よむ、つかう、まなぶ。
参考資料5 ガイドライン新旧対応表 (21 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000198094_00078.html |
| 出典情報 | 社会保障審議会 介護保険部会 匿名介護情報等の提供に関する専門委員会(第15回 3/14)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
f) 匿名要介護認定情報等の消去にあたっては、専用ソフトウェア等を用い、復元不可
c)介護DBデータ・生成物の削除や、介護DBデータ・生成物が存在するPC等の機器等
能な形で行うこと。
を廃棄する場合には、専用ツールを用いるなどにより第三者が復元できない手段で行う
こと 。
・データ消去の証明書を提出すること。証明書に既定のフォーマットはなく、消去ソフ
トを利用して消去した際の画面キャプチャ等で構わない。
・破棄に関する運用管理規程において、把握した情報種別ごとに具体的な破棄の手順を
定めること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方
法を含めること。(※※)
・集計表、サンプリングデータセットの場合は、情報種別ごとに破棄の手順を定めるの
みで良い。
情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、機器
に残存した読み出し可能な情報がないことを確認すること。
情報の破棄を外部事業者に委託した場合は、確実に医療情報が破棄されたことを、 証憑
または事業者の説明により確認すること。
ⅳ)技術的安全管理措置
(4)技術的な安全管理措置
a)介護DBデータを取り扱うPC等において介護DBデータを処理することができる者を
限定するため、適切な処置を講じること。
a)匿名要介護認定情報等を利用する情報システムへのアクセスにおける取扱者の識別
・介護DBデータを利用するPC等へのアクセス時に、取扱者の識別と認証を行うこと
と認証を行うこと。
b)上記a)の取扱者の識別・認証に用いる手段として、セキュリティ強度を考慮し、IC
・二要素認証[12]を採用すること。この場合は、パスワードの定期的な変更は必要な
カード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指
い。
紋、静脈、虹彩のような取扱者の生体的特徴を利用した生体計測)やユーザID ・パス
[12]ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス
ワード+バイオメトリクスといった2つの独立した要素を用いて行う方式(二要素認
(指紋、静脈、虹彩のような利用者の生体的特徴を利用した生体計測)やユーザID ・パス
証)を採用することを求める。この場合は、必ずしもパスワードの定期的な変更を求め
ワード+バイオメトリクスといった2つの独立した要素を用いて行う方式
ない。
ただし、何らかの事情で上記の実装が困難な場合は、ユーザIDとパスワードを組み合わ
・ただし、二要素認証の実装が困難な場合は、IDとパスワードによる認証を行うこ
せた認証を行うこと。その場合は、以下の事項に留意すること。
と。
・利用者の識別・認証にIDとパスワードの組み合わせを用いる場合、それらの情報を
本人しか知り得ない状態に保つよう対策を行い、他者への譲渡又は貸与は行わないこ
と。
・パスワードは定期的に変更し(最長でも2ヶ月以内)、極端に短い文字列を使用しな
・パスワードルールは以下の通りとする。
いこと。英数字、記号を混在させた8文字以上の文字列が望ましい。なお、下記の要件
ⅰ)パスワードは8文字以上の英数字、記号を混在させた推定困難な文字列とする。
を含め、適切に設定された13文字以上のパスワードを用いる場合は定期的な変更は必要
ⅱ)パスワードは原則2ヶ月ごとに変更する。ただし、13文字以上の英数字、記号を混
ない。
在させた推定困難な文字列を設定した場合、定期的な変更は不要である。
・類推しやすいパスワードを使用しないこと。
・匿名要介護認定情報等が複写された情報システムが複数の者によって利用される場合
・介護DBデータを利用・保存している情報システムに複数の者がログインする場合、
にあっては、当該システム内のパスワードファイルはパスワードを必ず暗号化(不可逆
システム内のパスワードは暗号化(不可逆変換が望ましい。)された状態で管理・運用
変換が望ましい。) した状態とするよう、適切な手法で管理及び運用が行われること。
されること。
利用者識別にIC カード等他の手段を併用した場合は、システムに応じたパスワードの運
用方法を運用管理規程にて定めること。
・取扱者がパスワードを忘れたり、盗用されたりする恐れがある場合で、システム管理
・取扱者がパスワードを忘れたり、盗用されたりする恐れがあり、情報システム運用責
者がパスワードを変更する場合には、取扱者の本人確認を行い、どのような手法で本人
任者等、本人以外がパスワードを変更する場合には、当該利用者の本人確認を行い、記
確認を行ったのかを台帳に記載(本人確認を行った書類等のコピーを添付)し、本人以
録を残すこと。(※※)
外が知り得ない方法で再登録を実施すること。
・システム管理者であっても、取扱者のパスワードを推定できる手段を防止すること。
・システム管理者であっても、取扱者のパスワードを推定できないようにすること。
(設定
(設定ファイルにパスワードが記載される等があってはならない。)
ファイルにパスワードが記載される等があってはならない。)。
b)不正アクセス行為を防止するため、適切な措置を講じること。介護DBデータの漏
洩、滅失、毀損を防止するため、適切な措置を講じること。
d)匿名要介護認定情報等を利用する情報システムへのアクセスの記録及び定期的なロ
①
利用端末の管理
グの確認を行うこと。アクセスの記録は少なくとも取扱者のログイン時刻、アクセス時
・介護DBデータを利用するPC等へのアクセスの記録及び定期的なログの確認を行うこ
間並びにログイン中に操作した取扱者が特定できるようにすること。
と。
・アクセスの記録は少なくとも取扱者のログイン時刻(信頼できる時刻情報であるこ
と)、アクセス時間及びログイン中に操作した取扱者が特定できること。利用終了後少
なくとも1年は保管すること。
e)匿名要介護認定情報等を利用する情報システムはアクセス記録機能を備えたもので
・仮にアクセス記録機能がない場合には、業務日誌等で操作の記録(操作者及び操作内
あること。仮に当該機能がない場合には業務日誌等で操作の記録(操作者及び操作内
容)を必ず行うこと。
容)を必ず行うこと。
なお、記録等は利用終了後少なくとも1年は保管すること。
f)匿名要介護認定情報等を利用する情報システムにアクセスログへのアクセス制限を
・介護DBデータを利用するPC等にアクセスログへのアクセス制限を行い、アクセスロ
行い、アクセスログの不当な削除、改ざん及び追加等を防止する対策を講ずること。
グの不当な削除、改ざん、追加などを防止する対策を講じること。(※※)
21
c)介護DBデータ・生成物の削除や、介護DBデータ・生成物が存在するPC等の機器等
能な形で行うこと。
を廃棄する場合には、専用ツールを用いるなどにより第三者が復元できない手段で行う
こと 。
・データ消去の証明書を提出すること。証明書に既定のフォーマットはなく、消去ソフ
トを利用して消去した際の画面キャプチャ等で構わない。
・破棄に関する運用管理規程において、把握した情報種別ごとに具体的な破棄の手順を
定めること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方
法を含めること。(※※)
・集計表、サンプリングデータセットの場合は、情報種別ごとに破棄の手順を定めるの
みで良い。
情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、機器
に残存した読み出し可能な情報がないことを確認すること。
情報の破棄を外部事業者に委託した場合は、確実に医療情報が破棄されたことを、 証憑
または事業者の説明により確認すること。
ⅳ)技術的安全管理措置
(4)技術的な安全管理措置
a)介護DBデータを取り扱うPC等において介護DBデータを処理することができる者を
限定するため、適切な処置を講じること。
a)匿名要介護認定情報等を利用する情報システムへのアクセスにおける取扱者の識別
・介護DBデータを利用するPC等へのアクセス時に、取扱者の識別と認証を行うこと
と認証を行うこと。
b)上記a)の取扱者の識別・認証に用いる手段として、セキュリティ強度を考慮し、IC
・二要素認証[12]を採用すること。この場合は、パスワードの定期的な変更は必要な
カード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指
い。
紋、静脈、虹彩のような取扱者の生体的特徴を利用した生体計測)やユーザID ・パス
[12]ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス
ワード+バイオメトリクスといった2つの独立した要素を用いて行う方式(二要素認
(指紋、静脈、虹彩のような利用者の生体的特徴を利用した生体計測)やユーザID ・パス
証)を採用することを求める。この場合は、必ずしもパスワードの定期的な変更を求め
ワード+バイオメトリクスといった2つの独立した要素を用いて行う方式
ない。
ただし、何らかの事情で上記の実装が困難な場合は、ユーザIDとパスワードを組み合わ
・ただし、二要素認証の実装が困難な場合は、IDとパスワードによる認証を行うこ
せた認証を行うこと。その場合は、以下の事項に留意すること。
と。
・利用者の識別・認証にIDとパスワードの組み合わせを用いる場合、それらの情報を
本人しか知り得ない状態に保つよう対策を行い、他者への譲渡又は貸与は行わないこ
と。
・パスワードは定期的に変更し(最長でも2ヶ月以内)、極端に短い文字列を使用しな
・パスワードルールは以下の通りとする。
いこと。英数字、記号を混在させた8文字以上の文字列が望ましい。なお、下記の要件
ⅰ)パスワードは8文字以上の英数字、記号を混在させた推定困難な文字列とする。
を含め、適切に設定された13文字以上のパスワードを用いる場合は定期的な変更は必要
ⅱ)パスワードは原則2ヶ月ごとに変更する。ただし、13文字以上の英数字、記号を混
ない。
在させた推定困難な文字列を設定した場合、定期的な変更は不要である。
・類推しやすいパスワードを使用しないこと。
・匿名要介護認定情報等が複写された情報システムが複数の者によって利用される場合
・介護DBデータを利用・保存している情報システムに複数の者がログインする場合、
にあっては、当該システム内のパスワードファイルはパスワードを必ず暗号化(不可逆
システム内のパスワードは暗号化(不可逆変換が望ましい。)された状態で管理・運用
変換が望ましい。) した状態とするよう、適切な手法で管理及び運用が行われること。
されること。
利用者識別にIC カード等他の手段を併用した場合は、システムに応じたパスワードの運
用方法を運用管理規程にて定めること。
・取扱者がパスワードを忘れたり、盗用されたりする恐れがある場合で、システム管理
・取扱者がパスワードを忘れたり、盗用されたりする恐れがあり、情報システム運用責
者がパスワードを変更する場合には、取扱者の本人確認を行い、どのような手法で本人
任者等、本人以外がパスワードを変更する場合には、当該利用者の本人確認を行い、記
確認を行ったのかを台帳に記載(本人確認を行った書類等のコピーを添付)し、本人以
録を残すこと。(※※)
外が知り得ない方法で再登録を実施すること。
・システム管理者であっても、取扱者のパスワードを推定できる手段を防止すること。
・システム管理者であっても、取扱者のパスワードを推定できないようにすること。
(設定
(設定ファイルにパスワードが記載される等があってはならない。)
ファイルにパスワードが記載される等があってはならない。)。
b)不正アクセス行為を防止するため、適切な措置を講じること。介護DBデータの漏
洩、滅失、毀損を防止するため、適切な措置を講じること。
d)匿名要介護認定情報等を利用する情報システムへのアクセスの記録及び定期的なロ
①
利用端末の管理
グの確認を行うこと。アクセスの記録は少なくとも取扱者のログイン時刻、アクセス時
・介護DBデータを利用するPC等へのアクセスの記録及び定期的なログの確認を行うこ
間並びにログイン中に操作した取扱者が特定できるようにすること。
と。
・アクセスの記録は少なくとも取扱者のログイン時刻(信頼できる時刻情報であるこ
と)、アクセス時間及びログイン中に操作した取扱者が特定できること。利用終了後少
なくとも1年は保管すること。
e)匿名要介護認定情報等を利用する情報システムはアクセス記録機能を備えたもので
・仮にアクセス記録機能がない場合には、業務日誌等で操作の記録(操作者及び操作内
あること。仮に当該機能がない場合には業務日誌等で操作の記録(操作者及び操作内
容)を必ず行うこと。
容)を必ず行うこと。
なお、記録等は利用終了後少なくとも1年は保管すること。
f)匿名要介護認定情報等を利用する情報システムにアクセスログへのアクセス制限を
・介護DBデータを利用するPC等にアクセスログへのアクセス制限を行い、アクセスロ
行い、アクセスログの不当な削除、改ざん及び追加等を防止する対策を講ずること。
グの不当な削除、改ざん、追加などを防止する対策を講じること。(※※)
21