おそれのある者
vi) その他、医療・介護データ等を利用して不適切な行為をしたことがある等で取扱
者になることが不適切であると厚生労働大臣が認めた者
・ 利用申出者は、取扱者に対し、医療・介護データ等を取り扱う上で必要な教育及び訓
練を行うこと。
・

法令上の守秘義務のある者以外を事務職員等として採用するにあたっては、雇用契約
時に併せて守秘・非開示契約を締結すること等により安全管理を行うこと。

３ 物理的な安全管理措置
i)

HIC を利用する区域は、事前に申し出た区画とすること（国内に限る）。

・ HIC を利用する区画は施錠すること。
・ HIC を利用する区画に立ち入れる者は、職員証のある者、研究室の鍵を持つもの等、
制限すること。取扱者に限る必要はない。（例：〇〇研究室内）
・ HIC は事前に承諾された場所でのみ利用すること。
ii)

利用端末の紛失・盗難等の防止措置を講じること。

・ 利用端末は、施錠された研究室内等で保管すること。
・ 利用端末は他者への譲渡又は貸与を行わないこと。
・ 利用端末を追跡かつ遠隔からの命令等によりデータを消去する機能を設けること。
iii) HIC 利用終了後は、厚生労働省が生成物を含む解析環境を破棄するため、遅滞なく利
用終了について報告すること。

４ 技術的な安全管理措置
i)

HIC を利用できる者を限定するため、適切な処置を講じること。

・ HIC へのログイン時は二要素認証が採用されている。初回のログイン後、案内に従い
パスワードを変更すること。
・ パスワードルールは以下の通りとする。
✓

パスワードは８文字以上の英数字、記号を混在させた推定困難な文字列とする。

✓

パスワードは原則２ヶ月ごとに変更する。ただし、13 文字以上の英数字、記号を
混在させた推定困難な文字列を設定した場合、定期的な変更は不要である。

✓

HIC へのログインパスワード入力に５回失敗した場合にはログイン不能とする。
再開には、厚生労働省の指定するヘルプデスクに連絡し、ヘルプデスクでは本人
確認の上でパスワードをリセットする。

・ 利用端末へのアクセス時に、取扱者の識別と認証を行うこと。（同一の利用端末から
複数の取扱者が HIC にログインしても構わない。
）
4