よむ、つかう、まなぶ。
【参考資料1-1】「医療情報システムの安全管理に関するガイドライン 第6.0版」の骨子(案)について(概要)意見募集結果 (3 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
23
24
25
26
27
28
29
30
31
ユーザーのセキュリティリテラシーは医療機関の教育・訓練で管理すべきであり初心者向けのガイドは必要である。
院内へのリモートアクセスが増加しているため、メールセキュリティの重要性、なりすましメール対策のためにDMARCについても言及す
情報セキュリティに関する
べきである。
考え方の整理
医療機関においてシステム担当者の人員は確保できず、専門性が増大しているため、システム担当のあり方について記載いただきた
い。
情報セキュリティに関する また、2022年の診療録管理体制加算の改定により、医療機関は専任の医療情報システム安全管理責任者が情報セキュリティに関する研
考え方の整理
修を行う必要があるため、情報セキュリティの研修内容についても示してほしい。
サイバーセキュリティ、情報セキュリティに関して医療機関が実施すべきことの明確化
医療機関がサイバーセキュリティ、情報セキュリティに関して実施すべきことと、本ガイドライン及び別添、別冊、チェックリスト、Q
情報セキュリティに関する &A、特集との関係を明確にして、それを記載し周知徹底すべきではないか。
考え方の整理
半田病院や大阪急性期・総合医療センターの事例を鑑みて、閉域網ネットワークに関わらず院内ネットワークのネットワーク機器や
情報セキュリティに関する サーバー群(OS、MW、Packages)の病院内のネットワーク機器やITシステムの最低限の脆弱性管理等を必須化していただきたい。
考え方の整理
事前対策と事後対応がある。対策には、設計、構築、運用がある。骨子には、インシデント発生時の指針を記載すべき。
情報セキュリティに関する 小規模組織ではセキュリティ対策は軽視されがちであるのでサイバー攻撃がされやすくなる。
考え方の整理
日本が標的となったサイバー攻撃の件数は2021年と2022年を比較すると613%増となっている。サイバー攻撃における身代金の支払いの
情報セキュリティに関する 禁止や、データ復旧をベンダーへ依頼する際の透明性(ベンダー名や発注金額、データ復旧プロセスを開示することなどの義務付け)
を確保して身代金の支払いを抑止することが必要である。
考え方の整理
「医療情報システムに用いる情報機器等の管理」について
EoLを超えたシステム利用や費用を抑えるため性能的に限界のものを利用している医療機関もある。性能の低さにより更新プログラム適
情報セキュリティに関する 用等、情報セキュリティ対策を取れない実態がある。運用管理していく上で性能評価も見ていけるようなガイドラインにしていただき
考え方の整理
たい。
「データ保護」や「モニタリング(可視化)」といった項目も必要ではないか。
クラウドサービス利用必要な対策、ゼロトラスト思考を踏まえたネットワーク上の対策、新技術並びに制度及び規格の変更への対応が
必要である。
情報セキュリティに関する ・認証と認可による不正アクセスの排除
・機密性・可用性・完全性を保つことによるデータの保護
考え方の整理
・データをデータセンタ環境に留める仕組みの構築
・ゼロトラストセキュリティの構築
等
下記3点と6.0版との関係を明確に示す必要がある。医療機関の対応を明確に示す必要がある。
(1)医療機関へのサイバー攻撃などでは、ガイドラインでは対応できないものも存在する。
新技術、制度・規格の変更 (2)「医療機関における医療機器のサイバーセキュリティ確保のための手引書」が発出された。
への対応
(3)医療法施行規則第14条第2項を新設し、サイバーセキュリティの確保に必要な措置のパブコメ実施された。
モバイル端末等を使って医療機関等の外部から接続する場合について、HTTPS/TLS以外での接続も適切な暗号化とクライアント認証の上
で利用可能であることを明記することをご検討いただきたい。
32
新技術、制度・規格の変更
への対応
33
その他
34
その他
ガイドラインの技術的な内容を各医療機関のフォーマットに合わせて回答している。骨子の中に、確認フォームの具体例を挙げていた
だきサービス仕様適合開示書の活用推進を促してほしい。
35
その他
文書構成、記載ルールの厳格化
PDF文書は、しおり付きとして電子的な可読性を高めて欲しい。電子的に読むことを想定した場合は最低限で必須Wordの変更履歴付きで
前版との違いを公表して欲しい。
36
その他
システムの利用者に対する連絡等の様な項を設けると良いのではないかと考える。
システムの運用担当者等と利用者とのコミュニケーション不足を解消し、問題の発生を抑制すべきである。
新旧版の理解を深めるためにも、資料等を提供いただきたい。
・5.2版から6.0版への項目の移行対応表
・6.0版において、各編の各項目がどのような関係性を持っているのか。また、第5.2版から引き継いでいるものか、新設されたか確認
できる相関表
24
25
26
27
28
29
30
31
ユーザーのセキュリティリテラシーは医療機関の教育・訓練で管理すべきであり初心者向けのガイドは必要である。
院内へのリモートアクセスが増加しているため、メールセキュリティの重要性、なりすましメール対策のためにDMARCについても言及す
情報セキュリティに関する
べきである。
考え方の整理
医療機関においてシステム担当者の人員は確保できず、専門性が増大しているため、システム担当のあり方について記載いただきた
い。
情報セキュリティに関する また、2022年の診療録管理体制加算の改定により、医療機関は専任の医療情報システム安全管理責任者が情報セキュリティに関する研
考え方の整理
修を行う必要があるため、情報セキュリティの研修内容についても示してほしい。
サイバーセキュリティ、情報セキュリティに関して医療機関が実施すべきことの明確化
医療機関がサイバーセキュリティ、情報セキュリティに関して実施すべきことと、本ガイドライン及び別添、別冊、チェックリスト、Q
情報セキュリティに関する &A、特集との関係を明確にして、それを記載し周知徹底すべきではないか。
考え方の整理
半田病院や大阪急性期・総合医療センターの事例を鑑みて、閉域網ネットワークに関わらず院内ネットワークのネットワーク機器や
情報セキュリティに関する サーバー群(OS、MW、Packages)の病院内のネットワーク機器やITシステムの最低限の脆弱性管理等を必須化していただきたい。
考え方の整理
事前対策と事後対応がある。対策には、設計、構築、運用がある。骨子には、インシデント発生時の指針を記載すべき。
情報セキュリティに関する 小規模組織ではセキュリティ対策は軽視されがちであるのでサイバー攻撃がされやすくなる。
考え方の整理
日本が標的となったサイバー攻撃の件数は2021年と2022年を比較すると613%増となっている。サイバー攻撃における身代金の支払いの
情報セキュリティに関する 禁止や、データ復旧をベンダーへ依頼する際の透明性(ベンダー名や発注金額、データ復旧プロセスを開示することなどの義務付け)
を確保して身代金の支払いを抑止することが必要である。
考え方の整理
「医療情報システムに用いる情報機器等の管理」について
EoLを超えたシステム利用や費用を抑えるため性能的に限界のものを利用している医療機関もある。性能の低さにより更新プログラム適
情報セキュリティに関する 用等、情報セキュリティ対策を取れない実態がある。運用管理していく上で性能評価も見ていけるようなガイドラインにしていただき
考え方の整理
たい。
「データ保護」や「モニタリング(可視化)」といった項目も必要ではないか。
クラウドサービス利用必要な対策、ゼロトラスト思考を踏まえたネットワーク上の対策、新技術並びに制度及び規格の変更への対応が
必要である。
情報セキュリティに関する ・認証と認可による不正アクセスの排除
・機密性・可用性・完全性を保つことによるデータの保護
考え方の整理
・データをデータセンタ環境に留める仕組みの構築
・ゼロトラストセキュリティの構築
等
下記3点と6.0版との関係を明確に示す必要がある。医療機関の対応を明確に示す必要がある。
(1)医療機関へのサイバー攻撃などでは、ガイドラインでは対応できないものも存在する。
新技術、制度・規格の変更 (2)「医療機関における医療機器のサイバーセキュリティ確保のための手引書」が発出された。
への対応
(3)医療法施行規則第14条第2項を新設し、サイバーセキュリティの確保に必要な措置のパブコメ実施された。
モバイル端末等を使って医療機関等の外部から接続する場合について、HTTPS/TLS以外での接続も適切な暗号化とクライアント認証の上
で利用可能であることを明記することをご検討いただきたい。
32
新技術、制度・規格の変更
への対応
33
その他
34
その他
ガイドラインの技術的な内容を各医療機関のフォーマットに合わせて回答している。骨子の中に、確認フォームの具体例を挙げていた
だきサービス仕様適合開示書の活用推進を促してほしい。
35
その他
文書構成、記載ルールの厳格化
PDF文書は、しおり付きとして電子的な可読性を高めて欲しい。電子的に読むことを想定した場合は最低限で必須Wordの変更履歴付きで
前版との違いを公表して欲しい。
36
その他
システムの利用者に対する連絡等の様な項を設けると良いのではないかと考える。
システムの運用担当者等と利用者とのコミュニケーション不足を解消し、問題の発生を抑制すべきである。
新旧版の理解を深めるためにも、資料等を提供いただきたい。
・5.2版から6.0版への項目の移行対応表
・6.0版において、各編の各項目がどのような関係性を持っているのか。また、第5.2版から引き継いでいるものか、新設されたか確認
できる相関表