よむ、つかう、まなぶ。
(3)「医療情報システムの安全管理に関するガイドライン第6.0版」企画管理編(案) (51 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251916 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
12.サイバーセキュリティ
【遵守事項】
①
サイバーセキュリティに関する組織的対策、医療機関等の職員等や委託先事業者などの対策
を検討し、整理すること。技術的な対応・措置については、担当者にリスク評価を踏まえた対
策の検討を指示し、状況を確認すること。
②
医療機関等において整理したサイバーセキュリティ対策を踏まえ、サイバーセキュリティ対
応計画を策定し、当該計画の内容について経営層に報告し、承認を得ること。
③
サイバーセキュリティ対応計画を踏まえ、その内容を医療機関等で定める各規程や手順等に
反映すること。
④
サイバーセキュリティ対応計画を踏まえ、各対策の実施状況を確認する。技術的な対応・措
置については、担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
⑤
サイバーセキュリティ対応計画を踏まえた訓練を定期的に実施し、その結果を経営層に報告
し、承認を得ること。また、訓練結果を踏まえ、対応計画の検証・見直しを実施し、必要に応
じて対応計画等の改善を行うこと。
⑥
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報
をあらかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用す
る医療情報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、
その他必要に応じて助言等の支援を求める外部有識者等が含まれる。
)
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の
漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された
場合には、
「医療機関等におけるサイバーセキュリティ対策の強化について」
(平成 30 年 10 月
29 日付け医政総発 1029 第1号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政
局関係課長連名通知)に基づき、所管官庁への連絡等の必要な対応を行うほか、そのために必
要な体制を整備すること。また、上記に関わらず、医療情報システムに障害が発生した場合
も、必要に応じて所管官庁への連絡を行うこと。
⑧
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的
に経営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・
見直しを実施し、必要に応じて改善を行うこと。
⑨
サイバーセキュリティ事象による非常時としての対応が生じた場合には、「11.非常時(災
害、サイバー攻撃、システム障害)対応と BCP 策定」に示す内容を実施すること。
12.1 サイバーセキュリティ対応計画の策定
非常時の事象発生原因の一つであるサイバー攻撃は、攻撃者が悪意を以て攻撃する犯罪であり、そ
の方法も様々な形で、情報システムの高度化に合わせて変化することや、システム利用者側の過失や
知識の不足などを利用した攻撃がされることもあるため、システム側のみで十分な防御ができないこ
ともあり、対策を難しくしている。
企画管理者は、サイバーセキュリティ対応に際して、具体的にどのような攻撃等があるのか、医療
機関等をはじめ、企業や行政機関等でどのような被害が生じているのか等のサイバーセキュリティ対
応の必要性に関する実情把握は重要である。
- 45 -
【遵守事項】
①
サイバーセキュリティに関する組織的対策、医療機関等の職員等や委託先事業者などの対策
を検討し、整理すること。技術的な対応・措置については、担当者にリスク評価を踏まえた対
策の検討を指示し、状況を確認すること。
②
医療機関等において整理したサイバーセキュリティ対策を踏まえ、サイバーセキュリティ対
応計画を策定し、当該計画の内容について経営層に報告し、承認を得ること。
③
サイバーセキュリティ対応計画を踏まえ、その内容を医療機関等で定める各規程や手順等に
反映すること。
④
サイバーセキュリティ対応計画を踏まえ、各対策の実施状況を確認する。技術的な対応・措
置については、担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
⑤
サイバーセキュリティ対応計画を踏まえた訓練を定期的に実施し、その結果を経営層に報告
し、承認を得ること。また、訓練結果を踏まえ、対応計画の検証・見直しを実施し、必要に応
じて対応計画等の改善を行うこと。
⑥
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報
をあらかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用す
る医療情報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、
その他必要に応じて助言等の支援を求める外部有識者等が含まれる。
)
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の
漏洩や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された
場合には、
「医療機関等におけるサイバーセキュリティ対策の強化について」
(平成 30 年 10 月
29 日付け医政総発 1029 第1号・医政地発 1029 第3号・医政研発 1029 第1号厚生労働省医政
局関係課長連名通知)に基づき、所管官庁への連絡等の必要な対応を行うほか、そのために必
要な体制を整備すること。また、上記に関わらず、医療情報システムに障害が発生した場合
も、必要に応じて所管官庁への連絡を行うこと。
⑧
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的
に経営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・
見直しを実施し、必要に応じて改善を行うこと。
⑨
サイバーセキュリティ事象による非常時としての対応が生じた場合には、「11.非常時(災
害、サイバー攻撃、システム障害)対応と BCP 策定」に示す内容を実施すること。
12.1 サイバーセキュリティ対応計画の策定
非常時の事象発生原因の一つであるサイバー攻撃は、攻撃者が悪意を以て攻撃する犯罪であり、そ
の方法も様々な形で、情報システムの高度化に合わせて変化することや、システム利用者側の過失や
知識の不足などを利用した攻撃がされることもあるため、システム側のみで十分な防御ができないこ
ともあり、対策を難しくしている。
企画管理者は、サイバーセキュリティ対応に際して、具体的にどのような攻撃等があるのか、医療
機関等をはじめ、企業や行政機関等でどのような被害が生じているのか等のサイバーセキュリティ対
応の必要性に関する実情把握は重要である。
- 45 -