Ｑ－２４

不正ソフトウェア対策等が大変なので、外部と遮断した環境を設定
する方が望ましいのか。

Ａ

医療情報の有効な利用を図るために、外部との接続を行うことも広く行わ
れるようになっています。このような環境での不正ソフトウェア混入等の脅
威は確かにありますが、効果的な対策を行うことで、リスクを許容範囲に収
めることが可能です。また、外部と遮断することによって、不正ソフトウェ
ア混入のリスクを低減できることは事実ですが、それだけで侵入を完全に防
ぐことはできません。例えば、従業者が不用意に USB ポートなどを利用す
る場合等でも、不正ソフトウェアが混入することがあります。よって、外部
と遮断されている環境であっても、不正ソフトウェア対策ソフトの導入、ぜ
い弱性の対策を行ったソフトウェアの利用等の対策が必要です。
なお、不正ソフトウェア対策ソフトやぜい弱性の対策等については、外部
との接続を断つことによって、最新のソフトウェア検知パターンファイルの
取得、対策ソフトウェアの緊急アップデート等を、可搬記憶媒体を介して手
作業により行うことになるため、作業が遅れたり、可搬記憶媒体が不正ソフ
トウェアの混入源となったりするリスクがあります。一方で、外部との接続
を遮断しつつ、管理者が安全な形で外部から取得した最新の内部サーバから
配信するという手段もありますので、利便性とリスクを踏まえて対応するこ
とになります。
また端末やサーバ装置の活動を監視し、不正プログラム等の検知や対処を
行う EDR（Endpoint Detection And Response）ソフトウェア等の利用
や、主体の操作に対する常時アクセス判断・許可アーキテクチャ（ゼロトラ
ストアーキテクチャ、ゼロトラストセキュリティ等）を用いて内部ネットワ
ーク、外部ネットワーク問わずに対策を講じることも有効な手段として挙げ
られています。
以上の具体的な対策方法については、ガイドラインをご参照ください。

Ｑ－２５

｢小規模医療機関等で役割が自明の場合は、明確な規程を定めなく
とも良い。｣とあるが、小規模の基準は病床数や職員数で決められて
いるのか。

Ａ

明確な基準はありませんが、自明とは「何ら説明を要しないこと」を指し
ます。例えば、役割を果たすための有資格者が、その施設内に唯一人しか存
在しない場合等です。そのような医療機関等では、明確な規程がなくとも説
明責任を果たすことが可能であるか、検討する必要があります。

11