よむ、つかう、まなぶ。
【資料3】意見募集及び調査の結果を踏まえた「医療情報システムの安全管理に関するガイドライン第5.2版(案)」 (73 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
b
医療情報等の安全管理に係る実施体制の整備状況
c
不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバッ
クアップの取得及び管理の状況
d
実績等に基づく個人データ安全管理に関する信用度
e
財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又は ISMS 認証を取得していること
g
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セ
キュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外
部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)
(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外
部監査結果により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
h
医療情報を保存する機器が設置されている場所(地域、国)
i
受託事業者に対する国外法の適用可能性
D.推奨されるガイドライン
1. ISMS 認証を取得している事業者の選定に際しては、選定対象となる事業者に管理して
いるリスクに応じて、適合性を示す資料の提供を求めること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合で
は、技術的な方法として、例えばトラブル発生時のデータ修復作業等緊急時の対応を除
き、原則として委託する医療機関等のみがデータ内容を閲覧できることを担保するよ
う求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管
理することや、外部保存を受託する事業者の管理者といえども通常はアクセスできな
い制御機構をもつこと。具体的には、
「暗号化を行う」、
「情報を分散保管する」という
方法が考えられる。その場合、非常時等の通常とは異なる状況下でアクセスすることも
想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備えるよう求め
ること。
69
医療情報等の安全管理に係る実施体制の整備状況
c
不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバッ
クアップの取得及び管理の状況
d
実績等に基づく個人データ安全管理に関する信用度
e
財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又は ISMS 認証を取得していること
g
「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セ
キュリティクラウド認証等」に示す下記のいずれかの認証等により、適切な外
部保存に求められる技術及び運用管理能力の有無
・政府情報システムのためのセキュリティ評価制度(ISMAP)
・JASA クラウドセキュリティ推進協議会 CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)
(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外
部監査結果により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
h
医療情報を保存する機器が設置されている場所(地域、国)
i
受託事業者に対する国外法の適用可能性
D.推奨されるガイドライン
1. ISMS 認証を取得している事業者の選定に際しては、選定対象となる事業者に管理して
いるリスクに応じて、適合性を示す資料の提供を求めること。
2. 医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存する場合で
は、技術的な方法として、例えばトラブル発生時のデータ修復作業等緊急時の対応を除
き、原則として委託する医療機関等のみがデータ内容を閲覧できることを担保するよ
う求めること。
3. 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行い適切に管
理することや、外部保存を受託する事業者の管理者といえども通常はアクセスできな
い制御機構をもつこと。具体的には、
「暗号化を行う」、
「情報を分散保管する」という
方法が考えられる。その場合、非常時等の通常とは異なる状況下でアクセスすることも
想定し、アクセスした事実が医療機関等で明示的に識別できる機構を備えるよう求め
ること。
69