よむ、つかう、まなぶ。
【参考資料3-9】(別添3)新規システムの導入に際しての医療情報システムの契約における当事者間の役割分担等に関する確認表の利用イメージ (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_40268.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第22回 6/10)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
医療機関のセキュリティ対応上の課題(各課題に対する本確認表の利用イメージの例等は、次ページ以降参照)
◼ 医療機関のセキュリティ対応上の課題として、以下の4つを整理した。
◼ 医療機関と事業者が協力しながら、本確認表を活用すること等を通じて、こうした課題に対応する必要がある。
医療機関のセキュリティ対応上
の課題
医療機関側の要因
医療機関と事業者で可能な対応
対応する本確認表の項目例
• 情報機器等(サーバ、端末PC、ネッ
トワーク機器等)の台帳管理 【推奨
される対応例 Part1 参考3①】
①
医療機関が保有する資源
を網羅的に把握できてい
ない
• 利用している医療情報システムの全
体像が理解されていない
• 医療機関以外には、全体像を利用で
きる者がいない
• 機器等は買い切りの場合には、医療
機関が自ら情報管理する必要がある
• 医療機関は、事業者から、医療
機関が管理するシステム構成図
に対して、自社製品・サービス等
の位置づけ等に関する助言の提
供を受けた上で、医療機関と事
業者双方で協力して対応する
②
医療機関が管理する資源
に係る最新の脆弱性情報
等が把握できていない
• 医療機関において脆弱性に関する情
報を管理する知見等がない
• 医療機関において、情報収集のため
のスキームを構築していない
• 医療機関は、事業者から、契約 • 脆弱性情報の確認・報告
【推奨される対応例 Part2 参考1】
等に基づく情報や事業者におけ
る最新情報の提供を受けた上で、 • OSやアプリケーション、ハードウェアの
保守の実施 【推奨される対応例
医療機関と事業者双方で協力
して対応する
Part2 参考6】
③
医療機関が管理する資源
に対する理解が不足して
いる
• 医療機関にリスクに関する情報を理
解し対応できる知見を有する人材が
いない
• 対応できないことに対して、適切な対
応がなされていない
• 医療機関は、事業者から、医療 • 医療情報を取り扱う職員に対する人
的安全管理対策の実施【Part1 B3
機関が管理する資源について、
①】
医療機関の理解が促されるよう
な形での情報提供を受けた上で、 • 個人情報の安全管理に関する職員
医療機関と事業者双方で協力
への教育・訓練の実施及び実施状況
して対応する
に係る報告【Part1 B3②】
• 医療情報システムのセキュリティに関す
る情報提供義務【Part2 A11】
④
医療機関が管理する資源
において、一部の資源に対
する脆弱性対策が、他の
資源の可用性に影響を与
える可能性がある場合に、
安全性の判断ができない
• 医療機関が優先すべき資源を判断し、 • 医療機関は、事業者から、シス
リスクへの対応を行う必要があるが、で
テム、機器等の脆弱性対策の組
きていない
合せによる可用性への影響に関
する情報等の共有や代替的なリ
スク低減・回避方策の提案を受
けた上で、医療機関と事業者双
方で協力して対応する
※「資源」とは、医療情報システムを構成する情報機器、ソフトウェア、インフラ等のこと。
• 脆弱性情報の確認・報告
【推奨される対応例 Part2 参考1】
<再掲>
• OSやアプリケーション、ハードウェアの
保守の実施 【推奨される対応例
Part2 参考6】<再掲>
• セキュリティ対策の見直し提案
【Part2 A12】
© 2021 NTT DATA INSTITUTE OF MANAGEMENT CONSULTING, Inc.
2
◼ 医療機関のセキュリティ対応上の課題として、以下の4つを整理した。
◼ 医療機関と事業者が協力しながら、本確認表を活用すること等を通じて、こうした課題に対応する必要がある。
医療機関のセキュリティ対応上
の課題
医療機関側の要因
医療機関と事業者で可能な対応
対応する本確認表の項目例
• 情報機器等(サーバ、端末PC、ネッ
トワーク機器等)の台帳管理 【推奨
される対応例 Part1 参考3①】
①
医療機関が保有する資源
を網羅的に把握できてい
ない
• 利用している医療情報システムの全
体像が理解されていない
• 医療機関以外には、全体像を利用で
きる者がいない
• 機器等は買い切りの場合には、医療
機関が自ら情報管理する必要がある
• 医療機関は、事業者から、医療
機関が管理するシステム構成図
に対して、自社製品・サービス等
の位置づけ等に関する助言の提
供を受けた上で、医療機関と事
業者双方で協力して対応する
②
医療機関が管理する資源
に係る最新の脆弱性情報
等が把握できていない
• 医療機関において脆弱性に関する情
報を管理する知見等がない
• 医療機関において、情報収集のため
のスキームを構築していない
• 医療機関は、事業者から、契約 • 脆弱性情報の確認・報告
【推奨される対応例 Part2 参考1】
等に基づく情報や事業者におけ
る最新情報の提供を受けた上で、 • OSやアプリケーション、ハードウェアの
保守の実施 【推奨される対応例
医療機関と事業者双方で協力
して対応する
Part2 参考6】
③
医療機関が管理する資源
に対する理解が不足して
いる
• 医療機関にリスクに関する情報を理
解し対応できる知見を有する人材が
いない
• 対応できないことに対して、適切な対
応がなされていない
• 医療機関は、事業者から、医療 • 医療情報を取り扱う職員に対する人
的安全管理対策の実施【Part1 B3
機関が管理する資源について、
①】
医療機関の理解が促されるよう
な形での情報提供を受けた上で、 • 個人情報の安全管理に関する職員
医療機関と事業者双方で協力
への教育・訓練の実施及び実施状況
して対応する
に係る報告【Part1 B3②】
• 医療情報システムのセキュリティに関す
る情報提供義務【Part2 A11】
④
医療機関が管理する資源
において、一部の資源に対
する脆弱性対策が、他の
資源の可用性に影響を与
える可能性がある場合に、
安全性の判断ができない
• 医療機関が優先すべき資源を判断し、 • 医療機関は、事業者から、シス
リスクへの対応を行う必要があるが、で
テム、機器等の脆弱性対策の組
きていない
合せによる可用性への影響に関
する情報等の共有や代替的なリ
スク低減・回避方策の提案を受
けた上で、医療機関と事業者双
方で協力して対応する
※「資源」とは、医療情報システムを構成する情報機器、ソフトウェア、インフラ等のこと。
• 脆弱性情報の確認・報告
【推奨される対応例 Part2 参考1】
<再掲>
• OSやアプリケーション、ハードウェアの
保守の実施 【推奨される対応例
Part2 参考6】<再掲>
• セキュリティ対策の見直し提案
【Part2 A12】
© 2021 NTT DATA INSTITUTE OF MANAGEMENT CONSULTING, Inc.
2