よむ、つかう、まなぶ。
【資料2―4】令和7 年度版医療機関におけるサイバーセキュリティ対策チェックリストマニュアル案 (確認用見え消し) (11 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_53554.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第24回 3/13)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
⑧
パスワードの使い回しを禁止している。
(医療情報システム全般)
パスワードの使い回しは漏えいリスクを高め、一度の漏えいにより被害範囲が拡大す
るため、複数の機器や外部サービス等で、同一のパスワードを設定しないことが必要で
▶システム運用編
8.⑤
す(※)。
事業者においては、事業者内及び、医療機関等に設置したサーバ、ネットワーク機器
等について、パスワードの使い回しが行われていないか確認してください。
〈危険なパスワード使い回し例〉
-
施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
-
事業者が契約している複数施設に対して同一のパスワードを用いて管理している
-
出荷時のパスワードから変更を行っていない
※「医療機関等におけるサイバーセキュリティ対策の取組みについて(周知)
令和6年 8 月1日付」
https://www.mhlw.go.jp/content/10808000/001283914.pdf
⑨
USB ストレージ等の外部記録媒体や情報機器に対して接続を制限している。
(医療情報システム全般)
記録媒体や情報機器等の利用は、持ち出し先での紛失や盗難のほか、医療情報システム
の端末 PC やサーバに USB ストレージ経由での不正ソフトウェア混入が想定されます。
他の医療情報システムや医療機器等にマルウェア感染が広がる事を防ぐべく、USB ス
トレージ等の外部接続機器に対して接続の制限を行う必要があります。業務の必要性に
応じて外部接続機器を利用する場合には、記録媒体及び記録機器の保管及び取扱いにつ
いて適切に行う必要があります。
・医療情報の持ち出しが可能となる記録媒体や情報機器等を限定する(※)
。
・医療情報の持ち出しに対する手続等の運用管理規程を策定する。
・記録媒体・情報機器等を医療機関等に持ち帰った場合のそれらの確認に関する手続等
の運用管理規程を策定する。
等を行うことが求められます。
※例えば病院等の情報システム部門が管理する特定の記録媒体以外の読み込みを不能とし、利用前
の記録媒体へのウイルススキャンや利用後の初期化を行う等の対策が想定されます。
事業者においては、医療機関等からの依頼に基づいて USB 等の接続制限を行っている、又は医療情報
システムがその機能を有するか医療機関への情報提供を行ってください。
11
▶企 画 管 理 編
8.2.2
▶シ ス テ ム 運 用 編
8.①
パスワードの使い回しを禁止している。
(医療情報システム全般)
パスワードの使い回しは漏えいリスクを高め、一度の漏えいにより被害範囲が拡大す
るため、複数の機器や外部サービス等で、同一のパスワードを設定しないことが必要で
▶システム運用編
8.⑤
す(※)。
事業者においては、事業者内及び、医療機関等に設置したサーバ、ネットワーク機器
等について、パスワードの使い回しが行われていないか確認してください。
〈危険なパスワード使い回し例〉
-
施設内のサーバ、ネットワーク機器等に同一のパスワードを用いている
-
事業者が契約している複数施設に対して同一のパスワードを用いて管理している
-
出荷時のパスワードから変更を行っていない
※「医療機関等におけるサイバーセキュリティ対策の取組みについて(周知)
令和6年 8 月1日付」
https://www.mhlw.go.jp/content/10808000/001283914.pdf
⑨
USB ストレージ等の外部記録媒体や情報機器に対して接続を制限している。
(医療情報システム全般)
記録媒体や情報機器等の利用は、持ち出し先での紛失や盗難のほか、医療情報システム
の端末 PC やサーバに USB ストレージ経由での不正ソフトウェア混入が想定されます。
他の医療情報システムや医療機器等にマルウェア感染が広がる事を防ぐべく、USB ス
トレージ等の外部接続機器に対して接続の制限を行う必要があります。業務の必要性に
応じて外部接続機器を利用する場合には、記録媒体及び記録機器の保管及び取扱いにつ
いて適切に行う必要があります。
・医療情報の持ち出しが可能となる記録媒体や情報機器等を限定する(※)
。
・医療情報の持ち出しに対する手続等の運用管理規程を策定する。
・記録媒体・情報機器等を医療機関等に持ち帰った場合のそれらの確認に関する手続等
の運用管理規程を策定する。
等を行うことが求められます。
※例えば病院等の情報システム部門が管理する特定の記録媒体以外の読み込みを不能とし、利用前
の記録媒体へのウイルススキャンや利用後の初期化を行う等の対策が想定されます。
事業者においては、医療機関等からの依頼に基づいて USB 等の接続制限を行っている、又は医療情報
システムがその機能を有するか医療機関への情報提供を行ってください。
11
▶企 画 管 理 編
8.2.2
▶シ ス テ ム 運 用 編
8.①