインも踏まえつつ医
療情報システム等特有の考慮事項をまとめています。しかし、この考慮事項は医療情報安全
管理ガイドラインの改定等とともに、変更される可能性(例えば、VPN や無線 LAN の技術
的な項目)があります。対象事業者は医療情報システム等を医療機関に提供する場合、最新
7