よむ、つかう、まなぶ。
資料5 安全管理措置について (5 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi2/0000198094_00063.html |
| 出典情報 | 健康・医療・介護情報利活用検討会 介護情報利活用ワーキンググループ(第5回 4/5)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
(参考)安全管理措置として考えられる事項(2/2)
(医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスより抜粋)
◼ 事業所の規模や従業者の様態等を勘案して、以下のような取組を参考に、必要な措置を行うものとされている。
⑥物理的安全管理措置
• 個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
➢ 入退館(室)管理の実施
➢ 盗難等に対する予防対策の実施(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングの実施、記録機能
を持つ媒体の持込み・持出しの禁止又は検査の実施等)
➢ 機器、装置等の固定など物理的な保護
• 不正な操作を防ぐため、業務上の必要性に基づき、以下のように、個人データを取り扱う端末に付与する機能を限定する。
➢ スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
⑦技術的安全管理措置
• 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。
➢ 個人データに対するアクセス管理(IDやパスワード等による認証(※)、各職員の業務内容に応じて業務上必要な範囲にのみ
アクセスできるようなシステム構成の採用等)
※ 認証については、認証の3要素である「記憶」、「生体情報」、「物理媒体」のうち、2つの独立した要素を組み合わせ
て認証を行う方式(二要素認証)を採用することが望ましい。
➢ 個人データに対するアクセス記録の保存
➢ 不正が疑われる異常な記録の存否の定期的な確認
➢ 個人データに対するファイアウォールの設置
➢ 情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認
➢ ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)
⑧個人データの保存
• 個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。
• 個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備な
ど検索可能な状態で保存しておく。
⑨不要となった個人データの廃棄、消去
• 不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。
• 個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。
• これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。
5
(医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスより抜粋)
◼ 事業所の規模や従業者の様態等を勘案して、以下のような取組を参考に、必要な措置を行うものとされている。
⑥物理的安全管理措置
• 個人データの盗難・紛失等を防止するため、以下のような物理的安全管理措置を行う。
➢ 入退館(室)管理の実施
➢ 盗難等に対する予防対策の実施(例えば、カメラによる撮影や作業への立会い等による記録又はモニタリングの実施、記録機能
を持つ媒体の持込み・持出しの禁止又は検査の実施等)
➢ 機器、装置等の固定など物理的な保護
• 不正な操作を防ぐため、業務上の必要性に基づき、以下のように、個人データを取り扱う端末に付与する機能を限定する。
➢ スマートフォン、パソコン等の記録機能を有する機器の接続の制限及び機器の更新への対応
⑦技術的安全管理措置
• 個人データの盗難・紛失等を防止するため、個人データを取り扱う情報システムについて以下のような技術的安全管理措置を行う。
➢ 個人データに対するアクセス管理(IDやパスワード等による認証(※)、各職員の業務内容に応じて業務上必要な範囲にのみ
アクセスできるようなシステム構成の採用等)
※ 認証については、認証の3要素である「記憶」、「生体情報」、「物理媒体」のうち、2つの独立した要素を組み合わせ
て認証を行う方式(二要素認証)を採用することが望ましい。
➢ 個人データに対するアクセス記録の保存
➢ 不正が疑われる異常な記録の存否の定期的な確認
➢ 個人データに対するファイアウォールの設置
➢ 情報システムへの外部からのアクセス状況の監視及び当該監視システムの動作の定期的な確認
➢ ソフトウェアに関する脆弱性対策(セキュリティパッチの適用、当該情報システム固有の脆弱性の発見及びその修正等)
⑧個人データの保存
• 個人データを長期にわたって保存する場合には、保存媒体の劣化防止など個人データが消失しないよう適切に保存する。
• 個人データの保存に当たっては、本人からの照会等に対応する場合など必要なときに迅速に対応できるよう、インデックスの整備な
ど検索可能な状態で保存しておく。
⑨不要となった個人データの廃棄、消去
• 不要となった個人データを廃棄する場合には、焼却や溶解など、個人データを復元不可能な形にして廃棄する。
• 個人データを取り扱った情報機器を廃棄する場合は、記憶装置内の個人データを復元不可能な形に消去して廃棄する。
• これらの廃棄業務を委託する場合には、個人データの取扱いについても委託契約において明確に定める。
5