よむ、つかう、まなぶ。
資料2-7-2 内閣府健康・医療戦略推進事務局 御提出資料 (22 ページ)
出典
| 公開元URL | https://www8.cao.go.jp/kisei-kaikaku/kisei/meeting/wg/2409_04medical/241125/medical03_agenda.html |
| 出典情報 | 規制改革推進会議 健康・医療・介護ワーキング・グループ(第3回 11/25)《内閣府》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
ガイドライン案 Ⅳ. ③ 認定利用事業者の安全管理措置に関する基本的な考え方 (2)
•
認定利用事業者は、自らの仮名加工医療情報の利用環境に応じて、管理・取扱区域における仮名加工医療情報の取扱いに関
するリスクの分析を行い、その結果に応じて講じるべき具体的な措置を検討・実施する必要あり。それぞれの区域において生じ得る
脅威及びそれによるリスクに対応するための措置としては、例えば、以下が考えられる※(新GL14-3-1参照)。
※ もっとも、各認定利用事業者において自らの利用環境に応じた個別のリスク分析及び当該分析に応じた措置の検討が必要であり、下記の全ての
「具体的な手段」の実施を必ずしも必須とするものではなく、また、これらの手段のみにより安全管理措置が十分であることを示すものでもない。
※ とりわけ、取扱区域においては、認定利用事業者の業務内容や研究開発の目的・内容、取扱者の利用環境等によって、適切な安全管理措置の
組合せは多様であると考えられる。
(Ⅰ型認定の場合)管理区域
取扱区域
生じ得る脅威
の例
• 取扱者以外の者による当該区域への無断立入り及び機器の持出し
並びに仮 名加工医療情報 の閲覧・操作
• 取扱者自身による不正利用 (例えば、機器の無断持ち出しや画面撮
影等) 等
• 取扱者以外の者による仮 名加工医療情報 の閲覧・操
作
• 取扱者自身による不正利用(例えば、画面撮影等) 等
当該脅威によ
るリスクに対応
するために講
ずべき措置及
び具体的な手
段の例
① (物理的措置(2))施設設備への立入り及び機器の持込みの管理及
び制限(新GLⅣ-14-3-2参照)
• 生体を含む2要素以上の手法による認証を含む入退室の管理
• 機器を収納したラックに対する施錠・固定等による不正・不要なアクセ
スの防止
• 可搬記録媒体、スマートフォン等の機器の持込みの管理・制限
• 監視カメラ等による常時監視
① (物理的措置(3))機器の紛失・盗難又は不正な持出し
の防止等(新GLⅣ-14-3-3参照)
• 間仕切りの設置・座席配置の工夫、のぞき見対策の
シートの貼付、パスワードスクリーンセイバーの設定、
画面撮影の禁止等による窃視の防止
• 監視カメラの設置、端末装置等の操作時のPC内蔵カメ
ラの利用、責任者又はその指名する者による監視その
他の適切な手段による取扱区域の監視
② (物理的措置(3))機器の紛失・盗難又は不正な持出しの防止等(新
GLⅣ-14-3-3参照)
• 手荷物の検査、入退室管理簿の整備、ワイヤによる機器の固定等に
よる機器等の持出しの管理・制限
• 間仕切りの設置・座席配置の工夫、のぞき見対策のシートの貼付、パ
スワードスクリーンセイバーの設定、画面撮影の禁止等による窃視の
防止
③ (技術的措置(3))電子計算機・端末装置の動作の記録及び操作の
検知・制御(ログを保存し、改ざん・不正な消去を防止する措置を講じるこ
② (技術的措置(3))電子計算機・端末装置の動作の記
録及び操作の検知・制御(ログを保存し、改ざん・不正な
消去を防止する措置を講じること等)(新GLⅣ-14-4-3参照)
※ Ⅱ型認定の場合には、認定利用事業者自らがこれらの措置
を実施する必要は必ずしもなく、認定作成事業者がビジティ
ング環境の整備の一環として講じる安全管理措置との組合
せにより、必要十分な安全管理措置を総合的に整備するこ
とが必要
と等)(新GLⅣ-14-4-3参照)
22
•
認定利用事業者は、自らの仮名加工医療情報の利用環境に応じて、管理・取扱区域における仮名加工医療情報の取扱いに関
するリスクの分析を行い、その結果に応じて講じるべき具体的な措置を検討・実施する必要あり。それぞれの区域において生じ得る
脅威及びそれによるリスクに対応するための措置としては、例えば、以下が考えられる※(新GL14-3-1参照)。
※ もっとも、各認定利用事業者において自らの利用環境に応じた個別のリスク分析及び当該分析に応じた措置の検討が必要であり、下記の全ての
「具体的な手段」の実施を必ずしも必須とするものではなく、また、これらの手段のみにより安全管理措置が十分であることを示すものでもない。
※ とりわけ、取扱区域においては、認定利用事業者の業務内容や研究開発の目的・内容、取扱者の利用環境等によって、適切な安全管理措置の
組合せは多様であると考えられる。
(Ⅰ型認定の場合)管理区域
取扱区域
生じ得る脅威
の例
• 取扱者以外の者による当該区域への無断立入り及び機器の持出し
並びに仮 名加工医療情報 の閲覧・操作
• 取扱者自身による不正利用 (例えば、機器の無断持ち出しや画面撮
影等) 等
• 取扱者以外の者による仮 名加工医療情報 の閲覧・操
作
• 取扱者自身による不正利用(例えば、画面撮影等) 等
当該脅威によ
るリスクに対応
するために講
ずべき措置及
び具体的な手
段の例
① (物理的措置(2))施設設備への立入り及び機器の持込みの管理及
び制限(新GLⅣ-14-3-2参照)
• 生体を含む2要素以上の手法による認証を含む入退室の管理
• 機器を収納したラックに対する施錠・固定等による不正・不要なアクセ
スの防止
• 可搬記録媒体、スマートフォン等の機器の持込みの管理・制限
• 監視カメラ等による常時監視
① (物理的措置(3))機器の紛失・盗難又は不正な持出し
の防止等(新GLⅣ-14-3-3参照)
• 間仕切りの設置・座席配置の工夫、のぞき見対策の
シートの貼付、パスワードスクリーンセイバーの設定、
画面撮影の禁止等による窃視の防止
• 監視カメラの設置、端末装置等の操作時のPC内蔵カメ
ラの利用、責任者又はその指名する者による監視その
他の適切な手段による取扱区域の監視
② (物理的措置(3))機器の紛失・盗難又は不正な持出しの防止等(新
GLⅣ-14-3-3参照)
• 手荷物の検査、入退室管理簿の整備、ワイヤによる機器の固定等に
よる機器等の持出しの管理・制限
• 間仕切りの設置・座席配置の工夫、のぞき見対策のシートの貼付、パ
スワードスクリーンセイバーの設定、画面撮影の禁止等による窃視の
防止
③ (技術的措置(3))電子計算機・端末装置の動作の記録及び操作の
検知・制御(ログを保存し、改ざん・不正な消去を防止する措置を講じるこ
② (技術的措置(3))電子計算機・端末装置の動作の記
録及び操作の検知・制御(ログを保存し、改ざん・不正な
消去を防止する措置を講じること等)(新GLⅣ-14-4-3参照)
※ Ⅱ型認定の場合には、認定利用事業者自らがこれらの措置
を実施する必要は必ずしもなく、認定作成事業者がビジティ
ング環境の整備の一環として講じる安全管理措置との組合
せにより、必要十分な安全管理措置を総合的に整備するこ
とが必要
と等)(新GLⅣ-14-4-3参照)
22