シス８章第⑧条、第⑨条、企９章第⑥条
シＱ－20 「８．５ 医療機関等が管理する以外の機器情報機器の利用に対する対策」
について、適切な技術的対策や運用による対策はどのようなものがあるか。
特に BYOD を行う場合に、どのような安全対策が必要か。
Ａ

下記の対策等が挙げられます。
療機関等が管理しているもの以外の機器情報機器の利用、特に BYOD を行う場合にお
ける技術的対策としては、職員のモバイル端末で、他のアプリケーション等からの影響
を遮断しつつ、仮想デスクトップのような技術を活用して端末内で医療情報を取り扱う
ことを制限し、さらに個人でその設定を変更できないようにすること等が考えられます。
この場合、OS レベルで業務利用領域（仮想デスクトップ）と個人利用領域を切り分け、
管理領域を分離する必要があります。また、サービスや製品によっては十分な安全性が
確保されない場合があるため、十分な知見を有する者が判断する必要があります。
さらに、上記の対策に加え、モバイルデバイスマネジメント（MDM）やモバイルアプ
リケーションマネジメント（MAM）等を施すことで、医療機関等が所有し、管理する端
末と同等の安全性を確保するための、セキュリティ対策の徹底を図ることが期待されま
す。
また、運用による対策として、運用管理規程によって利用者による OS の設定変更（例
えば、
「設定」用のアプリケーションにより、医療情報システムへの接続に使用するアプ
リケーションに対して、他のアプリケーションが自動的にアクセスできるようにする等）
を禁止し、かつ安全性の確認できないアプリケーションがモバイル端末にインストール
されていないことを、管理者が定期的に確認すること等が想定されます。BYOD を行う
に当たって、運用管理規程に記載すべき事項の例を下記に示します。

【BYOD に係る運用管理規程への記載事項（例）】
BYOD を認める場合、管理者は下記を遵守すること。
・ 利用者に対し、端末や OS 等に応じて推奨されている適切な方法により、アプリケ
ーションをインストールするよう指導すること。
・ アプリケーション等の脆弱性に関する情報を収集し、利用者が脆弱性の明らかにな
ったアプリケーションを使用していないか、定期的に確認すること。

シス８章第⑥条
シＱ－21 IoT 機器を含む医療情報システムの接続状況や異常発生を把握するために
はどのような方法あるか。
A

IoT 機器・医療情報システムそれぞれの状態や他の機器との通信状態を収集・把握し、
ログとして適切に記録してください。

72