よむ、つかう、まなぶ。
病院における医療情報システムのサイバーセキュリティ対策に係る調査について(依頼) (18 ページ)
出典
| 公開元URL | |
| 出典情報 | 病院における医療情報システムのサイバーセキュリティ対策に係る調査について(依頼)(1/27付 事務連絡)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
電子カルテシステムのバックアップデータの更新頻度について、当てはまるものを選択してください。
①1か月以内に1回
Q10
②1か月~3か月以内に1回
③3か月~半年以内に1回
④半年~1年以内に1回
⑤バックアップデータを更新していない
Q10-1
Q10-2
バックアップデータは、複数の時点による保存(世代管理)をしているか。
バックアップデータは、漏洩対策を講じているか。
(例:バックアップデータの暗号化、秘密分散管理、アクセス権限の設定)
Q11からQ13は、令和4年11月10日に厚生労働省より発出された事務連絡「医療機関等におけるサイバーセキュリティ
対策の強化について(注意喚起)」を参照の上、回答すること。
「1
Q11
サプライチェーンリスク全体の確認」に記載の内容をもとに、関係事業者のセキュリティ管理体制を確認し、関
係事業者とのネットワーク接続点(特にインターネットとの接続点)をすべて管理下におき、脆弱性対策を実施した
か。
Q12
「2
リスク低減のための措置」に記載の内容を確認し、自組織に必要な措置を講じたか。
Q13
「3
インシデントの早期検知」に記載の内容を確認し、各種ログの確認・通信の監視などを行ったか。
Q14およびQ15は、回答にあたり院内のサーバ室等を点検し、リモートゲートウェイ装置(以下「VPN機器」)が存在
するか保守ベンダー含め確認した上、回答してください。
確認の結果、VPN機器が設置されていない場合は、次問以降の回答は不要ですので、回答を提出してください。
自組織内のVPN機器の設置場所を把握しているか。
Q14
※自組織が設置したものだけでなく、保守点検等を目的に、保守ベンダーや業務外注事業者が設置したVPN機器を含
む。
Q15
VPN機器は、Fortinet製品を使用しているか。使用している場合、機種名・台数・OSのバージョンをすべて記載するこ
と。
Q16からQ16-2は、Fortinet製品のVPN機器を使用している病院が対象となる質問です。回答にあたっては、令和4年
12月16日に厚生労働省より発出された事務連絡「FortiOSに関する脆弱性情報への対応について(注意喚起)」を参照の
上、回答してください。
Fortinet製品以外のVPN機器を使用している病院は、Q17に進んでください。
なお、Fortinet製品およびFortinet製品以外の複数のVPN機器を設置されている病院におかれても、Fortinet製品以外の
VPN機器についてQ17にご回答ください。
Q16
Q16-1
Q16-2
Fortinet製品の脆弱性情報に基づき、対象となるソフトウェアが使用されているか及びサポート期限が切れていないか確
認したか。または、医療情報システムの保守ベンダーに確認を依頼したか。
(Q16において確認した、対象のソフトウェアを使用していた病院は回答すること)
最新のソフトウェアにバージョンアップを実施したか。
VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施しているか。
Q17からQ17-2は、Fortinet製品以外のVPN機器を使用している病院は回答してください。
Fortinet製品のVPN機器が設置されている場合は、次問以降の回答は不要ですので、回答を提出してください。
Q17
VPN機器のメーカー名・機種名・台数・OSのバージョンをすべて記載すること。
①1か月以内に1回
Q10
②1か月~3か月以内に1回
③3か月~半年以内に1回
④半年~1年以内に1回
⑤バックアップデータを更新していない
Q10-1
Q10-2
バックアップデータは、複数の時点による保存(世代管理)をしているか。
バックアップデータは、漏洩対策を講じているか。
(例:バックアップデータの暗号化、秘密分散管理、アクセス権限の設定)
Q11からQ13は、令和4年11月10日に厚生労働省より発出された事務連絡「医療機関等におけるサイバーセキュリティ
対策の強化について(注意喚起)」を参照の上、回答すること。
「1
Q11
サプライチェーンリスク全体の確認」に記載の内容をもとに、関係事業者のセキュリティ管理体制を確認し、関
係事業者とのネットワーク接続点(特にインターネットとの接続点)をすべて管理下におき、脆弱性対策を実施した
か。
Q12
「2
リスク低減のための措置」に記載の内容を確認し、自組織に必要な措置を講じたか。
Q13
「3
インシデントの早期検知」に記載の内容を確認し、各種ログの確認・通信の監視などを行ったか。
Q14およびQ15は、回答にあたり院内のサーバ室等を点検し、リモートゲートウェイ装置(以下「VPN機器」)が存在
するか保守ベンダー含め確認した上、回答してください。
確認の結果、VPN機器が設置されていない場合は、次問以降の回答は不要ですので、回答を提出してください。
自組織内のVPN機器の設置場所を把握しているか。
Q14
※自組織が設置したものだけでなく、保守点検等を目的に、保守ベンダーや業務外注事業者が設置したVPN機器を含
む。
Q15
VPN機器は、Fortinet製品を使用しているか。使用している場合、機種名・台数・OSのバージョンをすべて記載するこ
と。
Q16からQ16-2は、Fortinet製品のVPN機器を使用している病院が対象となる質問です。回答にあたっては、令和4年
12月16日に厚生労働省より発出された事務連絡「FortiOSに関する脆弱性情報への対応について(注意喚起)」を参照の
上、回答してください。
Fortinet製品以外のVPN機器を使用している病院は、Q17に進んでください。
なお、Fortinet製品およびFortinet製品以外の複数のVPN機器を設置されている病院におかれても、Fortinet製品以外の
VPN機器についてQ17にご回答ください。
Q16
Q16-1
Q16-2
Fortinet製品の脆弱性情報に基づき、対象となるソフトウェアが使用されているか及びサポート期限が切れていないか確
認したか。または、医療情報システムの保守ベンダーに確認を依頼したか。
(Q16において確認した、対象のソフトウェアを使用していた病院は回答すること)
最新のソフトウェアにバージョンアップを実施したか。
VPN機器に対する管理インターフェースのインターネット上の適切なアクセス制限を実施しているか。
Q17からQ17-2は、Fortinet製品以外のVPN機器を使用している病院は回答してください。
Fortinet製品のVPN機器が設置されている場合は、次問以降の回答は不要ですので、回答を提出してください。
Q17
VPN機器のメーカー名・機種名・台数・OSのバージョンをすべて記載すること。