よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 [564KB] (8 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)(3/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
管理事
項番号
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
・すなわち、判断するための基準、手
順、判断者、をあらかじめ決めておく
システムの縮退運用管
A
・技術的な縮退運用時機能
理規程
非常時の機能と運用規
・システムが縮退運用を行っている際
の、運用管理規程
A
・技術的な非常時用機能
程
・システムの縮退運用時や非常時の運用に関して運用管理規程を作成し、利用者に周知の
上、常に利用可能な状態におくこと。
・正常復帰後に、代替手段で運用した
間のデータ整合性を図る規約
・「非常時のユーザアカウントや非常時
用機能」の管理手順
サイバー攻撃対策のた
A
めのバックアップ取得
・技術的な平常時のバックアップ ・サイバー攻撃に備えたバックアップ取
対策
得規則(取得対象、取得方法等)
・サイバー攻撃に備えたバックアップ取
・重要なファイルは数世代バックアップを複数の方式で取得し、その一部は不正ソフトウェア
の混入による影響が波及しない手段で管理するとともに、バックアップからの重要なファイ
ルの復元手順を整備すること
得手順
報告先と内容一覧
A
・不正ソフトウェアの混入などによるサ
・災害、 不正ソフトウェアの混入などによるサイバー攻撃を受けた(疑い含む)場合、サイバ
イバー攻撃を受けた(疑い含む)場合
ー攻撃により障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのお
や、サイバー攻撃により障害が発生
それがある事案であると判断した等の場合には、別途定める一覧の連絡先に連絡するこ
し、個人情報の漏洩や医療提供体制
と。
に支障が生じる又はそのおそれがあ
・所管官庁への連絡については、「医療機関等におけるサイバーセキュリティ対策の強化に
る事案であると判断された場合には、
ついて」(医政総発 1029 第1号 医政地発 1029 第3号 医政研発 1029 第1号 平成 30
「医療機関等におけるサイバーセキュ
年 10 月 29 日)に基づき行うこと。
リティ対策の強化について」(医政総発
1029 第1号 医政地発 1029 第3号
医政研発 1029 第1号 平成 30 年 10
月 29 日)に基づき所管官庁への連絡
を行う
⑨
教育と訓練
マニュアルの整備
A
・マニュアルの整備
・システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知の
上、常に利用可能な状態におくこと。
定期又は不定期なシス
A
・定期又は不定期な電子保存システム
テムの取扱い及びプラ
の取扱い及びプライバシー保護に関
イバシー保護やセキュ
する教育、研修
リティ意識向上に関す
る研修
-8-
・システム管理者は、利用者に対し、定期的に情報システムの取扱い及びプライバシー保護
に関する研修を行うこと。また、研修時のテキスト、出席者リストを残すこと。
項番号
運用管理項目
実施項目
対象
技術的対策
運用的対策
運用管理規程文例
・すなわち、判断するための基準、手
順、判断者、をあらかじめ決めておく
システムの縮退運用管
A
・技術的な縮退運用時機能
理規程
非常時の機能と運用規
・システムが縮退運用を行っている際
の、運用管理規程
A
・技術的な非常時用機能
程
・システムの縮退運用時や非常時の運用に関して運用管理規程を作成し、利用者に周知の
上、常に利用可能な状態におくこと。
・正常復帰後に、代替手段で運用した
間のデータ整合性を図る規約
・「非常時のユーザアカウントや非常時
用機能」の管理手順
サイバー攻撃対策のた
A
めのバックアップ取得
・技術的な平常時のバックアップ ・サイバー攻撃に備えたバックアップ取
対策
得規則(取得対象、取得方法等)
・サイバー攻撃に備えたバックアップ取
・重要なファイルは数世代バックアップを複数の方式で取得し、その一部は不正ソフトウェア
の混入による影響が波及しない手段で管理するとともに、バックアップからの重要なファイ
ルの復元手順を整備すること
得手順
報告先と内容一覧
A
・不正ソフトウェアの混入などによるサ
・災害、 不正ソフトウェアの混入などによるサイバー攻撃を受けた(疑い含む)場合、サイバ
イバー攻撃を受けた(疑い含む)場合
ー攻撃により障害が発生し、個人情報の漏洩や医療提供体制に支障が生じる又はそのお
や、サイバー攻撃により障害が発生
それがある事案であると判断した等の場合には、別途定める一覧の連絡先に連絡するこ
し、個人情報の漏洩や医療提供体制
と。
に支障が生じる又はそのおそれがあ
・所管官庁への連絡については、「医療機関等におけるサイバーセキュリティ対策の強化に
る事案であると判断された場合には、
ついて」(医政総発 1029 第1号 医政地発 1029 第3号 医政研発 1029 第1号 平成 30
「医療機関等におけるサイバーセキュ
年 10 月 29 日)に基づき行うこと。
リティ対策の強化について」(医政総発
1029 第1号 医政地発 1029 第3号
医政研発 1029 第1号 平成 30 年 10
月 29 日)に基づき所管官庁への連絡
を行う
⑨
教育と訓練
マニュアルの整備
A
・マニュアルの整備
・システム管理者は、情報システムの取扱いについてマニュアルを整備し、利用者に周知の
上、常に利用可能な状態におくこと。
定期又は不定期なシス
A
・定期又は不定期な電子保存システム
テムの取扱い及びプラ
の取扱い及びプライバシー保護に関
イバシー保護やセキュ
する教育、研修
リティ意識向上に関す
る研修
-8-
・システム管理者は、利用者に対し、定期的に情報システムの取扱い及びプライバシー保護
に関する研修を行うこと。また、研修時のテキスト、出席者リストを残すこと。