よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (39 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
動時に VPN 接続を確立しない場合は、公衆無線 LAN への自動接続機能を切る必要が
ある。
・
個人の所有する、あるいは個人の管理下にある端末の業務利用(以下「BYOD」
(Bring
Your Own Device)という。
)は、上記の要件を実現するために、管理者以外による
端末の OS の設定の変更を技術的あるいは運用管理上で制御すること、あるいは、技
術的対策として、他のアプリケーション等からの影響を遮断しつつ、端末内で医療
情報を取り扱うことを制限し、さらに個人でその設定を変更できないようにし、OS
レベルで管理領域を分離すること、また、運用による対策として、運用管理規程に
よって利用者による OS の設定変更を禁止し、かつ安全性の確認できないアプリケー
ションがモバイル端末にインストールされていないことを管理者が定期的に確認す
ること等、適切な対策を選択・採用し、十分な安全性が確保された上で行う必要が
ある。コンピュータウイルスや不適切な設定のされたソフトウェアにより、外部か
らの不正アクセスによって情報が漏えいすることも考えられるため、管理されてい
ない端末での BYOD は行わない。管理者が BYOD によるコスト・利便性とリスクを評
価して検討することが求められる。
・
覗き見防止対策の実施が望ましい。
C.最低限のガイドライン
1. 組織としてリスク分析を実施し、情報及び情報機器の持ち出しや、BYOD の実施に関す
る方針を運用管理規程で定めること。
2. 運用管理規程には、持ち出した情報及び情報機器の管理方法を定めること。
3. 情報を格納した可搬媒体又は情報機器の盗難、紛失時の対応を運用管理規程に定める
こと。
4. 運用管理規程で定めた盗難、紛失時の対応を従業者等に周知徹底するとともに、教育を
実施すること。
5. 情報が格納された可搬媒体及び情報機器の所在を台帳等により管理すること。
6. 情報機器に対して起動パスワード等を設定すること。設定に当たっては推定しやすい
パスワード等の利用を避けるとともに、定期的なパスワードの変更等の対策を実施す
ること。
7. 盗難、置き忘れ等に対応する措置として、情報に対する暗号化やアクセスパスワードの
設定等、容易に内容を読み取られないようにすること。
8. 持ち出した情報機器について、外部のネットワークや他の外部媒体に接続したりする
場合は、コンピュータウイルス対策ソフトやパーソナルファイアウォールの導入等に
より、端末が情報漏えい、改ざん等の対象にならないような対策を実施すること。なお、
ネットワークに接続する場合は 6.11 章の規定を遵守すること。特に、スマートフォン
やタブレットのようなモバイル端末では公衆無線 LAN を利用できる場合があるが、公
35
ある。
・
個人の所有する、あるいは個人の管理下にある端末の業務利用(以下「BYOD」
(Bring
Your Own Device)という。
)は、上記の要件を実現するために、管理者以外による
端末の OS の設定の変更を技術的あるいは運用管理上で制御すること、あるいは、技
術的対策として、他のアプリケーション等からの影響を遮断しつつ、端末内で医療
情報を取り扱うことを制限し、さらに個人でその設定を変更できないようにし、OS
レベルで管理領域を分離すること、また、運用による対策として、運用管理規程に
よって利用者による OS の設定変更を禁止し、かつ安全性の確認できないアプリケー
ションがモバイル端末にインストールされていないことを管理者が定期的に確認す
ること等、適切な対策を選択・採用し、十分な安全性が確保された上で行う必要が
ある。コンピュータウイルスや不適切な設定のされたソフトウェアにより、外部か
らの不正アクセスによって情報が漏えいすることも考えられるため、管理されてい
ない端末での BYOD は行わない。管理者が BYOD によるコスト・利便性とリスクを評
価して検討することが求められる。
・
覗き見防止対策の実施が望ましい。
C.最低限のガイドライン
1. 組織としてリスク分析を実施し、情報及び情報機器の持ち出しや、BYOD の実施に関す
る方針を運用管理規程で定めること。
2. 運用管理規程には、持ち出した情報及び情報機器の管理方法を定めること。
3. 情報を格納した可搬媒体又は情報機器の盗難、紛失時の対応を運用管理規程に定める
こと。
4. 運用管理規程で定めた盗難、紛失時の対応を従業者等に周知徹底するとともに、教育を
実施すること。
5. 情報が格納された可搬媒体及び情報機器の所在を台帳等により管理すること。
6. 情報機器に対して起動パスワード等を設定すること。設定に当たっては推定しやすい
パスワード等の利用を避けるとともに、定期的なパスワードの変更等の対策を実施す
ること。
7. 盗難、置き忘れ等に対応する措置として、情報に対する暗号化やアクセスパスワードの
設定等、容易に内容を読み取られないようにすること。
8. 持ち出した情報機器について、外部のネットワークや他の外部媒体に接続したりする
場合は、コンピュータウイルス対策ソフトやパーソナルファイアウォールの導入等に
より、端末が情報漏えい、改ざん等の対象にならないような対策を実施すること。なお、
ネットワークに接続する場合は 6.11 章の規定を遵守すること。特に、スマートフォン
やタブレットのようなモバイル端末では公衆無線 LAN を利用できる場合があるが、公
35