よむ、つかう、まなぶ。
【参考資料1-1】「医療情報システムの安全管理に関するガイドライン 第6.0版」の骨子(案)について(概要)意見募集結果 (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)に関する御意見募集結果
No.
御意見分類
別紙
御意見概要
現状(第5.2版)では、本編、別冊の他にも多くの文書が存在する。(下記、(現状)参照) これらがそれぞれ、今回の第6版でどうなるかを
明確にすべき。
・C項、D項とを本編に記載する。
・C項をできるだけシンプルに修正し、各C項の説明を追加する。
・「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」及び個情法の観点以外のサイ
バーセキュリティ対策の必要な領域等を明確にする。等
1
全体構成の見直し
2
全体構成の見直し
3
全体構成の見直し
4
全体構成の見直し
5
全体構成の見直し
分冊化により各読者に必要な情報が届きやすくなる。また全体的に医療機関の情報リテラシーの向上に資する。
一方で、旧2省ガイドラインの対策項目一覧と安全管理ガイドラインとの対応表のように、ベンダ側が全ガイドラインを横断的かつ優
先度順で俯瞰できる資料があると良い。
6
全体構成の見直し
第5.2版において用語の理解も含め政策に対応できない現場が多い。厚労省において「医療機関向けセキュリティ教育支援ポータルサイ
ト」が開設され、ソフトウェア協会協力のもとで様々な講習開催していることは評価したいが認知度が低いため、周知・広報をお願い
することと、第6.0版での用語のわかりやすさ向上を求める。
7
全体構成の見直し
分冊してしまうと特定の編しか読まない事象が発生し、却って全体を見通さない人が増えるのではないか。
8
全体構成の見直し
9
全体構成の見直し
10
全体構成の見直し
11
全体構成の見直し
12
全体構成の見直し
「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) に反対である。
初歩から詳細にわたる事項や、ガイドライン発行時点における最新の知見を、教育的資料としてガイドラインに含めることにより、医
療機関におけるサイバーセキユリティ対策の高度化を促進し、足かせとならないようにすべき。
C項記載の方法
遵守事項をもっとシンプルにして、例示、場合、条件などは、解説文書側に含めて欲しい。遵守事項に条件等がある場合は、解説で説
明する等。
4編にすることは改定作業にて混乱を招く可能性があるため、従来の体裁のガイドラインを本編とし、ガバナンス編、マネジメント編、
コントロール編の副読本を作成した方が良い。今後の改定などにおいても、関連ドキュメントへのインパクトを最小化できるとともに
改定検討そのものも円滑に実施できるのではないか。
経営層、企画層、運用層の三つにガイドラインを分割して整理し直す試みについては全面的に賛成。
その上で、経営層、企画層、運用層のそれぞれの責任者(一般的な知見では、CISO、CISO補佐、運用実務者となると思われる)の持つ
べき権限と能力・知見について明示する必要があると考える。
「診療録管理体制加算」における「医療情報システム安全管理責任者」は企画層の責任者であると考えるが、他のガイドラインと整合
性を取って記述するべき。
ガイドラインは、専門家が自主的に判断する際に考慮すべき事項(アセスメントするべきリスク)のリストアップを中心とし、専門家
が自ら技術選択を行う際の考え方の道標を示すものとしていただきたい。
よって、これまでのガイドラインの中核を占めてきた、技術的な手段の選択に関する個別具体的な議論は、Q&Aや用語集等の本編とは別
に「事例」として示すに留め、専門家による技術選択の幅を狭めることのないように留意していただきたい。
経営層、企画層、運用層の三つにガイドラインが分割され、組織体制やシステム環境に応じて異なる適用範囲の宣言を促す方法が分か
り易く、医療情報システムのセキュリティ管理を行う医療機関の組織整備を踏まえた観点からも適切な方向であると考える。
今回の構成変更ではリスク評価が重要となると思われる。
医療機器のようにセキュリティ対応が困難な機器(一般の情報機器のような対応が行われない)についての対応が必要である。
医療機関がリスクを認識した上で、各種制限の中でリスク対応や安全性を向上できる指針にしていただきたい。
2省ガイドラインとの関連性を考慮した対応も必要である。
5.2版におけるセキュリティに係る具体的な推奨技術はQ&Aに落とし込まれるものである.。5.2版では推奨する技術を個別具体的な方法
に固定する形で記載しており、技術の進歩に対して柔軟に対応できていない。
ついては、Q&Aに個別の技術について記載する場合には、例示に留めるべきである。
運用上の便宜のため、以下3点の考慮を希望する。
(1)「第5.2版からの各項目の移行対応表」や「第6版各編の各項目の相関表」などの別添資料も整備いただきたい。
(2)各規模の施設やユースケースにおいて明確に規範を適用できるように規範各編本文に記載の要求事項と別添や特集での記載とを十分
に整合されたい。
(3)本編のパブリックコメント募集時に、別添・特集等の資料についても、概要を記載いただきたい。
13
全体構成の見直し
14
全体構成の見直し
15
全体構成の見直し
16
外部委託、外部サービスの 従来は、院内勤務を前提としている内容が見られたが、在宅勤務で医療情報を扱う場面を想定した記載が必要である。
利用
17
18
19
20
21
22
詳細な改定内容の資料がなければ、検討ができない。サイバー攻撃の巧妙化により、ガイドラインをベースラインアプローチで改定す
ることは困難であるので、リスクベースアプローチに変更することで、医療機関等のリスク対応が改善されると考えられる。
セキュリティに関する技術的な内容について、本編に基本的な考えを示し、具体的な内容はQ&Aに記載するという認識で正しいか。
当初の議論とは考え方が違うようであれば、骨子(案)の中で示すべきである。
「医療情報システム・サービス事業者との協働」について
・経営陣が脆弱性対策をベンダに要求できているか、意識できるような表現を追加いただきたい。
外部委託、外部サービスの ・栄養システムや画像システム等は、基幹となる電子カルテ・医事システムとは異なるベンダーの異なる管理がなされている場合があ
利用
るので注意を促していたい。
クラウドサービスを利用する場合の項目の追加いただきたい。例えば、クラウドサービスではIdPによるデバイスの認証も選択肢として
ありうる。
しかし、5.2版ではVPN、クライアント証明書の利用を必須としているため、その管理に別途仕組みの構築することとなり、医療機関の
外部委託、外部サービスの 負担となる。
利用
「医療情報システムを医療機関等に保有しない運用」ガイドラインの参照パターンを記載いただきたい。5.2版時点ではオンプレミスを
外部委託、外部サービスの 前提としているため6.0版ではオンプレミスとクラウドのハイブリッドな運用についても記載いただきたい。
利用
「医療情報システムに用いる情報機器等の管理」についてセキュリティインシデント発生時にサービス事業者側を責めるような論調も
外部委託、外部サービスの 一部ある。
事業者側に予見不可能な責任を押し付けることのないよう、契約時点も含めた責任分界点を明確にしていくべきである。
利用
設計・運用・管理をベンダに一任している医療機関も多い。過去の被害報告でもベンダーの責任分界点が曖昧であり、通常時から非常
時に至るまでベンダー対応が不足している。この状況においてベンダにのみ対応を課すことは酷である。医療機関等に対応しうるベン
外部委託、外部サービスの ダーの認証制度を求め、ベンダーは医療機関等に対して、遵守すべきガイドラインをまとめてアプローチすべきである。
利用
外部委託、外部サービスの 事業者とのリスクコミュニケーションについて、医療機関の責務として明示いただきたい。
利用
No.
御意見分類
別紙
御意見概要
現状(第5.2版)では、本編、別冊の他にも多くの文書が存在する。(下記、(現状)参照) これらがそれぞれ、今回の第6版でどうなるかを
明確にすべき。
・C項、D項とを本編に記載する。
・C項をできるだけシンプルに修正し、各C項の説明を追加する。
・「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」及び個情法の観点以外のサイ
バーセキュリティ対策の必要な領域等を明確にする。等
1
全体構成の見直し
2
全体構成の見直し
3
全体構成の見直し
4
全体構成の見直し
5
全体構成の見直し
分冊化により各読者に必要な情報が届きやすくなる。また全体的に医療機関の情報リテラシーの向上に資する。
一方で、旧2省ガイドラインの対策項目一覧と安全管理ガイドラインとの対応表のように、ベンダ側が全ガイドラインを横断的かつ優
先度順で俯瞰できる資料があると良い。
6
全体構成の見直し
第5.2版において用語の理解も含め政策に対応できない現場が多い。厚労省において「医療機関向けセキュリティ教育支援ポータルサイ
ト」が開設され、ソフトウェア協会協力のもとで様々な講習開催していることは評価したいが認知度が低いため、周知・広報をお願い
することと、第6.0版での用語のわかりやすさ向上を求める。
7
全体構成の見直し
分冊してしまうと特定の編しか読まない事象が発生し、却って全体を見通さない人が増えるのではないか。
8
全体構成の見直し
9
全体構成の見直し
10
全体構成の見直し
11
全体構成の見直し
12
全体構成の見直し
「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案) に反対である。
初歩から詳細にわたる事項や、ガイドライン発行時点における最新の知見を、教育的資料としてガイドラインに含めることにより、医
療機関におけるサイバーセキユリティ対策の高度化を促進し、足かせとならないようにすべき。
C項記載の方法
遵守事項をもっとシンプルにして、例示、場合、条件などは、解説文書側に含めて欲しい。遵守事項に条件等がある場合は、解説で説
明する等。
4編にすることは改定作業にて混乱を招く可能性があるため、従来の体裁のガイドラインを本編とし、ガバナンス編、マネジメント編、
コントロール編の副読本を作成した方が良い。今後の改定などにおいても、関連ドキュメントへのインパクトを最小化できるとともに
改定検討そのものも円滑に実施できるのではないか。
経営層、企画層、運用層の三つにガイドラインを分割して整理し直す試みについては全面的に賛成。
その上で、経営層、企画層、運用層のそれぞれの責任者(一般的な知見では、CISO、CISO補佐、運用実務者となると思われる)の持つ
べき権限と能力・知見について明示する必要があると考える。
「診療録管理体制加算」における「医療情報システム安全管理責任者」は企画層の責任者であると考えるが、他のガイドラインと整合
性を取って記述するべき。
ガイドラインは、専門家が自主的に判断する際に考慮すべき事項(アセスメントするべきリスク)のリストアップを中心とし、専門家
が自ら技術選択を行う際の考え方の道標を示すものとしていただきたい。
よって、これまでのガイドラインの中核を占めてきた、技術的な手段の選択に関する個別具体的な議論は、Q&Aや用語集等の本編とは別
に「事例」として示すに留め、専門家による技術選択の幅を狭めることのないように留意していただきたい。
経営層、企画層、運用層の三つにガイドラインが分割され、組織体制やシステム環境に応じて異なる適用範囲の宣言を促す方法が分か
り易く、医療情報システムのセキュリティ管理を行う医療機関の組織整備を踏まえた観点からも適切な方向であると考える。
今回の構成変更ではリスク評価が重要となると思われる。
医療機器のようにセキュリティ対応が困難な機器(一般の情報機器のような対応が行われない)についての対応が必要である。
医療機関がリスクを認識した上で、各種制限の中でリスク対応や安全性を向上できる指針にしていただきたい。
2省ガイドラインとの関連性を考慮した対応も必要である。
5.2版におけるセキュリティに係る具体的な推奨技術はQ&Aに落とし込まれるものである.。5.2版では推奨する技術を個別具体的な方法
に固定する形で記載しており、技術の進歩に対して柔軟に対応できていない。
ついては、Q&Aに個別の技術について記載する場合には、例示に留めるべきである。
運用上の便宜のため、以下3点の考慮を希望する。
(1)「第5.2版からの各項目の移行対応表」や「第6版各編の各項目の相関表」などの別添資料も整備いただきたい。
(2)各規模の施設やユースケースにおいて明確に規範を適用できるように規範各編本文に記載の要求事項と別添や特集での記載とを十分
に整合されたい。
(3)本編のパブリックコメント募集時に、別添・特集等の資料についても、概要を記載いただきたい。
13
全体構成の見直し
14
全体構成の見直し
15
全体構成の見直し
16
外部委託、外部サービスの 従来は、院内勤務を前提としている内容が見られたが、在宅勤務で医療情報を扱う場面を想定した記載が必要である。
利用
17
18
19
20
21
22
詳細な改定内容の資料がなければ、検討ができない。サイバー攻撃の巧妙化により、ガイドラインをベースラインアプローチで改定す
ることは困難であるので、リスクベースアプローチに変更することで、医療機関等のリスク対応が改善されると考えられる。
セキュリティに関する技術的な内容について、本編に基本的な考えを示し、具体的な内容はQ&Aに記載するという認識で正しいか。
当初の議論とは考え方が違うようであれば、骨子(案)の中で示すべきである。
「医療情報システム・サービス事業者との協働」について
・経営陣が脆弱性対策をベンダに要求できているか、意識できるような表現を追加いただきたい。
外部委託、外部サービスの ・栄養システムや画像システム等は、基幹となる電子カルテ・医事システムとは異なるベンダーの異なる管理がなされている場合があ
利用
るので注意を促していたい。
クラウドサービスを利用する場合の項目の追加いただきたい。例えば、クラウドサービスではIdPによるデバイスの認証も選択肢として
ありうる。
しかし、5.2版ではVPN、クライアント証明書の利用を必須としているため、その管理に別途仕組みの構築することとなり、医療機関の
外部委託、外部サービスの 負担となる。
利用
「医療情報システムを医療機関等に保有しない運用」ガイドラインの参照パターンを記載いただきたい。5.2版時点ではオンプレミスを
外部委託、外部サービスの 前提としているため6.0版ではオンプレミスとクラウドのハイブリッドな運用についても記載いただきたい。
利用
「医療情報システムに用いる情報機器等の管理」についてセキュリティインシデント発生時にサービス事業者側を責めるような論調も
外部委託、外部サービスの 一部ある。
事業者側に予見不可能な責任を押し付けることのないよう、契約時点も含めた責任分界点を明確にしていくべきである。
利用
設計・運用・管理をベンダに一任している医療機関も多い。過去の被害報告でもベンダーの責任分界点が曖昧であり、通常時から非常
時に至るまでベンダー対応が不足している。この状況においてベンダにのみ対応を課すことは酷である。医療機関等に対応しうるベン
外部委託、外部サービスの ダーの認証制度を求め、ベンダーは医療機関等に対して、遵守すべきガイドラインをまとめてアプローチすべきである。
利用
外部委託、外部サービスの 事業者とのリスクコミュニケーションについて、医療機関の責務として明示いただきたい。
利用