よむ、つかう、まなぶ。

MC plus(エムシープラス)は、診療報酬・介護報酬改定関連のニュース、

資料、研修などをパッケージした総合メディアです。


【参考2】「医療情報システムの安全管理に関するガイドライン 第6.0 版」 に関するQ&A (案) (90 ページ)

公開元URL https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000251919
出典情報 「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について(3/30)《厚生労働省》
低解像度画像をダウンロード

資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。

シス14章第③条
シQ-49 利用者の識別・認証に IC カード等のセキュリティ・デバイスを配布する場
合、どのような留意事項があるか。


利用者の識別、認証、署名等を目的として、IC カード等のセキュリティ・デバイスに
個人識別符号のうち指紋等の生体情報に関するデータや暗号化鍵、電子証明書等を格納
して配布する場合は、これらのセキュリティ・デバイスが誤って本人以外の第三者の手
に渡ることのないよう対策を講じる必要があります。また、万一そのセキュリティ・デ
バイスが第三者によって不正に入手された場合でも、簡単に利用されないようにするこ
とが重要です。
したがって、利用者の識別、認証、署名等が、これらセキュリティ・デバイス単独で可
能となるような運用はリスクが大きいため、必ず利用者本人しか知り得ない情報との組
み合わせによってのみ有効になるようなメカニズム、運用方法を採用しなければなりま
せん。
また、IC カードの破損等、本人の識別情報が利用できない時を想定し、緊急時の代替
手段による一時的なアクセスルールを用意しておく必要があります。その際、安全管理
のレベルを安易に下げることがないよう、本人確認を十分に行った上で代替手段の使用
を許し、さらにログ等を残して、後日再発行された本人の正規の識別情報により、上記緊
急時の操作のログ等の確認操作をすることが望まれます。

シス14章第⑥条
シQ-50 「類推されやすいパスワードを使用させないよう、設定可能なパスワード
に制限を設けること」とあるが、類推を防ぐために定期的な変更を求めるこ
とは有効か。
また、令和 9 年度時点で稼働していることが想定される医療情報システム
を、今後、導入または更新する場合、原則として二要素認証を採用する趣旨
は何か。


医療情報システムにおいては、医療情報を預かる医療従事者による職務上の安全確保
という観点から、推定困難なパスワードを設定することが求められます。
パスワードの要件による安全性については、日々研究が進められています。近年では、
定期的な変更を行うことで利用者が推定可能なパスワードを設定することで、むしろ脆
弱になってしまうという報告もあります。
米国国立標準技術研究所(以下、
「NIST」)から 2017 年 6 月に公表された「SP 80063-3(Digital Identity Guidelines(デジタルアイデンティに関するガイドライン))第
3 版」においては、パスワードの定期的な変更を強制することにより、
「類推されやすい
パスワードを使用しない」という要件を満たさないことになるリスクが指摘されていま
す。

89