よむ、つかう、まなぶ。
【資料1-5】医療情報システムの安全管理に関するガイドライン第6.0版 システム運用編(案) (27 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
8.利用機器・サービスに対する安全管理措置
[Ⅰ~Ⅳ]
【遵守事項】
①
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、コ
ンピュータウイルス等の不正なソフトウェアが混入していないか確認すること。適切に管理され
ていないと考えられる記録媒体を利用する際には、十分な安全確認を実施し、細心の注意を払っ
て利用すること。
②
常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有効性・安全
性の確認・維持(例えばパターンファイルの更新の確認・維持)を行うこと。
③
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を防止するた
めに、不正ソフトウェア対策ソフトのパターンファイルや OS のセキュリティ・パッチ等、リス
クに対してセキュリティ対策を適切に適用すること。
④
メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるデータやフ
ァイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこと。なお、保守等でやむを
得ずファイル送信等を行う場合、送信側で無害化処理が行われていることを確認すること 。
⑤
情報機器に対して起動パスワード等を設定すること。設定に当たっては製品等の出荷時におけ
るパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、情報機器の利用
方法等に応じて必要があれば、定期的なパスワードの変更等の対策を実施すること。
⑥ IoT 機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシステム・
機器についても同様である。
(1) IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器の
サイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程
を定めること。
(2) IoT 機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがある。シ
ステムやサービスの特徴を踏まえ、IoT 機器のセキュリティ上重要なアップデートを必要なタ
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止した IoT 機器をネットワークに接続したまま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
⑦
企画管理者と協働して、医療情報システムで用いる情報機器等やソフトウェアの棚卸を行うた
めの手順を策定し、定期的に実施すること。棚卸の際には、情報機器等の滅失状況なども併せて
確認すること。
⑧
BYOD の実施に関する規程に基づいて、具体的な手順と設定を行い、企画管理者に報告する
こと。
⑨
BYOD であっても、医療機関等が管理する情報機器等と同等の対策が講じられるよう、手順
を作成すること。
- 21 -
[Ⅰ~Ⅳ]
【遵守事項】
①
システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、コ
ンピュータウイルス等の不正なソフトウェアが混入していないか確認すること。適切に管理され
ていないと考えられる記録媒体を利用する際には、十分な安全確認を実施し、細心の注意を払っ
て利用すること。
②
常時不正なソフトウェアの混入を防ぐ適切な措置をとること。また、その対策の有効性・安全
性の確認・維持(例えばパターンファイルの更新の確認・維持)を行うこと。
③
医療情報システムに接続するネットワークのトラフィックにおける脅威の拡散等を防止するた
めに、不正ソフトウェア対策ソフトのパターンファイルや OS のセキュリティ・パッチ等、リス
クに対してセキュリティ対策を適切に適用すること。
④
メールやファイル交換にあたっては、実行プログラム(マクロ等含む)が含まれるデータやフ
ァイルの送受信禁止、又はその実行停止の実施、無害化処理を行うこと。なお、保守等でやむを
得ずファイル送信等を行う場合、送信側で無害化処理が行われていることを確認すること 。
⑤
情報機器に対して起動パスワード等を設定すること。設定に当たっては製品等の出荷時におけ
るパスワードから変更し、推定しやすいパスワード等の利用を避けるとともに、情報機器の利用
方法等に応じて必要があれば、定期的なパスワードの変更等の対策を実施すること。
⑥ IoT 機器を利用する場合、次に掲げる対策を実施すること。検査装置等に付属するシステム・
機器についても同様である。
(1) IoT 機器により医療情報を取り扱う場合は、製造販売業者から提供を受けた当該医療機器の
サイバーセキュリティに関する情報を基にリスク分析を行い、その取扱いに係る運用管理規程
を定めること。
(2) IoT 機器には、製品出荷後にファームウェア等に関する脆弱性が発見されることがある。シ
ステムやサービスの特徴を踏まえ、IoT 機器のセキュリティ上重要なアップデートを必要なタ
イミングで適切に実施する方法を検討し、運用すること。
(3) 使用が終了した又は不具合のために使用を停止した IoT 機器をネットワークに接続したまま
放置すると不正に接続されるリスクがあるため、対策を実施すること。
⑦
企画管理者と協働して、医療情報システムで用いる情報機器等やソフトウェアの棚卸を行うた
めの手順を策定し、定期的に実施すること。棚卸の際には、情報機器等の滅失状況なども併せて
確認すること。
⑧
BYOD の実施に関する規程に基づいて、具体的な手順と設定を行い、企画管理者に報告する
こと。
⑨
BYOD であっても、医療機関等が管理する情報機器等と同等の対策が講じられるよう、手順
を作成すること。
- 21 -