よむ、つかう、まなぶ。
【参考2】「医療情報システムの安全管理に関するガイドライン 第6.0 版」 に関するQ&A (案) (82 ページ)
出典
| 公開元URL | https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251919 |
| 出典情報 | 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
このように、オープンなネットワーク接続を利用する場合、様々なセキュリティ技術
が存在し、内在するリスクも用いる技術によって異なることから、利用する医療機関等
においては導入時において十分な検討を行い、リスクの受容範囲を見定める必要があり
ます。なお、日頃からセキュリティインシデントの報道や事業者からの情報提供等を通
じて、TLS 等の脆弱性リスクについて注意、認識しておくことが求められます。また、
多くの場合、ネットワーク導入時に事業者等に委託をすることになるが、その際、リスク
の説明を求め、理解しておくことも必要です。
なお、オープンネットワークを通じて外部から情報を取り込む際に、取り込む情報の
安全性を確認する必要があり、そのため例えば取り込むデータ等についての無害化を図
るなど、標的型攻撃等によるリスクを減少する対応を図ることが求められます。
また、外部との接続については、医療機関等がクラウドサービスを利用し、医療情報シ
ステム・サービス事業者等のサーバからデータを取得する場合も、同様のリスクを想定
する必要があります。特にクラウドサービスの場合には、利用するサービスによって、取
り扱う情報の機密性等が異なるため、事業者によってセキュリティの水準が異なること
があります。したがって、医療情報を取り扱う場合には、利用する各クラウドサービスに
おけるリスク等を鑑みた対応をとることが求められます。必要に応じて、ネットワーク
の論理制御(例えばメールシステムと医療情報システムの情報が混在しないようにする
こと等)や、これを踏まえた情報交換のルールに基づく管理を行うことが望まれます。
81
が存在し、内在するリスクも用いる技術によって異なることから、利用する医療機関等
においては導入時において十分な検討を行い、リスクの受容範囲を見定める必要があり
ます。なお、日頃からセキュリティインシデントの報道や事業者からの情報提供等を通
じて、TLS 等の脆弱性リスクについて注意、認識しておくことが求められます。また、
多くの場合、ネットワーク導入時に事業者等に委託をすることになるが、その際、リスク
の説明を求め、理解しておくことも必要です。
なお、オープンネットワークを通じて外部から情報を取り込む際に、取り込む情報の
安全性を確認する必要があり、そのため例えば取り込むデータ等についての無害化を図
るなど、標的型攻撃等によるリスクを減少する対応を図ることが求められます。
また、外部との接続については、医療機関等がクラウドサービスを利用し、医療情報シ
ステム・サービス事業者等のサーバからデータを取得する場合も、同様のリスクを想定
する必要があります。特にクラウドサービスの場合には、利用するサービスによって、取
り扱う情報の機密性等が異なるため、事業者によってセキュリティの水準が異なること
があります。したがって、医療情報を取り扱う場合には、利用する各クラウドサービスに
おけるリスク等を鑑みた対応をとることが求められます。必要に応じて、ネットワーク
の論理制御(例えばメールシステムと医療情報システムの情報が混在しないようにする
こと等)や、これを踏まえた情報交換のルールに基づく管理を行うことが望まれます。
81