よむ、つかう、まなぶ。
【参考資料3-7】(別添1)医療情報システムの契約における当事者間の役割分担等に関する確認表 推奨される対応例 (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
項番
項目
内容
推奨される対応例
ガイドライン等関連部分
参考 「医療機関におけるサイバーセキュリティ対策チェックリスト」該当項目
事業者からサービス仕様適合開示書*1 等(MDS/SDS*2 、MDS2*3 等)の開示を受け
た上で、それらを参考にして、事業者の安全管理に係る基本方針や管理的・技術的・物
理的安全管理対策措置の状況、実績等に基づく安全管理に関する信用度、財務諸表等に ・医療機関におけるサイバーセキュリティ対策
➀ 事業者の情報セキュリティにおける対応状況 基づく経営の健全性等、必要な事項を確認し、適切な事業者の選定を行う。以下の要件 チェックリスト
を、事業者から提供された資料をもって確認し 等を参考に、利用者との契約に基づく事業実施体制内において、事業者が情報セキュリ ・医療情報システムの安全管理に関する
1
ティに対応しているかについて確認し、適切な事業者を選定する。
適切な事業者
ているか。
の選定
➁ 情報セキュリティについて十分な対応をして ・事業者がプライバシーマーク
*9
ガイドライン第6.0版
等認証を取得していること
いることが確認できる事業者を選定している
・事業者における、セキュリティに関する資格[情報処理安全確保支援士
か。
キュリティマネジメント試験*11 等]や一定の実務経験を有する者の人数
経営管理編5.1
*10
・情報セ
別添小規模医療機関向けガイダンス3.5
・事業者が、医療機関が容易に理解できるように、「医療情報を取り扱う情報システ
ム・サービスの提供事業者における安全管理ガイドライン」に即した情報提供を行って
いること
(a)
情報セキュリティ方針の策定、推進、実効性確保のために、経営層の適切な人物
が医療情報システム安全管理責任者に就く。
(b)
医療情報システムの安全管理を行うために必要
2
安全管理のための な運用管理の管理責任者として医療情報システ
体制と責任・権限 ム安全管理責任者及び企画管理者を任命し、適
切な体制を整備できているか。
その上で企画管理者を任命し、企画管理者の業務範囲と権限を明確化し、企画管
理者において、
・医療機関におけるサイバーセキュリティ対策
・
安全管理に関する技術的な対応を行う担当者の任命
・
非常時の対応を想定した安全管理に必要な体制の構築
・
医療情報の漏えい等が生じた際の必要な体制の構築
・
医療情報の安全な取扱いに必要な教育や訓練を講じるための体制の整備
・
内部検査及び監査等の体制の構築
・
患者等からの相談や苦情への対応体制の構築
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編3、経営管理編3.1.2、3.2
これらに関して整備した内容の可視化等を行う。
(a)
情報機器等(※)の所在と、それらの使用可否の状態を適切に管理するため、機
器台帳を作成して、情報機器等の所在や利用者、ソフトウェアやサービスのバージョン
等の管理を行い、情報機器等が利用に適した状況にあることを確認できるようにする。 ・医療機関におけるサイバーセキュリティ対策
① 情報機器等(サーバ、端末PC、ネットワーク
機器等)の台帳管理を行っているか。
事業継続の観点から紙及びクラウド等を用いた管理等、台帳管理を行う媒体の種類及び
媒体数等も検討すること。
(※)サーバ、端末PC、ネットワーク機器のほか、ネットワークに接続される可能性
がある医療機器等も含む。
(b)
3
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1、企画管理編9.1
必要に応じて事業者と協力しながら、リモートメンテナンス*12(保守)を利用し
ている機器の有無の把握も行う。
医療情報システム
・医療機関におけるサイバーセキュリティ対策
の管理・運用
② 利用者の職種・担当業務別の情報区分ごとの
アクセス利用権限を設定しているか。
必要に応じて事業者と協力しながら、医療従事者の資格や医療機関内の権限規程に応
チェックリスト
じて利用権限を設定する。また、利用者に付与したID等について台帳等により一覧化し ・医療情報システムの安全管理に関する
て管理する。
ガイドライン第6.0版
企画管理編13
・医療機関におけるサイバーセキュリティ対策
③ 退職者や使用していないアカウント等、不要
なアカウントを削除しているか。
不要なIDによる不正アクセス
*13
等のリスクを防ぐため、退職者や使用していないID
等が残存していないかを確認し、速やかに削除する。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編13
・医療機関におけるサイバーセキュリティ対策
➀ インシデント発生時における組織内と外部関
4
サイバーインシデント発生時、速やかに情報共有等が行えるよう、緊急連絡網を明示
チェックリスト
係機関(事業者、厚生労働省、警察等)の連絡
した連絡体制図を作成し、施設内の連絡先に加え、事業者、情報セキュリティ事業者、 ・医療情報システムの安全管理に関する
体制図があるか。
外部有識者、都道府県警察の担当部署、厚生労働省や所管省庁等を明示しておく。
ガイドライン第6.0版
経営管理編3.4.2、3.4.3、企画管理編12.3
インシデント発生
・医療機関におけるサイバーセキュリティ対策
に備えた対応
万が一サイバー攻撃を受けても重要業務が中断しない、または中断しても短い期間で
➁ サイバー攻撃を想定した事業継続計画(BCP 再開できるよう、サイバー攻撃を想定したBCP*4 等を整備しておく。例えば機器等が
*4
)を策定しているか。
機能しなくなった場合の業務遂行・復旧方法や、復旧した後に、機能しなくなった間に
講じた措置をどのように反映させるのか等をあらかじめ整理する。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編3.4.1、企画管理編11.1
別添小規模医療機関向けガイダンス3.53.3.4
2 ページ
項目
内容
推奨される対応例
ガイドライン等関連部分
参考 「医療機関におけるサイバーセキュリティ対策チェックリスト」該当項目
事業者からサービス仕様適合開示書*1 等(MDS/SDS*2 、MDS2*3 等)の開示を受け
た上で、それらを参考にして、事業者の安全管理に係る基本方針や管理的・技術的・物
理的安全管理対策措置の状況、実績等に基づく安全管理に関する信用度、財務諸表等に ・医療機関におけるサイバーセキュリティ対策
➀ 事業者の情報セキュリティにおける対応状況 基づく経営の健全性等、必要な事項を確認し、適切な事業者の選定を行う。以下の要件 チェックリスト
を、事業者から提供された資料をもって確認し 等を参考に、利用者との契約に基づく事業実施体制内において、事業者が情報セキュリ ・医療情報システムの安全管理に関する
1
ティに対応しているかについて確認し、適切な事業者を選定する。
適切な事業者
ているか。
の選定
➁ 情報セキュリティについて十分な対応をして ・事業者がプライバシーマーク
*9
ガイドライン第6.0版
等認証を取得していること
いることが確認できる事業者を選定している
・事業者における、セキュリティに関する資格[情報処理安全確保支援士
か。
キュリティマネジメント試験*11 等]や一定の実務経験を有する者の人数
経営管理編5.1
*10
・情報セ
別添小規模医療機関向けガイダンス3.5
・事業者が、医療機関が容易に理解できるように、「医療情報を取り扱う情報システ
ム・サービスの提供事業者における安全管理ガイドライン」に即した情報提供を行って
いること
(a)
情報セキュリティ方針の策定、推進、実効性確保のために、経営層の適切な人物
が医療情報システム安全管理責任者に就く。
(b)
医療情報システムの安全管理を行うために必要
2
安全管理のための な運用管理の管理責任者として医療情報システ
体制と責任・権限 ム安全管理責任者及び企画管理者を任命し、適
切な体制を整備できているか。
その上で企画管理者を任命し、企画管理者の業務範囲と権限を明確化し、企画管
理者において、
・医療機関におけるサイバーセキュリティ対策
・
安全管理に関する技術的な対応を行う担当者の任命
・
非常時の対応を想定した安全管理に必要な体制の構築
・
医療情報の漏えい等が生じた際の必要な体制の構築
・
医療情報の安全な取扱いに必要な教育や訓練を講じるための体制の整備
・
内部検査及び監査等の体制の構築
・
患者等からの相談や苦情への対応体制の構築
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編3、経営管理編3.1.2、3.2
これらに関して整備した内容の可視化等を行う。
(a)
情報機器等(※)の所在と、それらの使用可否の状態を適切に管理するため、機
器台帳を作成して、情報機器等の所在や利用者、ソフトウェアやサービスのバージョン
等の管理を行い、情報機器等が利用に適した状況にあることを確認できるようにする。 ・医療機関におけるサイバーセキュリティ対策
① 情報機器等(サーバ、端末PC、ネットワーク
機器等)の台帳管理を行っているか。
事業継続の観点から紙及びクラウド等を用いた管理等、台帳管理を行う媒体の種類及び
媒体数等も検討すること。
(※)サーバ、端末PC、ネットワーク機器のほか、ネットワークに接続される可能性
がある医療機器等も含む。
(b)
3
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編1.2.1、企画管理編9.1
必要に応じて事業者と協力しながら、リモートメンテナンス*12(保守)を利用し
ている機器の有無の把握も行う。
医療情報システム
・医療機関におけるサイバーセキュリティ対策
の管理・運用
② 利用者の職種・担当業務別の情報区分ごとの
アクセス利用権限を設定しているか。
必要に応じて事業者と協力しながら、医療従事者の資格や医療機関内の権限規程に応
チェックリスト
じて利用権限を設定する。また、利用者に付与したID等について台帳等により一覧化し ・医療情報システムの安全管理に関する
て管理する。
ガイドライン第6.0版
企画管理編13
・医療機関におけるサイバーセキュリティ対策
③ 退職者や使用していないアカウント等、不要
なアカウントを削除しているか。
不要なIDによる不正アクセス
*13
等のリスクを防ぐため、退職者や使用していないID
等が残存していないかを確認し、速やかに削除する。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編13
・医療機関におけるサイバーセキュリティ対策
➀ インシデント発生時における組織内と外部関
4
サイバーインシデント発生時、速やかに情報共有等が行えるよう、緊急連絡網を明示
チェックリスト
係機関(事業者、厚生労働省、警察等)の連絡
した連絡体制図を作成し、施設内の連絡先に加え、事業者、情報セキュリティ事業者、 ・医療情報システムの安全管理に関する
体制図があるか。
外部有識者、都道府県警察の担当部署、厚生労働省や所管省庁等を明示しておく。
ガイドライン第6.0版
経営管理編3.4.2、3.4.3、企画管理編12.3
インシデント発生
・医療機関におけるサイバーセキュリティ対策
に備えた対応
万が一サイバー攻撃を受けても重要業務が中断しない、または中断しても短い期間で
➁ サイバー攻撃を想定した事業継続計画(BCP 再開できるよう、サイバー攻撃を想定したBCP*4 等を整備しておく。例えば機器等が
*4
)を策定しているか。
機能しなくなった場合の業務遂行・復旧方法や、復旧した後に、機能しなくなった間に
講じた措置をどのように反映させるのか等をあらかじめ整理する。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
経営管理編3.4.1、企画管理編11.1
別添小規模医療機関向けガイダンス3.53.3.4
2 ページ