よむ、つかう、まなぶ。
【参考資料2】「医療情報システムの安全管理に関するガイドライン第5.2版【案】」に関するQ&A (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_24799.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第10回 3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
Q-26
外部監査はどのような機関に依頼すべきか。
A
医療機関等が少人数の従業者により運営されている等、内部監査の体制を
構築できない場合には、第三者に監査を依頼することが考えられます。この
「第三者」は、医療情報システムに関する知見を有していることが必要です
が、専門の監査機関等に限られるものではありません。
Q-27
「個人情報が参照可能な場所においては、来訪者の記録・識別、入
退を制限する等の入退管理を定めること」とあるが、例えば外来やナ
ースステーション等では、それらの措置は困難ではないか。
A
外来やナースステーションでは患者や家族の入退がありますが、医療情報
システムを導入していない場合にも行われているように、その事実をカルテ
等に記録することにより、来訪を記録できます。
Q-28
「パスワードの要件として、
a.英数字、記号を混在させた 13 文字以上の推定困難な文字列
b.英数字、記号を混在させた 8 文字以上の推定困難な文字列を定期
的に変更させる(最長でも 2 ヶ月以内)」
として定めているが、どうしてなのか。
A
パスワードの要件による安全性については、日々研究が進められていま
す。近年では、定期的な変更を行うことで利用者が推定可能なパスワードを
設定することで、むしろ脆弱になってしまうという報告(NIST SP80063-3)もあります。
医療情報システムにおいては、患者情報を預かる医療従事者による職務上
の安全確保という観点から、推定困難なパスワードを設定することが求めら
れます。定期的な変更を行わず、前述の報告に記載されているような管理
(※1)を適切に行うことで、最低限の安全性を確保できるパスワードとし
て、国内の他の基準等を参考にして、本ガイドラインでは、英数字、記号を
混在させた 13 桁以上の文字列としています。
また、医療情報システムのシステム上の制約等で 13 文字以上の文字列を
12
外部監査はどのような機関に依頼すべきか。
A
医療機関等が少人数の従業者により運営されている等、内部監査の体制を
構築できない場合には、第三者に監査を依頼することが考えられます。この
「第三者」は、医療情報システムに関する知見を有していることが必要です
が、専門の監査機関等に限られるものではありません。
Q-27
「個人情報が参照可能な場所においては、来訪者の記録・識別、入
退を制限する等の入退管理を定めること」とあるが、例えば外来やナ
ースステーション等では、それらの措置は困難ではないか。
A
外来やナースステーションでは患者や家族の入退がありますが、医療情報
システムを導入していない場合にも行われているように、その事実をカルテ
等に記録することにより、来訪を記録できます。
Q-28
「パスワードの要件として、
a.英数字、記号を混在させた 13 文字以上の推定困難な文字列
b.英数字、記号を混在させた 8 文字以上の推定困難な文字列を定期
的に変更させる(最長でも 2 ヶ月以内)」
として定めているが、どうしてなのか。
A
パスワードの要件による安全性については、日々研究が進められていま
す。近年では、定期的な変更を行うことで利用者が推定可能なパスワードを
設定することで、むしろ脆弱になってしまうという報告(NIST SP80063-3)もあります。
医療情報システムにおいては、患者情報を預かる医療従事者による職務上
の安全確保という観点から、推定困難なパスワードを設定することが求めら
れます。定期的な変更を行わず、前述の報告に記載されているような管理
(※1)を適切に行うことで、最低限の安全性を確保できるパスワードとし
て、国内の他の基準等を参考にして、本ガイドラインでは、英数字、記号を
混在させた 13 桁以上の文字列としています。
また、医療情報システムのシステム上の制約等で 13 文字以上の文字列を
12