シス８章第⑧条、第⑨条、企９章第⑥条
シＱ－２０ 「８．５ 医療機関等が管理する以外の機器情報機器の利用に対
する対策」について、適切な技術的対策や運用による対策はどのよ
うなものがあるか。特に BYOD を行う場合に、どのような安全対
策が必要か。
Ａ 下記の対策等が挙げられます。
療機関等が管理しているもの以外の機器情報機器の利用、特に BYOD を行
う場合における技術的対策としては、職員のモバイル端末で、他のアプリケー
ション等からの影響を遮断しつつ、仮想デスクトップのような技術を活用して
端末内で医療情報を取り扱うことを制限し、さらに個人でその設定を変更でき
ないようにすること等が考えられます。この場合、OS レベルで業務利用領域
（仮想デスクトップ）と個人利用領域を切り分け、管理領域を分離する必要が
あります。また、サービスや製品によっては十分な安全性が確保されない場合
があるため、十分な知見を有する者が判断する必要があります。
さらに、上記の対策に加え、モバイルデバイスマネジメント（MDM）やモ
バイルアプリケーションマネジメント（MAM）等を施すことで、医療機関等
が所有し、管理する端末と同等の安全性を確保するための、セキュリティ対策
の徹底を図ることが期待されます。
また、運用による対策として、運用管理規程によって利用者による OS の設
定変更（例えば、「設定」用のアプリケーションにより、医療情報システムへ
の接続に使用するアプリケーションに対して、他のアプリケーションが自動的
にアクセスできるようにする等）を禁止し、かつ安全性の確認できないアプリ
ケーションがモバイル端末にインストールされていないことを、管理者が定期
的に確認すること等が想定されます。BYOD を行うに当たって、運用管理規
程に記載すべき事項の例を下記に示します。
【BYOD に係る運用管理規程への記載事項（例）】
BYOD を認める場合、管理者は下記を遵守すること。
・ 利用者に対し、端末や OS 等に応じて推奨されている適切な方法により、
アプリケーションをインストールするよう指導すること。
・ アプリケーション等の脆弱性に関する情報を収集し、利用者が脆弱性の明
らかになったアプリケーションを使用していないか、定期的に確認すること。

82