よむ、つかう、まなぶ。
【参考資料3-7】(別添1)医療情報システムの契約における当事者間の役割分担等に関する確認表 推奨される対応例 (6 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
項番
項目
内容
想定されるリスク
医療情報システムの異常発生時に切り
替えることができるバックアップ環境を
医療情報システムの異常発生
5
バックアップ環
時に備え、診療機能の維持等
境・冗長性の確保 に必要なバックアップ環境を
確保する。
適切に構築していないと、非常時に診療
機能が低下または停止する恐れがある。
また、冗長性を適切に確保していない
場合、システム障害時に診療機能が低下
するだけでなく、セキュリティパッチ*22
等の適用の際に診療機能の確保が困難に
なるおそれがある。
推奨される対応例
ガイドライン等関連部分
異常発生時に切り替えて利用するためのバックアップ環境を
適切に構築する(ホットスタンバイ/コールドスタンバイ*23
、ネットワーク等の二重化*24 、バックアップデータの確保)
など、システム障害時やセキュリティパッチ*22 の適用等を想
定し、冗長性を適切に確保する方法について取り決める。バッ
クアップデータについては、激甚災害、媒体劣化、ランサム
*25
ウェア
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編11.2、システム運用編11.1
等への対策も考慮し、ネットワークからの分離状況
等についても取り決める。
システムを構成する機器、ソフトウェア、クラウドサービス
*6
6
ソフトウェア及び OSやアプリケーション、
不具合・故障の発生や、セキュリティ
ハードウェアの保 ハードウェアの保守を実施す
ホールによって情報が漏えいするおそれ
守
がある。
る。
等については、保守契約に基づき事業者による保守(セ
キュリティパッチ*22 の適用等)がなされるよう取り決める。 ・情報システム・モデル取引・契約書追補版
オープンソースソフトウェア*19 等の汎用ソフトウェアを使用
セキュリティチェックシート
する際も、脆弱性*8 情報等のチェックやその対応についても
取り決める。
・医療機関におけるサイバーセキュリティ対策
事故発生時に利用可能なデー
7
サイバー攻撃による被害が発生した際
データバックアッ タバックアップの取得の有
に、復旧のために用いられるデータの
プの
無・対象・頻度・復旧できる
バックアップが存在しなかったり、古い
取得・管理
世代・バックアップ方法・保
ものであった場合は、迅速なシステムの
存場所等を確認する。
復旧ができないおそれがある。
事故発生時に備えてバックアップの取得を事業者に委託し、
取得頻度、世代数、医療情報システムとの連携、バックアップ
を取得するタイミング、事故発生時の対応、復旧作業における
役割分担等を取り決める。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編12.2
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン4.1
医療情報システムにおける利
8
医療情報システム
のログ*26 の扱い
用者の操作やシステムの動作
システムのログ*26 を適切に管理し、
に関するログ*26 の保存、管理 異常検知に活用できなければ、サイバー
及びその内容の分析、異常検
知を実施する。
攻撃等の発見が遅れるおそれがある。
医療情報システムにおける利用者の操作やシステムの動作に
関するログ*26 の保存、管理についての役割分担を定めた上、
その内容の分析、異常検知について、事業者が継続的に実施す
ることを取り決める。
6 ページ
・医療機関におけるサイバーセキュリティ対策
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編5、システム運用編17.1
項目
内容
想定されるリスク
医療情報システムの異常発生時に切り
替えることができるバックアップ環境を
医療情報システムの異常発生
5
バックアップ環
時に備え、診療機能の維持等
境・冗長性の確保 に必要なバックアップ環境を
確保する。
適切に構築していないと、非常時に診療
機能が低下または停止する恐れがある。
また、冗長性を適切に確保していない
場合、システム障害時に診療機能が低下
するだけでなく、セキュリティパッチ*22
等の適用の際に診療機能の確保が困難に
なるおそれがある。
推奨される対応例
ガイドライン等関連部分
異常発生時に切り替えて利用するためのバックアップ環境を
適切に構築する(ホットスタンバイ/コールドスタンバイ*23
、ネットワーク等の二重化*24 、バックアップデータの確保)
など、システム障害時やセキュリティパッチ*22 の適用等を想
定し、冗長性を適切に確保する方法について取り決める。バッ
クアップデータについては、激甚災害、媒体劣化、ランサム
*25
ウェア
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編11.2、システム運用編11.1
等への対策も考慮し、ネットワークからの分離状況
等についても取り決める。
システムを構成する機器、ソフトウェア、クラウドサービス
*6
6
ソフトウェア及び OSやアプリケーション、
不具合・故障の発生や、セキュリティ
ハードウェアの保 ハードウェアの保守を実施す
ホールによって情報が漏えいするおそれ
守
がある。
る。
等については、保守契約に基づき事業者による保守(セ
キュリティパッチ*22 の適用等)がなされるよう取り決める。 ・情報システム・モデル取引・契約書追補版
オープンソースソフトウェア*19 等の汎用ソフトウェアを使用
セキュリティチェックシート
する際も、脆弱性*8 情報等のチェックやその対応についても
取り決める。
・医療機関におけるサイバーセキュリティ対策
事故発生時に利用可能なデー
7
サイバー攻撃による被害が発生した際
データバックアッ タバックアップの取得の有
に、復旧のために用いられるデータの
プの
無・対象・頻度・復旧できる
バックアップが存在しなかったり、古い
取得・管理
世代・バックアップ方法・保
ものであった場合は、迅速なシステムの
存場所等を確認する。
復旧ができないおそれがある。
事故発生時に備えてバックアップの取得を事業者に委託し、
取得頻度、世代数、医療情報システムとの連携、バックアップ
を取得するタイミング、事故発生時の対応、復旧作業における
役割分担等を取り決める。
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
システム運用編12.2
・医療情報を取り扱う情報システム・サービスの
提供事業者における安全管理ガイドライン4.1
医療情報システムにおける利
8
医療情報システム
のログ*26 の扱い
用者の操作やシステムの動作
システムのログ*26 を適切に管理し、
に関するログ*26 の保存、管理 異常検知に活用できなければ、サイバー
及びその内容の分析、異常検
知を実施する。
攻撃等の発見が遅れるおそれがある。
医療情報システムにおける利用者の操作やシステムの動作に
関するログ*26 の保存、管理についての役割分担を定めた上、
その内容の分析、異常検知について、事業者が継続的に実施す
ることを取り決める。
6 ページ
・医療機関におけるサイバーセキュリティ対策
チェックリスト
・医療情報システムの安全管理に関する
ガイドライン第6.0版
企画管理編5、システム運用編17.1