よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (48 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
※OSI 階層モデル(Open Systems Interconnection)
開放型システム間相互接続のことで、異種間接続を実現する国際標準のプロトコル。
IPsec もしくは新たな技術によりそれと同等以上の安全性が担保されている VPN を用い
た VPN 接続等によるセキュリティの担保を行わず、インターネット等のオープンなネット
ワークを介し、他の医療機関や患者等が医療情報システムへ接続する場合は、少なくとも
TLS による暗号化を用いた HTTPS の利用が求められる。
IPsec や TLS を採用する場合でも、その端末にオープンネットワークに対する開放された
ポートがある場合には、セッション間の回り込み(正規のルートではないクローズドセッ
ションへのアクセス)等による攻撃からの防護について、適切な対策を実施する必要がある。
③モバイル端末等を使って医療機関等の外部から接続する場合
ここでは、携帯電話・PHS やノートパソコン、スマートフォン、タブレット等の、モバイ
ル端末を用いて、医療機関等の外部から医療機関等内部のネットワークに接続する場合の
セキュリティ要件を整理しておく。
外部からの接続については、6.8 章で述べた保守用途でのアクセス、医療機関等の職員に
よる業務上のアクセス、さらには本節「(4) 患者等に診療情報等を提供する場合のネット
ワークに関する考え方」で述べた患者等からのアクセス等、様々なケースが想定される。
したがって、実際の接続において利用されるモバイル端末とネットワークの接続サービ
ス及びそれらの組み合わせが、本章で説明する接続形態のどれに該当するかを明確に識別
することが重要になる。具体的な接続方法との関係では以下の対応が必要である。
携帯電話・PHS 網を経由して、電気通信事業者の提供するサービスを利用してインター
ネットへ接続するケースでは、
「②オープンなネットワークで接続されている場合」に相当
する。したがって、セキュリティ上の要件は、そこでの記述を適用する必要がある。オープ
ンなネットワークを経由するので、
「(1)医療機関等における留意事項」で述べたオブジェク
ト・セキュリティとチャネル・セキュリティを担保するための対策が必要である。
オープンなネットワークを通じて閉域ネットワークへ接続するケースでは、
「Ⅰ.クロー
ズドなネットワークで接続する場合」における「③閉域 IP 通信網で接続されている場合」
に相当するため、セキュリティ上の要件は、そこでの記述を適用する必要がある。クローズ
44
開放型システム間相互接続のことで、異種間接続を実現する国際標準のプロトコル。
IPsec もしくは新たな技術によりそれと同等以上の安全性が担保されている VPN を用い
た VPN 接続等によるセキュリティの担保を行わず、インターネット等のオープンなネット
ワークを介し、他の医療機関や患者等が医療情報システムへ接続する場合は、少なくとも
TLS による暗号化を用いた HTTPS の利用が求められる。
IPsec や TLS を採用する場合でも、その端末にオープンネットワークに対する開放された
ポートがある場合には、セッション間の回り込み(正規のルートではないクローズドセッ
ションへのアクセス)等による攻撃からの防護について、適切な対策を実施する必要がある。
③モバイル端末等を使って医療機関等の外部から接続する場合
ここでは、携帯電話・PHS やノートパソコン、スマートフォン、タブレット等の、モバイ
ル端末を用いて、医療機関等の外部から医療機関等内部のネットワークに接続する場合の
セキュリティ要件を整理しておく。
外部からの接続については、6.8 章で述べた保守用途でのアクセス、医療機関等の職員に
よる業務上のアクセス、さらには本節「(4) 患者等に診療情報等を提供する場合のネット
ワークに関する考え方」で述べた患者等からのアクセス等、様々なケースが想定される。
したがって、実際の接続において利用されるモバイル端末とネットワークの接続サービ
ス及びそれらの組み合わせが、本章で説明する接続形態のどれに該当するかを明確に識別
することが重要になる。具体的な接続方法との関係では以下の対応が必要である。
携帯電話・PHS 網を経由して、電気通信事業者の提供するサービスを利用してインター
ネットへ接続するケースでは、
「②オープンなネットワークで接続されている場合」に相当
する。したがって、セキュリティ上の要件は、そこでの記述を適用する必要がある。オープ
ンなネットワークを経由するので、
「(1)医療機関等における留意事項」で述べたオブジェク
ト・セキュリティとチャネル・セキュリティを担保するための対策が必要である。
オープンなネットワークを通じて閉域ネットワークへ接続するケースでは、
「Ⅰ.クロー
ズドなネットワークで接続する場合」における「③閉域 IP 通信網で接続されている場合」
に相当するため、セキュリティ上の要件は、そこでの記述を適用する必要がある。クローズ
44