よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (6 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
改定概要
【第 5.2 版】
本ガイドライン第 5.1 版の公表以降、
医療等分野及び医療情報システムに対するサイバー
攻撃が一層、多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じる
被害も見られる。特にランサムウェアに代表される攻撃への対策は、喫緊の課題となってい
る。そのほか本ガイドラインを踏まえた対策を医療機関等が行う重要性が高まっている。
そのため、本ガイドラインについての理解をより促す観点から、安全対策として実施すべ
き内容に直接関係する部分と、安全対策を行う上での背景となる考え方や例示などの部分
を分けて記述した。具体的には、利用用途に応じて閲覧しやすいように本編と別冊とに分冊
化を行った。
ランサムウェア対策との関係では、6.10 章において、ランサムウェアによる攻撃への対
応としてのバックアップのあり方等の対策を示した。また適切なリスク分析を行い、被害に
遭った際の対策を速やかに講じられるよう、6.2 章において、医療情報システムに関する全
体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業
者等含む)を整備する旨について示した。
医療機関等が利用する医療情報システムにおいて外部サービスとの連携が進む中で、ア
プリケーション間の安全性を確保する観点から、6.5 章において外部アプリケーションとの
連携における利用者の認証・認可に関する記述を示した。
本ガイドラインにおいて、従来から利用が認められているシステムやサービスの利用形
態に関して、これらの利用が安全に管理されている状況下で利用が可能であることを、改め
て示すよう、一部記述の追記等を行った。具体的には、BYOD については安全に管理されて
いる環境下での利用について、6.9 章において具体的な記述を行った。また外部ネットワー
クを利用する上で医療機関等が負うべき管理内容を明示した。
電子署名については、リモート署名や立会人型電子署名など新たな利用形態が普及しつ
つあることを踏まえて、電子署名に関する 6.12 章の記載を整理した。具体的には、文書の
作成者に資格が必要な場合に求められる署名についての要件等について示した。
その他関係制度の変更等に伴う修正を行った。電子署名が求められる文書の長期保存に
必要なタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修正を 6.12
章において行った。併せて、電子署名に用いる暗号アルゴリズムの参照規格について、実務
の状況を勘案して、JIS から ISO に参照規格を変更する旨を 6.12 章に示した。また外部保
存を行う際の事業者の選定に関して、
「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドライン」
(総務省・経済産業省 令和 2 年 8 月 21 日)におけ
る基準に揃えて 8.3 章の変更を行った。
その他、分かりやすさや表現の平仄を合わせる観点から、一部構成を修正した。
2
【第 5.2 版】
本ガイドライン第 5.1 版の公表以降、
医療等分野及び医療情報システムに対するサイバー
攻撃が一層、多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じる
被害も見られる。特にランサムウェアに代表される攻撃への対策は、喫緊の課題となってい
る。そのほか本ガイドラインを踏まえた対策を医療機関等が行う重要性が高まっている。
そのため、本ガイドラインについての理解をより促す観点から、安全対策として実施すべ
き内容に直接関係する部分と、安全対策を行う上での背景となる考え方や例示などの部分
を分けて記述した。具体的には、利用用途に応じて閲覧しやすいように本編と別冊とに分冊
化を行った。
ランサムウェア対策との関係では、6.10 章において、ランサムウェアによる攻撃への対
応としてのバックアップのあり方等の対策を示した。また適切なリスク分析を行い、被害に
遭った際の対策を速やかに講じられるよう、6.2 章において、医療情報システムに関する全
体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業
者等含む)を整備する旨について示した。
医療機関等が利用する医療情報システムにおいて外部サービスとの連携が進む中で、ア
プリケーション間の安全性を確保する観点から、6.5 章において外部アプリケーションとの
連携における利用者の認証・認可に関する記述を示した。
本ガイドラインにおいて、従来から利用が認められているシステムやサービスの利用形
態に関して、これらの利用が安全に管理されている状況下で利用が可能であることを、改め
て示すよう、一部記述の追記等を行った。具体的には、BYOD については安全に管理されて
いる環境下での利用について、6.9 章において具体的な記述を行った。また外部ネットワー
クを利用する上で医療機関等が負うべき管理内容を明示した。
電子署名については、リモート署名や立会人型電子署名など新たな利用形態が普及しつ
つあることを踏まえて、電子署名に関する 6.12 章の記載を整理した。具体的には、文書の
作成者に資格が必要な場合に求められる署名についての要件等について示した。
その他関係制度の変更等に伴う修正を行った。電子署名が求められる文書の長期保存に
必要なタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修正を 6.12
章において行った。併せて、電子署名に用いる暗号アルゴリズムの参照規格について、実務
の状況を勘案して、JIS から ISO に参照規格を変更する旨を 6.12 章に示した。また外部保
存を行う際の事業者の選定に関して、
「医療情報を取り扱う情報システム・サービスの提供
事業者における安全管理ガイドライン」
(総務省・経済産業省 令和 2 年 8 月 21 日)におけ
る基準に揃えて 8.3 章の変更を行った。
その他、分かりやすさや表現の平仄を合わせる観点から、一部構成を修正した。
2