よむ、つかう、まなぶ。
参考資料4 ガイドライン新旧対応表[834KB] (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000198094_00083.html |
| 出典情報 | 社会保障審議会 医療保険部会・介護保険部会 匿名医療・介護情報等の提供に関する委員会(第18回 9/18)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
(3)物理的な安全管理措置
(3)物理的な安全管理措置
ⅰ) 介護DBデータを取り扱う区域を特定すること(国内に限る。)。特定された区域への立ち入
りの管理及び制限するための措置を講じること。
りの管理及び制限するための措置を講じること。
・介護DBデータを参照可能な区画を明示し、許可された者[11]以外無断で立ち入ることが出
・介護DBデータを参照可能な区画を明示し、許可された者[10]以外無断で立ち入ることが出
来ないよう、施錠等の対策を講ずること。
来ないよう、施錠等の対策を講ずること。
[11]特別抽出の場合、取扱者のみ。集計表及びサンプリングデータセットの場合は、当該施
[10]特別抽出の場合、取扱者のみ。集計表及びサンプリングデータセットの場合は、当該施
設において区画内への立ち入りが許可されている者以外立ち入ることが出来ない対策(職員
設において区画内への立ち入りが許可されている者以外立ち入ることが出来ない対策(職員
証によって解錠可能な施錠等)を講ずること。清掃等で一時的にこれ以外の者が立ち入る必
証によって解錠可能な施錠等)を講ずること。清掃等で一時的にこれ以外の者が立ち入る必
要がある場合には、介護DBデータを取り扱う端末からサインアウトし、取扱者の付き添いの
要がある場合には、介護DBデータを取り扱う端末からサインアウトし、取扱者の付き添いの
もと、情報の漏洩や窃視の可能性を排除すること。
もと、情報の漏洩や窃視の可能性を排除すること。
・介護DBデータを物理的に保存している区画への入退管理[12]を実施すること。入退室の記
・介護DBデータを物理的に保存している区画への入退管理[11]を実施すること。入退室の記
録を定期的にチェックし、その妥当性を確認すること。記録は利用終了後少なくとも1年は
録を定期的にチェックし、その妥当性を確認すること。記録は利用終了後少なくとも1年は
保管すること。(※※)
保管すること。(※※)
[12]電子的なログの取得や、台帳に氏名等を記入することによる。
[11]電子的なログの取得や、台帳に氏名等を記入することによる。
・介護DBデータの利用、管理及び保管は、事前に承諾された場所(国内に限る。)でのみ行
・介護DBデータの利用、管理及び保管は、事前に承諾された場所(国内に限る。)でのみ行
うこととし、外部への持ち出しは行わないこと(公表物確認時を除く。)。
うこととし、外部への持ち出しは行わないこと(公表物確認時を除く。)。
・同一利用場所内で複数研究の介護DBデータ、中間生成物等を利用することは可能だが、研
・同一利用場所内で複数研究の介護DBデータ、中間生成物等を利用することは可能だが、研
究ごとに居室の利用時間帯を分け入室できる者を制限する等、両研究の取扱者が混在しない
究ごとに居室の利用時間帯を分け入室できる者を制限する等、両研究の取扱者が混在しない
ような配慮をすること。同一端末を使用し、アカウントの分割やフォルダのアクセス権を分
ような配慮をすること。同一端末を使用し、アカウントの分割やフォルダのアクセス権を分
けるといった設定だけではリスク回避の十分な対策とは認められない。別々の端末や外部記
けるといった設定だけではリスク回避の十分な対策とは認められない。別々の端末や外部記
憶媒体で利用すること。
憶媒体で利用すること。
ⅱ) 介護DBデータの取扱いに係る機器の紛失・盗難等の防止措置を講じること
ⅱ) 介護DBデータの取扱いに係る機器の紛失・盗難等の防止措置を講じること
・介護DBデータが保存されているPCやサーバー等の機器の設置場所及び記録媒体の保存場
・介護DBデータが保存されているPCやサーバー等の機器の設置場所及び記録媒体の保存場
所には施錠すること。
所には施錠すること。
・介護DBデータや生成物が存在するPC等の機器に盗難防止用チェーンを設置すること。
・介護DBデータや生成物が存在するPC等の機器に盗難防止用チェーンを設置すること。
ⅲ) 介護DBデータ・生成物の削除や、介護DBデータ・生成物が存在するPC等の機器等を廃棄す
ⅲ) 介護DBデータ・生成物の削除や、介護DBデータ・生成物が存在するPC等の機器等を廃棄す
る場合には、専用ツールを用いるなどにより第三者が復元できない手段で行うこと 。
る場合には、専用ツールを用いるなどにより第三者が復元できない手段で行うこと 。
・データ消去の証明書を提出すること。証明書に既定のフォーマットはなく、消去ソフトを
・データ消去の証明書を提出すること。証明書に既定のフォーマットはなく、消去ソフトを
利用して消去した際の画面キャプチャ等で構わない。
利用して消去した際の画面キャプチャ等で構わない。
・破棄に関する運用管理規程において、把握した情報種別ごとに具体的な破棄の手順を定め
・破棄に関する運用管理規程において、把握した情報種別ごとに具体的な破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法を含め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法を含め
ること。(※※)
ること。(※※)
・集計表、サンプリングデータセットの場合は、情報種別ごとに破棄の手順を定めるのみで
・集計表、サンプリングデータセットの場合は、情報種別ごとに破棄の手順を定めるのみで
良い。
良い。
・情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、機器に
・情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、機器に
残存した読み出し可能な情報がないことを確認すること。
残存した読み出し可能な情報がないことを確認すること。
・情報の破棄を外部事業者に委託した場合は、確実に情報が破棄されたことを、証憑または
・情報の破棄を外部事業者に委託した場合は、確実に情報が破棄されたことを、証憑または
事業者の説明により確認すること。
事業者の説明により確認すること。
(4)技術的な安全管理措置
(4)技術的な安全管理措置
ⅰ) 介護DBデータを取り扱うPC等において介護DBデータを処理することができる者を限定する
脚注
ⅰ) 介護DBデータを取り扱う区域を特定すること(国内に限る。)。特定された区域への立ち入
ⅰ) 介護DBデータを取り扱うPC等において介護DBデータを処理することができる者を限定する
ため、適切な処置を講じること。
ため、適切な処置を講じること。
・介護DBデータを利用するPC等へのアクセス時に、取扱者の識別と認証を行うこと。
・介護DBデータを利用するPC等へのアクセス時に、取扱者の識別と認証を行うこと。
・二要素認証[13]を採用すること。この場合は、パスワードの定期的な変更は必要ない。
・二要素認証[12]を採用すること。この場合は、パスワードの定期的な変更は必要ない。
[13]ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指
[12]ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指
紋、静脈、虹彩のような利用者の生体的特徴を利用した生体計測)やユーザID ・パスワード
紋、静脈、虹彩のような利用者の生体的特徴を利用した生体計測)やユーザID ・パスワード
+バイオメトリクスといった2つの独立した要素を用いて行う方式
+バイオメトリクスといった2つの独立した要素を用いて行う方式
・ただし、二要素認証の実装が困難な場合は、IDとパスワードによる認証を行うこと。
・ただし、二要素認証の実装が困難な場合は、IDとパスワードによる認証を行うこと。
・取扱者の識別・認証にIDとパスワードの組合わせを用いる場合、それらの情報を本人しか
・取扱者の識別・認証にIDとパスワードの組合わせを用いる場合、それらの情報を本人しか
知り得ない状態に保つよう対策を行い、他者への譲渡又は貸与は行わないこと。
知り得ない状態に保つよう対策を行い、他者への譲渡又は貸与は行わないこと。
・パスワードルールは以下のとおりとする。
・パスワードルールは以下のとおりとする。
✓ 8文字以上の英数字、記号を混在させた推定困難な文字列とする。
✓ 8文字以上の英数字、記号を混在させた推定困難な文字列とする。
✓ 原則2ヶ月ごとに変更する。ただし、13文字以上の英数字、記号を混在させた推定困難な
✓ 原則2ヶ月ごとに変更する。ただし、13文字以上の英数字、記号を混在させた推定困難な
文字列を設定した場合、定期的な変更は不要である。
文字列を設定した場合、定期的な変更は不要である。
・介護DBデータを利用・保存している情報システムに複数の者がログインする場合、システ
・介護DBデータを利用・保存している情報システムに複数の者がログインする場合、システ
ム内のパスワードは暗号化(不可逆変換が望ましい。)された状態で管理・運用すること。
ム内のパスワードは暗号化(不可逆変換が望ましい。)された状態で管理・運用すること。
・取扱者がパスワードを忘れたり、盗用されたりする恐れがあり、情報システム運用責任者
・取扱者がパスワードを忘れたり、盗用されたりする恐れがあり、情報システム運用責任者
等、本人以外がパスワードを変更する場合には、当該取扱者の本人確認を行い、記録を残す
等、本人以外がパスワードを変更する場合には、当該取扱者の本人確認を行い、記録を残す
こと。(※※)
こと。(※※)
・システム管理者であっても、取扱者のパスワードを推定できないようにすること(設定
・システム管理者であっても、取扱者のパスワードを推定できないようにすること(設定
ファイルにパスワードが記載される等があってはならない。)。
ファイルにパスワードが記載される等があってはならない。)。
13
(3)物理的な安全管理措置
ⅰ) 介護DBデータを取り扱う区域を特定すること(国内に限る。)。特定された区域への立ち入
りの管理及び制限するための措置を講じること。
りの管理及び制限するための措置を講じること。
・介護DBデータを参照可能な区画を明示し、許可された者[11]以外無断で立ち入ることが出
・介護DBデータを参照可能な区画を明示し、許可された者[10]以外無断で立ち入ることが出
来ないよう、施錠等の対策を講ずること。
来ないよう、施錠等の対策を講ずること。
[11]特別抽出の場合、取扱者のみ。集計表及びサンプリングデータセットの場合は、当該施
[10]特別抽出の場合、取扱者のみ。集計表及びサンプリングデータセットの場合は、当該施
設において区画内への立ち入りが許可されている者以外立ち入ることが出来ない対策(職員
設において区画内への立ち入りが許可されている者以外立ち入ることが出来ない対策(職員
証によって解錠可能な施錠等)を講ずること。清掃等で一時的にこれ以外の者が立ち入る必
証によって解錠可能な施錠等)を講ずること。清掃等で一時的にこれ以外の者が立ち入る必
要がある場合には、介護DBデータを取り扱う端末からサインアウトし、取扱者の付き添いの
要がある場合には、介護DBデータを取り扱う端末からサインアウトし、取扱者の付き添いの
もと、情報の漏洩や窃視の可能性を排除すること。
もと、情報の漏洩や窃視の可能性を排除すること。
・介護DBデータを物理的に保存している区画への入退管理[12]を実施すること。入退室の記
・介護DBデータを物理的に保存している区画への入退管理[11]を実施すること。入退室の記
録を定期的にチェックし、その妥当性を確認すること。記録は利用終了後少なくとも1年は
録を定期的にチェックし、その妥当性を確認すること。記録は利用終了後少なくとも1年は
保管すること。(※※)
保管すること。(※※)
[12]電子的なログの取得や、台帳に氏名等を記入することによる。
[11]電子的なログの取得や、台帳に氏名等を記入することによる。
・介護DBデータの利用、管理及び保管は、事前に承諾された場所(国内に限る。)でのみ行
・介護DBデータの利用、管理及び保管は、事前に承諾された場所(国内に限る。)でのみ行
うこととし、外部への持ち出しは行わないこと(公表物確認時を除く。)。
うこととし、外部への持ち出しは行わないこと(公表物確認時を除く。)。
・同一利用場所内で複数研究の介護DBデータ、中間生成物等を利用することは可能だが、研
・同一利用場所内で複数研究の介護DBデータ、中間生成物等を利用することは可能だが、研
究ごとに居室の利用時間帯を分け入室できる者を制限する等、両研究の取扱者が混在しない
究ごとに居室の利用時間帯を分け入室できる者を制限する等、両研究の取扱者が混在しない
ような配慮をすること。同一端末を使用し、アカウントの分割やフォルダのアクセス権を分
ような配慮をすること。同一端末を使用し、アカウントの分割やフォルダのアクセス権を分
けるといった設定だけではリスク回避の十分な対策とは認められない。別々の端末や外部記
けるといった設定だけではリスク回避の十分な対策とは認められない。別々の端末や外部記
憶媒体で利用すること。
憶媒体で利用すること。
ⅱ) 介護DBデータの取扱いに係る機器の紛失・盗難等の防止措置を講じること
ⅱ) 介護DBデータの取扱いに係る機器の紛失・盗難等の防止措置を講じること
・介護DBデータが保存されているPCやサーバー等の機器の設置場所及び記録媒体の保存場
・介護DBデータが保存されているPCやサーバー等の機器の設置場所及び記録媒体の保存場
所には施錠すること。
所には施錠すること。
・介護DBデータや生成物が存在するPC等の機器に盗難防止用チェーンを設置すること。
・介護DBデータや生成物が存在するPC等の機器に盗難防止用チェーンを設置すること。
ⅲ) 介護DBデータ・生成物の削除や、介護DBデータ・生成物が存在するPC等の機器等を廃棄す
ⅲ) 介護DBデータ・生成物の削除や、介護DBデータ・生成物が存在するPC等の機器等を廃棄す
る場合には、専用ツールを用いるなどにより第三者が復元できない手段で行うこと 。
る場合には、専用ツールを用いるなどにより第三者が復元できない手段で行うこと 。
・データ消去の証明書を提出すること。証明書に既定のフォーマットはなく、消去ソフトを
・データ消去の証明書を提出すること。証明書に既定のフォーマットはなく、消去ソフトを
利用して消去した際の画面キャプチャ等で構わない。
利用して消去した際の画面キャプチャ等で構わない。
・破棄に関する運用管理規程において、把握した情報種別ごとに具体的な破棄の手順を定め
・破棄に関する運用管理規程において、把握した情報種別ごとに具体的な破棄の手順を定め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法を含め
ること。手順には破棄を行う条件、破棄を行うことができる職員、具体的な破棄方法を含め
ること。(※※)
ること。(※※)
・集計表、サンプリングデータセットの場合は、情報種別ごとに破棄の手順を定めるのみで
・集計表、サンプリングデータセットの場合は、情報種別ごとに破棄の手順を定めるのみで
良い。
良い。
・情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、機器に
・情報処理機器自体を破棄する場合、必ず専門的な知識を有する者が行うこととし、機器に
残存した読み出し可能な情報がないことを確認すること。
残存した読み出し可能な情報がないことを確認すること。
・情報の破棄を外部事業者に委託した場合は、確実に情報が破棄されたことを、証憑または
・情報の破棄を外部事業者に委託した場合は、確実に情報が破棄されたことを、証憑または
事業者の説明により確認すること。
事業者の説明により確認すること。
(4)技術的な安全管理措置
(4)技術的な安全管理措置
ⅰ) 介護DBデータを取り扱うPC等において介護DBデータを処理することができる者を限定する
脚注
ⅰ) 介護DBデータを取り扱う区域を特定すること(国内に限る。)。特定された区域への立ち入
ⅰ) 介護DBデータを取り扱うPC等において介護DBデータを処理することができる者を限定する
ため、適切な処置を講じること。
ため、適切な処置を講じること。
・介護DBデータを利用するPC等へのアクセス時に、取扱者の識別と認証を行うこと。
・介護DBデータを利用するPC等へのアクセス時に、取扱者の識別と認証を行うこと。
・二要素認証[13]を採用すること。この場合は、パスワードの定期的な変更は必要ない。
・二要素認証[12]を採用すること。この場合は、パスワードの定期的な変更は必要ない。
[13]ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指
[12]ICカード等のセキュリティ・デバイス+パスワード、ICカード+バイオメトリクス(指
紋、静脈、虹彩のような利用者の生体的特徴を利用した生体計測)やユーザID ・パスワード
紋、静脈、虹彩のような利用者の生体的特徴を利用した生体計測)やユーザID ・パスワード
+バイオメトリクスといった2つの独立した要素を用いて行う方式
+バイオメトリクスといった2つの独立した要素を用いて行う方式
・ただし、二要素認証の実装が困難な場合は、IDとパスワードによる認証を行うこと。
・ただし、二要素認証の実装が困難な場合は、IDとパスワードによる認証を行うこと。
・取扱者の識別・認証にIDとパスワードの組合わせを用いる場合、それらの情報を本人しか
・取扱者の識別・認証にIDとパスワードの組合わせを用いる場合、それらの情報を本人しか
知り得ない状態に保つよう対策を行い、他者への譲渡又は貸与は行わないこと。
知り得ない状態に保つよう対策を行い、他者への譲渡又は貸与は行わないこと。
・パスワードルールは以下のとおりとする。
・パスワードルールは以下のとおりとする。
✓ 8文字以上の英数字、記号を混在させた推定困難な文字列とする。
✓ 8文字以上の英数字、記号を混在させた推定困難な文字列とする。
✓ 原則2ヶ月ごとに変更する。ただし、13文字以上の英数字、記号を混在させた推定困難な
✓ 原則2ヶ月ごとに変更する。ただし、13文字以上の英数字、記号を混在させた推定困難な
文字列を設定した場合、定期的な変更は不要である。
文字列を設定した場合、定期的な変更は不要である。
・介護DBデータを利用・保存している情報システムに複数の者がログインする場合、システ
・介護DBデータを利用・保存している情報システムに複数の者がログインする場合、システ
ム内のパスワードは暗号化(不可逆変換が望ましい。)された状態で管理・運用すること。
ム内のパスワードは暗号化(不可逆変換が望ましい。)された状態で管理・運用すること。
・取扱者がパスワードを忘れたり、盗用されたりする恐れがあり、情報システム運用責任者
・取扱者がパスワードを忘れたり、盗用されたりする恐れがあり、情報システム運用責任者
等、本人以外がパスワードを変更する場合には、当該取扱者の本人確認を行い、記録を残す
等、本人以外がパスワードを変更する場合には、当該取扱者の本人確認を行い、記録を残す
こと。(※※)
こと。(※※)
・システム管理者であっても、取扱者のパスワードを推定できないようにすること(設定
・システム管理者であっても、取扱者のパスワードを推定できないようにすること(設定
ファイルにパスワードが記載される等があってはならない。)。
ファイルにパスワードが記載される等があってはならない。)。
13