よむ、つかう、まなぶ。
【参考資料1-1】医療情報システムの安全管理に関するガイドライン第6.0版Q&A(案) (48 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
13.医療情報システムの利用者に関する認証等及び権限
企13章第②条
企 Q-44 「医療情報システムで利用する認証方法が安全なものとなるよう」にする
ために、どのようなリスクを想定すればよいか。
A 利用者の識別・認証に用いられる情報が第三者に漏れがないように以下のようなリス
クに対処することが想定されます。
・ ID とパスワードが書かれた紙等が貼られていて、第三者が簡単に知ることができて
しまう。
・ パスワードが設定されておらず、誰でもシステムにログインできてしまう。
・ 初期設定のパスワードが変更されておらず、利用者以外の者でもシステムにログイ
ンできてしまう。
・ 代行作業等のために ID・パスワードを他人に教えており、システムで保存される作
業履歴から作業者が特定できない。
・ 一つの ID を複数の利用者が使用している。
・ 容易に推測できる、あるいは、文字数の少ないパスワードが設定されており、容易に
パスワードが推測できてしまう。
・ 安全性が高くないパスワードを定期的に変更せずに使用しているために、パスワー
ドが推測される可能性が高くなっている。
・ 認証用の個人識別情報を格納するセキュリティ・デバイス(IC カード、USB キー等)
を他人に貸与する、又は持ち主に無断で借用することにより、利用者が特定できない。
・ 退職した職員の ID が有効になったままで、ログインができてしまう。
・ 医療情報部等で、印刷放置されている帳票等から、パスワードが盗まれる。
・ 不正ソフトウェアにより、ID やパスワードが盗まれ、悪用される。
47
企13章第②条
企 Q-44 「医療情報システムで利用する認証方法が安全なものとなるよう」にする
ために、どのようなリスクを想定すればよいか。
A 利用者の識別・認証に用いられる情報が第三者に漏れがないように以下のようなリス
クに対処することが想定されます。
・ ID とパスワードが書かれた紙等が貼られていて、第三者が簡単に知ることができて
しまう。
・ パスワードが設定されておらず、誰でもシステムにログインできてしまう。
・ 初期設定のパスワードが変更されておらず、利用者以外の者でもシステムにログイ
ンできてしまう。
・ 代行作業等のために ID・パスワードを他人に教えており、システムで保存される作
業履歴から作業者が特定できない。
・ 一つの ID を複数の利用者が使用している。
・ 容易に推測できる、あるいは、文字数の少ないパスワードが設定されており、容易に
パスワードが推測できてしまう。
・ 安全性が高くないパスワードを定期的に変更せずに使用しているために、パスワー
ドが推測される可能性が高くなっている。
・ 認証用の個人識別情報を格納するセキュリティ・デバイス(IC カード、USB キー等)
を他人に貸与する、又は持ち主に無断で借用することにより、利用者が特定できない。
・ 退職した職員の ID が有効になったままで、ログインができてしまう。
・ 医療情報部等で、印刷放置されている帳票等から、パスワードが盗まれる。
・ 不正ソフトウェアにより、ID やパスワードが盗まれ、悪用される。
47