よむ、つかう、まなぶ。
【参考2】「医療情報システムの安全管理に関するガイドライン 第6.0 版」 に関するQ&A (案) (72 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251919 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
シス8章第⑥項
シQ-19 医療等分野における IoT 機器に対する安全対策を行う上で、どのような留
意事項があるか。
A
近年、様々なモノがネットワークに繋がることで新たなサービス等を実現する「IoT
(Internet of Things)」が普及しつつあり、医療等分野での活用も進んでいます。具体
的には、医療機関等の内外で用いられる医療機器やバイタルを測定するウェアラブル端
末等から患者のデータを収集し、医師の診療支援や経過観察等に活用することや、医療
機関等内における職員の位置情報や動線を分析し、病床や人員の配置等を改善すること
等が行われています。
このような仕組みやサービスにより、患者の状態をリアルタイムで捕捉できるように
なる等、IoT の導入は医療機関等と患者の双方に利益をもたらす可能性があります。ただ
し、情報セキュリティの観点から、これまで想定されなかったリスクが顕在化するおそ
れもあります。
IoT 機器により医療情報を取り扱う場合は、医療機器か非医療機器かを問わず、製造販
売業者からの情報提供を基にリスク分析を行い、その取扱いに係る運用管理規程を定め
る必要があります。
特に、ウェアラブル端末や在宅設置の IoT 機器を患者等へ貸し出す場合には、機器に
よって、セキュリティが十分に確保されないおそれがあります。そこで、ウェアラブル端
末や在宅設置の機器を貸し出す際は、情報セキュリティ上のリスクと患者等が留意すべ
きことについて事前に患者等へ説明し、同意を得ることが必要です。また、IoT 機器に異
常や不都合が発生した場合の問合せ方法等について、患者等に説明する必要があります。
IoT 機器には、機器やサービスの導入後に脆弱性が発見されることがありますので、サ
ービスへの提供に支障が生じないよう適切な時期・方法により対策を講じる必要があり
ます。脆弱性に関しては、IoT 機器が用いる通信規格(例:Bluetooth、NFC 等)の脆弱
性についても、併せて対応することが望まれます。
また、IoT の活用状況によって、大量の IoT 機器が同時に接続している環境が想定さ
れますが、この場合、機器の接続状況や異常の発生を正確に把握することが難しいとさ
れます。IoT 機器を含むシステムについて単独でそれぞれの状態を把握できることが望
まれますが、機器・システムの中には、大量のログを管理したり、ログの暗号化を行う等
の対策を講じることが難しい場合があります。この場合、IoT 機器に関連する他のシステ
ムに監視装置を設置する等、システムやサービス全体での対策が検討することが求めら
れます。
このほか、IoT 機器のリスクとして、使用を終えた又は停止した機器をネットワークに
接続した状態のままにしておくと、利用者さえ気付かない間に当該機器が不正に接続さ
れる場合がある。さらに、機器の利用状況に関する情報を収集し、不正に利用者を特定さ
れる等のリスクも想定されます。
IoT の更なる普及によって、活用方法の多様化や安全性に対する脅威やその対策に係
る技術的変化が進み、医療等分野のセキュリティに大きな影響を及ぼす可能性がありま
す。医療機関等においても、今後の動向に注意を払う必要があります。
71
シQ-19 医療等分野における IoT 機器に対する安全対策を行う上で、どのような留
意事項があるか。
A
近年、様々なモノがネットワークに繋がることで新たなサービス等を実現する「IoT
(Internet of Things)」が普及しつつあり、医療等分野での活用も進んでいます。具体
的には、医療機関等の内外で用いられる医療機器やバイタルを測定するウェアラブル端
末等から患者のデータを収集し、医師の診療支援や経過観察等に活用することや、医療
機関等内における職員の位置情報や動線を分析し、病床や人員の配置等を改善すること
等が行われています。
このような仕組みやサービスにより、患者の状態をリアルタイムで捕捉できるように
なる等、IoT の導入は医療機関等と患者の双方に利益をもたらす可能性があります。ただ
し、情報セキュリティの観点から、これまで想定されなかったリスクが顕在化するおそ
れもあります。
IoT 機器により医療情報を取り扱う場合は、医療機器か非医療機器かを問わず、製造販
売業者からの情報提供を基にリスク分析を行い、その取扱いに係る運用管理規程を定め
る必要があります。
特に、ウェアラブル端末や在宅設置の IoT 機器を患者等へ貸し出す場合には、機器に
よって、セキュリティが十分に確保されないおそれがあります。そこで、ウェアラブル端
末や在宅設置の機器を貸し出す際は、情報セキュリティ上のリスクと患者等が留意すべ
きことについて事前に患者等へ説明し、同意を得ることが必要です。また、IoT 機器に異
常や不都合が発生した場合の問合せ方法等について、患者等に説明する必要があります。
IoT 機器には、機器やサービスの導入後に脆弱性が発見されることがありますので、サ
ービスへの提供に支障が生じないよう適切な時期・方法により対策を講じる必要があり
ます。脆弱性に関しては、IoT 機器が用いる通信規格(例:Bluetooth、NFC 等)の脆弱
性についても、併せて対応することが望まれます。
また、IoT の活用状況によって、大量の IoT 機器が同時に接続している環境が想定さ
れますが、この場合、機器の接続状況や異常の発生を正確に把握することが難しいとさ
れます。IoT 機器を含むシステムについて単独でそれぞれの状態を把握できることが望
まれますが、機器・システムの中には、大量のログを管理したり、ログの暗号化を行う等
の対策を講じることが難しい場合があります。この場合、IoT 機器に関連する他のシステ
ムに監視装置を設置する等、システムやサービス全体での対策が検討することが求めら
れます。
このほか、IoT 機器のリスクとして、使用を終えた又は停止した機器をネットワークに
接続した状態のままにしておくと、利用者さえ気付かない間に当該機器が不正に接続さ
れる場合がある。さらに、機器の利用状況に関する情報を収集し、不正に利用者を特定さ
れる等のリスクも想定されます。
IoT の更なる普及によって、活用方法の多様化や安全性に対する脅威やその対策に係
る技術的変化が進み、医療等分野のセキュリティに大きな影響を及ぼす可能性がありま
す。医療機関等においても、今後の動向に注意を払う必要があります。
71