よむ、つかう、まなぶ。
【参考資料3-7】(別添1)医療情報システムの契約における当事者間の役割分担等に関する確認表 推奨される対応例 (5 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
項番
項目
内容
想定されるリスク
推奨される対応例
ガイドライン等関連部分
用いるシステム、サービスの内容に応じて、通信及び保存情
報の暗号化の有無および程度(全部か、一定範囲か等)につい
て取り決める。
通信及び保存情報が暗号化されていな
4
通信及び保存情報の暗号化を
暗号化
実施する。
特に、医療情報システムに対する外部からの接続を認める場
いと、通信の盗聴、保存情報の紛失・不 合、安全対策が確保された内部ネットワーク に到達するまで
正アクセス
*13
が生じた場合に情報が読
のオープンなネットワーク(インターネット)において、通信
み取られ、漏えいするリスクが高まる。 経路に関する安全対策が確実に確保されるよう、事業者におい
て暗号化等必要な対策を講じることを取り決める。
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編13.1.2
・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
なお、暗号化にあたっては、復号のための手段を確保するな
ど、医療情報の可用性に留意すること。
リスク分析等に基づき、ネットワーク
を適切に構築する必要がある。例えばリ
5
ネットワーク構成
診療等に必要なネットワーク
を適切に構築する。
モートメンテナンス*12等のために外部接
続点を多数設置する等、必要以上の外部
アクセスを許容する設計としたような場
合、管理等が困難となり脆弱性*8 の原因
となるおそれがある。
品質管理の状況について医療機関が把
6
品質確保の状況
医療情報システムの品質管理
握できず、品質が適切に確保されない
方法等について両者で確認す
と、必要な改修や将来的なシステムの刷
るための情報提供を行う。
新の計画等を立てることが困難になるお
(a) 十分なセキュリティを確保しつつ、適切な保守・運用
(システム障害対応等を含む)を行うことも見据えて、ネット
ワークを適切に構築する(論理的/物理的な構成分離、ネット
ワーク間のアクセス制御等)。
(b) 外部ネットワーク利用等に関連する具体的な役割分担
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編8.1、システム運用編12.2
等、責任の所在の範囲について取り決める。
医療情報システムを構成するオープンソースソフトウェア*
19
を含むソフトウェア等を事業者に委託して開発する場合に、
ソースコード*20 の開示や、使用している製品やテストでの検
証状況の報告等を行うことで、品質確保の状況について医療機
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編9.2
関にオープンソースソフトウェア等の汎用ソフトウェアをどの
それがある。
程度使用するかについて、情報交換を行いつつ取り決める。
C
1
システム保守・運用契約
ネットワークのト
*7
ラフィック
ネットワークのトラフィック*
ネットワーク障害や大量のデータ転送
事故発生時の対応方法及び、事業者が事故の発生又は発生の
の監視及び異常発生時の対応 により、ネットワークが正常に利用でき おそれを認識した場合、直ちに医療機関に連絡するよう取り決
監視
なくなるおそれがある。
める。
を確認する。
7
・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
システムの状況を把握できないことに
2
機器運用監視
サーバ、ネットワーク機器の
より、障害への対応が遅れてシステムへ
稼働監視を行う。
のアクセスが長時間停止するおそれがあ 事業者及び医療機関に通知をすることを取り決めておく。
稼働状況を常時把握可能とし、異常が検知された場合には、 ・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
る。
医療情報システムの運用を委
運用委託先による
3
システムの管理状
況の報告
託する場合において、医療機
関が管理状況を把握し、安全
管理がなされていることを確
認できるような体制を構築す
事業者による管理状況が不十分になっ
たり、当初の想定から乖離したりするお
それがある。
・医療情報システムの安全管理に関する
事業者による定期的な報告のほか、医療機関が求めた場合に
は直ちに報告することを取り決める。
ガイドライン第6.0版
企画管理編10、経営管理編5.2.1、
システム運用編3.3.1
る。
4
事故発生時の対応方法及び医
事故発生時に事業者及び医療機関が速
事故発生時の報告 療機関への報告について取り
やかに対応できなければ、被害が拡大す
決める。
るおそれがある。
事故発生時に状況や関連情報を分析
事故発生時の原因究明、善後
5
事故発生時の原因 策の策定・実施、再発防止策
究明・対策
の策定・実施に係る役割分担
を行う。
し、原因を究明して善後策を策定・実施
すること。
また、再発防止策の策定・実施につい
ての役割分担を定めておかなければ、事
故発生時に迅速かつ適切な対応ができ
ず、被害が拡大するおそれがある。
事業者が事故の発生又は発生のおそれを認識した場合は、直 ・医療情報を取り扱う情報システム・サービスの
ちに医療機関に連絡するよう取り決める。
(a) 事故発生時には相互に連携を行い情報共有を行うほか、
(b) 事業者において原因究明を実施し、診療への影響を踏ま
えた善後策及び再発防止策を提案すること、
(c) 医療機関は当該方策を検討・承認して事業者とともに実
施すること
を取り決める。
提供事業者における安全管理ガイドライン4.1
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編2.1.3
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.2.2
参考 「医療機関におけるサイバーセキュリティ対策チェックリスト」該当項目
・医療機関におけるサイバーセキュリティ対策
医療情報システムで用いる機
器及びソフトウェアに関する
*8
1
脆弱性
*8
情報の確 脆弱性
認・報告
新たに発見・公表される脆弱性
*8
医療情報システムに関連する新たなセキュリティ上の脆弱性
情報 *8
情報の確認義務、脆 が医療機関に適時に伝えられない場合、
弱性が発見された場合に医療
脆弱性を利用したサイバー攻撃のリスク
機関へ適切なタイミングで報
が高まる。
告する。
医療情報システムを利用する
2
担当業務等に基づ
くアクセス制御
医療従事者等の資格や担当業
務、医療機関内の権限規程な
どに応じた利用権限の設定が
可能なシステムを導入する。
3
に対する外部アク
セス
ウイルスチェック
の参照や利用についての条件
分なままだと、安全性を欠く外部アクセ
や制限、安全管理対策等を実
ス(あるいは不適切な経路の追加)によ
施する。
り情報漏えい等が発生するリスクが高ま
し、適切にアップデートす
る。
ガイドライン第6.0版
企画管理編9.2
・医療情報を取り扱う情報システム・サービスの
・医療機関におけるサイバーセキュリティ対策
医療機関によって医療従事者等の資格や担当業務毎にアクセ
スクが高まる。
スの条件や制限、安全管理対策等が不十
ラムを検出する機能を導入
や対策の実施を行うこと等を取り決める。
権限の付与がなされ、情報漏えい等のリ ス権限を設定できるような仕様とすることを取り決める。
外部アクセスによる医療情報
ウイルス等の悪意あるプログ
収集に努めること)、および脆弱性発見時の医療機関への報告
アクセス権限の管理が不十分だと、知
る必要のない情報の提供や、必要のない
る。
4
報その他の情報を継続的に収集すること(又は合理的な範囲で
チェックリスト
・医療情報システムの安全管理に関する
提供事業者における安全管理ガイドライン4.1
医療情報システムに対する外部アクセ
医療情報システム
について、(独) 情報処理推進機構(IPA) 等が公表する情
コンピュータに誤動作を起こさせる悪
意のあるプログラムにより、システムが
利用できなくなる、データが消去され
る、情報が外部に漏えいしてしまう、な
どのおそれがある。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編14.2
・医療機関におけるサイバーセキュリティ対策
外部アクセスによる医療情報の参照や利用について、これを
チェックリスト
認めるかどうか、どのような場合に認めるか、認める際の条件 ・医療情報システムの安全管理に関する
や制限、技術的な対応による安全管理対策等について、医療機
関と事業者が共同で具体的な規則や手順を設定すること、それ
を遵守することを取り決める。
ガイドライン第6.0版
企画管理編8.2.4
・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
システム導入時には適切なウイルスチェック機能を導入する ・医療機関におけるサイバーセキュリティ対策
ものとし、継続的なウイルス定義ファイル(パターンファイ
チェックリスト
ル)*21 等のアップデートの実施についての役割分担を取り決 ・情報システム・モデル取引・契約書追補版
める。
5 ページ
セキュリティチェックシート
項目
内容
想定されるリスク
推奨される対応例
ガイドライン等関連部分
用いるシステム、サービスの内容に応じて、通信及び保存情
報の暗号化の有無および程度(全部か、一定範囲か等)につい
て取り決める。
通信及び保存情報が暗号化されていな
4
通信及び保存情報の暗号化を
暗号化
実施する。
特に、医療情報システムに対する外部からの接続を認める場
いと、通信の盗聴、保存情報の紛失・不 合、安全対策が確保された内部ネットワーク に到達するまで
正アクセス
*13
が生じた場合に情報が読
のオープンなネットワーク(インターネット)において、通信
み取られ、漏えいするリスクが高まる。 経路に関する安全対策が確実に確保されるよう、事業者におい
て暗号化等必要な対策を講じることを取り決める。
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編13.1.2
・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
なお、暗号化にあたっては、復号のための手段を確保するな
ど、医療情報の可用性に留意すること。
リスク分析等に基づき、ネットワーク
を適切に構築する必要がある。例えばリ
5
ネットワーク構成
診療等に必要なネットワーク
を適切に構築する。
モートメンテナンス*12等のために外部接
続点を多数設置する等、必要以上の外部
アクセスを許容する設計としたような場
合、管理等が困難となり脆弱性*8 の原因
となるおそれがある。
品質管理の状況について医療機関が把
6
品質確保の状況
医療情報システムの品質管理
握できず、品質が適切に確保されない
方法等について両者で確認す
と、必要な改修や将来的なシステムの刷
るための情報提供を行う。
新の計画等を立てることが困難になるお
(a) 十分なセキュリティを確保しつつ、適切な保守・運用
(システム障害対応等を含む)を行うことも見据えて、ネット
ワークを適切に構築する(論理的/物理的な構成分離、ネット
ワーク間のアクセス制御等)。
(b) 外部ネットワーク利用等に関連する具体的な役割分担
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編8.1、システム運用編12.2
等、責任の所在の範囲について取り決める。
医療情報システムを構成するオープンソースソフトウェア*
19
を含むソフトウェア等を事業者に委託して開発する場合に、
ソースコード*20 の開示や、使用している製品やテストでの検
証状況の報告等を行うことで、品質確保の状況について医療機
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編9.2
関にオープンソースソフトウェア等の汎用ソフトウェアをどの
それがある。
程度使用するかについて、情報交換を行いつつ取り決める。
C
1
システム保守・運用契約
ネットワークのト
*7
ラフィック
ネットワークのトラフィック*
ネットワーク障害や大量のデータ転送
事故発生時の対応方法及び、事業者が事故の発生又は発生の
の監視及び異常発生時の対応 により、ネットワークが正常に利用でき おそれを認識した場合、直ちに医療機関に連絡するよう取り決
監視
なくなるおそれがある。
める。
を確認する。
7
・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
システムの状況を把握できないことに
2
機器運用監視
サーバ、ネットワーク機器の
より、障害への対応が遅れてシステムへ
稼働監視を行う。
のアクセスが長時間停止するおそれがあ 事業者及び医療機関に通知をすることを取り決めておく。
稼働状況を常時把握可能とし、異常が検知された場合には、 ・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
る。
医療情報システムの運用を委
運用委託先による
3
システムの管理状
況の報告
託する場合において、医療機
関が管理状況を把握し、安全
管理がなされていることを確
認できるような体制を構築す
事業者による管理状況が不十分になっ
たり、当初の想定から乖離したりするお
それがある。
・医療情報システムの安全管理に関する
事業者による定期的な報告のほか、医療機関が求めた場合に
は直ちに報告することを取り決める。
ガイドライン第6.0版
企画管理編10、経営管理編5.2.1、
システム運用編3.3.1
る。
4
事故発生時の対応方法及び医
事故発生時に事業者及び医療機関が速
事故発生時の報告 療機関への報告について取り
やかに対応できなければ、被害が拡大す
決める。
るおそれがある。
事故発生時に状況や関連情報を分析
事故発生時の原因究明、善後
5
事故発生時の原因 策の策定・実施、再発防止策
究明・対策
の策定・実施に係る役割分担
を行う。
し、原因を究明して善後策を策定・実施
すること。
また、再発防止策の策定・実施につい
ての役割分担を定めておかなければ、事
故発生時に迅速かつ適切な対応ができ
ず、被害が拡大するおそれがある。
事業者が事故の発生又は発生のおそれを認識した場合は、直 ・医療情報を取り扱う情報システム・サービスの
ちに医療機関に連絡するよう取り決める。
(a) 事故発生時には相互に連携を行い情報共有を行うほか、
(b) 事業者において原因究明を実施し、診療への影響を踏ま
えた善後策及び再発防止策を提案すること、
(c) 医療機関は当該方策を検討・承認して事業者とともに実
施すること
を取り決める。
提供事業者における安全管理ガイドライン4.1
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編2.1.3
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン3.2.2
参考 「医療機関におけるサイバーセキュリティ対策チェックリスト」該当項目
・医療機関におけるサイバーセキュリティ対策
医療情報システムで用いる機
器及びソフトウェアに関する
*8
1
脆弱性
*8
情報の確 脆弱性
認・報告
新たに発見・公表される脆弱性
*8
医療情報システムに関連する新たなセキュリティ上の脆弱性
情報 *8
情報の確認義務、脆 が医療機関に適時に伝えられない場合、
弱性が発見された場合に医療
脆弱性を利用したサイバー攻撃のリスク
機関へ適切なタイミングで報
が高まる。
告する。
医療情報システムを利用する
2
担当業務等に基づ
くアクセス制御
医療従事者等の資格や担当業
務、医療機関内の権限規程な
どに応じた利用権限の設定が
可能なシステムを導入する。
3
に対する外部アク
セス
ウイルスチェック
の参照や利用についての条件
分なままだと、安全性を欠く外部アクセ
や制限、安全管理対策等を実
ス(あるいは不適切な経路の追加)によ
施する。
り情報漏えい等が発生するリスクが高ま
し、適切にアップデートす
る。
ガイドライン第6.0版
企画管理編9.2
・医療情報を取り扱う情報システム・サービスの
・医療機関におけるサイバーセキュリティ対策
医療機関によって医療従事者等の資格や担当業務毎にアクセ
スクが高まる。
スの条件や制限、安全管理対策等が不十
ラムを検出する機能を導入
や対策の実施を行うこと等を取り決める。
権限の付与がなされ、情報漏えい等のリ ス権限を設定できるような仕様とすることを取り決める。
外部アクセスによる医療情報
ウイルス等の悪意あるプログ
収集に努めること)、および脆弱性発見時の医療機関への報告
アクセス権限の管理が不十分だと、知
る必要のない情報の提供や、必要のない
る。
4
報その他の情報を継続的に収集すること(又は合理的な範囲で
チェックリスト
・医療情報システムの安全管理に関する
提供事業者における安全管理ガイドライン4.1
医療情報システムに対する外部アクセ
医療情報システム
について、(独) 情報処理推進機構(IPA) 等が公表する情
コンピュータに誤動作を起こさせる悪
意のあるプログラムにより、システムが
利用できなくなる、データが消去され
る、情報が外部に漏えいしてしまう、な
どのおそれがある。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編14.2
・医療機関におけるサイバーセキュリティ対策
外部アクセスによる医療情報の参照や利用について、これを
チェックリスト
認めるかどうか、どのような場合に認めるか、認める際の条件 ・医療情報システムの安全管理に関する
や制限、技術的な対応による安全管理対策等について、医療機
関と事業者が共同で具体的な規則や手順を設定すること、それ
を遵守することを取り決める。
ガイドライン第6.0版
企画管理編8.2.4
・情報システム・モデル取引・契約書追補版
セキュリティチェックシート
システム導入時には適切なウイルスチェック機能を導入する ・医療機関におけるサイバーセキュリティ対策
ものとし、継続的なウイルス定義ファイル(パターンファイ
チェックリスト
ル)*21 等のアップデートの実施についての役割分担を取り決 ・情報システム・モデル取引・契約書追補版
める。
5 ページ
セキュリティチェックシート