よむ、つかう、まなぶ。
【参考資料1-6】医療情報システムの安全管理に関するガイドライン 第6.0版 システム運用編(案) (30 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
システム運用担当者においては、医療機関等において利用している情報機器等に関して、どのよう
な脆弱性があるか、最新の情報を収集することが求められる。PC 等の OS などに関する情報は、OS や
不正ソフトウェア対策ソフトウェアを提供する事業者などが提供しているほか、重要なセキュリティ
関する情報は、
「内閣サイバーセキュリティセンター(NISC)
」や「独立行政法人
情報処理推進機構」
などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用する情報機器等やソ
フトウェアを提供する事業者に対応を確認するなどして、最新の情報の入手を図ることが重要である。
そのうえで、必要に応じて速やかに脆弱性対策を講じることが求められる。その際に、他のソフトウ
ェアの動作等に影響することも想定されることから、事前に事業者に対応の可否を確認する必要があ
る。
なお、検査装置等に付属するシステム・機器についても同様である。
本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する
要件を定めているものであり、
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」
1
において定める医療機器のサイバーセキュリティの保全については、厚生労働省医薬・生活衛生局か
ら発出されている「医療機器におけるサイバーセキュリティの確保について」2、「医療機器のサイバー
セキュリティの確保に関するガイダンス」3等を踏まえて、医療機器の製造販売業者と必要な連携を図
ることも求められる。
8.3 端末やサーバの安全な利用の管理
システム運用担当者は、医療情報システムで利用する端末やサーバ等の情報機器が安全に利用され
ていることを確認する必要がある。
安全な利用については、8.1、8.2に示す対策のほか、例えば情報機器の起動にパスワード等
の設定を行うなど、必要な措置を講じることが求められる。また製品出荷時にパスワード等が設定さ
れているものについては、必ず製品出荷時のものから変更することが重要である。サーバで利用する
ソフトウェアの管理者権限を有する ID 等においても同様である。企画管理者はこのような情報機器の
起動や初期設定に関する対応を図ることが求められる。
外部からの攻撃等のリスクを下げる方法の一つとして、不要な情報機器等を使用しない、不要な医
療情報システムの稼働は行わない、などの対応も必要である。例えば、利用されていないにもかかわ
らず、外部と接続可能な情報機器がある場合には、その情報機器等が攻撃対象となることも想定され
る。また医療機関等の業務によっては、明らかに利用する可能性がない(または低い)時間帯を含め
て医療情報システムを稼働することにより、業務で利用されない時間帯に攻撃を受けることも想定さ
れる。従って、企画管理者は、業務での必要性や利便性などと勘案して、利用する情報機器等や医療
情報システムの稼働時間等を整理して、適切な設定を行うことが求められる。
1
昭和 35 年8月 10 日法律第 145 号
2
平成 27 年4月 28 日付け薬食機参発 0428 第1号、薬食安発 0428 第1号
3
平成 30 年7月 24 日付け薬生機審発 0724 第1号、薬生安発 0724 第1号
- 24 -
な脆弱性があるか、最新の情報を収集することが求められる。PC 等の OS などに関する情報は、OS や
不正ソフトウェア対策ソフトウェアを提供する事業者などが提供しているほか、重要なセキュリティ
関する情報は、
「内閣サイバーセキュリティセンター(NISC)
」や「独立行政法人
情報処理推進機構」
などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用する情報機器等やソ
フトウェアを提供する事業者に対応を確認するなどして、最新の情報の入手を図ることが重要である。
そのうえで、必要に応じて速やかに脆弱性対策を講じることが求められる。その際に、他のソフトウ
ェアの動作等に影響することも想定されることから、事前に事業者に対応の可否を確認する必要があ
る。
なお、検査装置等に付属するシステム・機器についても同様である。
本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する
要件を定めているものであり、
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」
1
において定める医療機器のサイバーセキュリティの保全については、厚生労働省医薬・生活衛生局か
ら発出されている「医療機器におけるサイバーセキュリティの確保について」2、「医療機器のサイバー
セキュリティの確保に関するガイダンス」3等を踏まえて、医療機器の製造販売業者と必要な連携を図
ることも求められる。
8.3 端末やサーバの安全な利用の管理
システム運用担当者は、医療情報システムで利用する端末やサーバ等の情報機器が安全に利用され
ていることを確認する必要がある。
安全な利用については、8.1、8.2に示す対策のほか、例えば情報機器の起動にパスワード等
の設定を行うなど、必要な措置を講じることが求められる。また製品出荷時にパスワード等が設定さ
れているものについては、必ず製品出荷時のものから変更することが重要である。サーバで利用する
ソフトウェアの管理者権限を有する ID 等においても同様である。企画管理者はこのような情報機器の
起動や初期設定に関する対応を図ることが求められる。
外部からの攻撃等のリスクを下げる方法の一つとして、不要な情報機器等を使用しない、不要な医
療情報システムの稼働は行わない、などの対応も必要である。例えば、利用されていないにもかかわ
らず、外部と接続可能な情報機器がある場合には、その情報機器等が攻撃対象となることも想定され
る。また医療機関等の業務によっては、明らかに利用する可能性がない(または低い)時間帯を含め
て医療情報システムを稼働することにより、業務で利用されない時間帯に攻撃を受けることも想定さ
れる。従って、企画管理者は、業務での必要性や利便性などと勘案して、利用する情報機器等や医療
情報システムの稼働時間等を整理して、適切な設定を行うことが求められる。
1
昭和 35 年8月 10 日法律第 145 号
2
平成 27 年4月 28 日付け薬食機参発 0428 第1号、薬食安発 0428 第1号
3
平成 30 年7月 24 日付け薬生機審発 0724 第1号、薬生安発 0724 第1号
- 24 -