よむ、つかう、まなぶ。
【参考資料1-7】安全管理GL第6.0版_Q&A(案) (42 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_32083.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ(第16回 3/23)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
企7章第⑥条
企Q-28
7.安全管理のための人的管理⑥gの「適切な外部保存に求められ
る技術及び運用管理能力の有無」とは、
「政府情報システムのためのセ
キュリティ評価制度(ISMAP)」や「JASA クラウドセキュリティ推
進協議 会 CS ゴールドマーク」等で公開されたサービスリストやマ
ーク取得サービス一覧などに掲載されていることを確認することで
よいか。
A
サービスリストやマーク取得サービス一覧に掲載されたクラウドサービス
であることだけをもって適切な外部保存に求められる技術及び運用管理能力
があるとはいえず、ISMAP や CS ゴールドマーク取得サービスでの評価、取
得に際し、審査対象を定めた「言明書」が公開されているので、当該言明書を
確認の上、事業者を決定してください。
企7章第⑦条
企 Q-29 外部保存を委託する場合のデータ閲覧権限はどうするといいか。
A
医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存
する場合では、技術的な方法として、例えばトラブル発生時のデータ修復作業
等緊急時の対応を除き、原則として委託元の医療機関等のみがデータ内容を
閲覧できることを担保するよう求めてください。
企7章第⑦条
企 Q-30 個人識別に係る情報を適切に保管するために、外部保存を委託する
事業者にどのような対策を求めればいいか。
A 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行
い適切に管理することや、外部保存を受託する事業者の管理者といえども通
常はアクセスできない制御機構をもつようにしてください。具体的には、
「暗
号化を行う」、
「情報を分散保管する」という方法が考えられます。その場合、
非常時等の通常とは異なる状況下でアクセスすることも想定し、アクセスし
た事実が医療機関等で明示的に識別できる機構を備えるよう求めてください。
41
企Q-28
7.安全管理のための人的管理⑥gの「適切な外部保存に求められ
る技術及び運用管理能力の有無」とは、
「政府情報システムのためのセ
キュリティ評価制度(ISMAP)」や「JASA クラウドセキュリティ推
進協議 会 CS ゴールドマーク」等で公開されたサービスリストやマ
ーク取得サービス一覧などに掲載されていることを確認することで
よいか。
A
サービスリストやマーク取得サービス一覧に掲載されたクラウドサービス
であることだけをもって適切な外部保存に求められる技術及び運用管理能力
があるとはいえず、ISMAP や CS ゴールドマーク取得サービスでの評価、取
得に際し、審査対象を定めた「言明書」が公開されているので、当該言明書を
確認の上、事業者を決定してください。
企7章第⑦条
企 Q-29 外部保存を委託する場合のデータ閲覧権限はどうするといいか。
A
医療機関等が外部の事業者との契約に基づいて確保した安全な場所に保存
する場合では、技術的な方法として、例えばトラブル発生時のデータ修復作業
等緊急時の対応を除き、原則として委託元の医療機関等のみがデータ内容を
閲覧できることを担保するよう求めてください。
企7章第⑦条
企 Q-30 個人識別に係る情報を適切に保管するために、外部保存を委託する
事業者にどのような対策を求めればいいか。
A 外部保存を受託する事業者に保存される個人識別に係る情報の暗号化を行
い適切に管理することや、外部保存を受託する事業者の管理者といえども通
常はアクセスできない制御機構をもつようにしてください。具体的には、
「暗
号化を行う」、
「情報を分散保管する」という方法が考えられます。その場合、
非常時等の通常とは異なる状況下でアクセスすることも想定し、アクセスし
た事実が医療機関等で明示的に識別できる機構を備えるよう求めてください。
41