７．情報管理（管理・持出し・破棄等）
シス７章第⑬条
シＱ－14 「職員による外部からのアクセスを行う場合は、利用する PC 等の端末の
作業環境内に仮想的に安全管理された環境を VPN 技術と組み合わせて実
現する仮想デスクトップのような技術の導入を検討するなどの対応が求め
られる。」とあるが、どのような留意事項があるか。
Ａ

職員による外部からのアクセスで問題になることは、利用するＰＣや通信経路等の状
態、及び周囲から盗み見されるおそれがある等、職員の作業環境が管理できないことな
どが挙げられます。例えば、ＰＣにキーボードロガーのような不正ソフトウェアがイン
ストールされているリスクや、空港や喫茶店等でアクセスすれば周囲の人に覗かれるリ
スクがあります。
仮想デスクトップは、不正ソフトウェアの作用を避け、ＰＣ上に情報が残留すること
を防ぐ目的で使用されます。また、通信経路の安全性を確保するため、ＶＰＮの成立と連
動して稼働することが望まれます。運用としては、周囲の環境に十分注意して盗み見を
防止するとともに、過去のログイン時間の確認を確実に行うこと等を通じて、不正アク
セスの検出に努める必要があります。

シス７章第②条
シＱ－15 医療情報システム・サービス事業者がやむを得ず個人情報を含むデータを
医療機関等外に持ち出さなければならない場合はどのような対応をすべき
か。
A 例えば、保守に際して医療情報システム・サービス事業者がやむを得ず個人情報を含
むデータを医療機関等外に持ち出さなければならない場合、詳細な持出に関する記録や作
業記録を残すよう求めてください。また、必要に応じて、医療機関等の監査に応じるよう
求めてください。

シス７章第③条
シＱ－16 情報機器の持ち出し並びに外部利用をする場合どのような対策をすべき
か。
A

ノートパソコン、スマートフォン、タブレット等を持ち出して使用する場合、次に掲げ
る対策を実施してください。
紛失、盗難の可能性を十分考慮し、可能な限り端末内に医療情報を置かない
でください。やむを得ず医療情報が端末内に存在する場合や、当該端末を利用すれば容易
に医療情報にアクセスできる場合は、一定回数パスワード入力を誤った場合に端末を初期
化する等の対策を行ってください。
69