よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (13 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
情報セキュリティ
システム運用編
132 に関する考え方の
(Control)
整理
10.医療情報ス
テム・サービス事
業者による保守対
応等に対する安全
管理措置
情報セキュリティ
企画管理編
133 に関する考え方の
(Management)
整理
6.2 ISMS
(Information
Security
Management
System:情報セ
キュリティマネジ
メントシステム)
情報セキュリティ
システム運用編
134 に関する考え方の
(Control)
整理
情報セキュリティ
135 に関する考え方の すべて
整理
情報セキュリティ
136 に関する考え方の -
整理
情報セキュリティ
137 に関する考え方の -
整理
【遵守事項】④の記載は、緊急での対応等で必ずしも計画書を事前に作成が困難な場合もあると想定され、「作業を行う前に、 御意見として参考にさせていただきます。なお、保守に関す
保守作業者と実施内容について合意し、作業結果について、報告を受け、記録として残すこと」等としてはどうか。
る手続きは原則として事前申請・承認ですが、障害時や緊急
を要する場合には事後承認等によることも想定される旨を、
P26
10.1に記載しています。
診療所等の小規模医療機関においては、医療情報部等のシステム運用担当者がいないことでISMS構築のための文書作成や体制を 御意見として参考にさせていただきます。なお、Q&A(概Q構築することが困難なケースが考えられることから、小規模な医療機関においては、「特集:小規模医療機関等向けガイダン
9)で、小規模医療機関においては「特集:小規模医療機関等
ス」の参照を促す文言を追加いただけないか。
向けガイダンス」を参照してほしい旨を記載しています。
P25
御意見として参考にさせていただきます。
13.2 不正な通
医療機関のサイバー攻撃対策の一助となるセキュリティ対策として、ネットワークの不正なふるまいを検知することが可能な
信の検知や遮断、 P37 「NDR(Network Detection and Response)」をガイドラインの不正な通信の検知や遮断、監視の要件として検討に加えていただ
監視
きたい。
以下箇所において、サポートが終了したソフトウェアへの対策について、買い替えることやネットワークに接続しないことなど 御意見として参考にさせていただきます。
具体的な対応内容を記載してはどうか。
-
- ・経営管理編(案):3.4.2 情報共有・支援、情報収集
・企画管理編(案):9.2 情報機器等の安全性の確認
・システム運用編(案):8.2 情報機器等の脆弱性への対策
-
-
-
-
医療情報管理体制加算の要件である「医療情報システム安全管理責任者」(安全管理責任者)や「システム運用管理責任者」
(運用管理責任者)が本文書中で明確に定義されておりません。情報セキュリティの一般的な考え方に照らすと、安全管理責任
者はCISO(Chief Information Security Officer)に、運用管理責任者はCISO補佐に当たる方とすると、CISOは経営管理層で業
務に当たる方で、CISO補佐は組織の形態(兼任関係)によって、本文で示される「企画管理者」であったり、「担当者あるいは
システム運用管理者」であったりするものと考えられることから、
・概説編の「2.本ガイドラインの対象」等に新たに項目を設け、兼任関係に応じて、安全管理者、運用管理責任者、企画管理
者、担当者またはシステム運用管理者との関係性を明確にし、合わせて、概説編の図3-1等に現れる用語の定義や考え方を整理
して明記してほしい。
・経営管理編の3.1.1の統制に関する遵守事項において「管理体制等を整備」を「医療情報システム安全管理責任者を配置
した管理体制等を整備」と、「医療情報システム安全管理責任者」を明記して欲しい。
・企画管理編の「3.1.5非常時の体制・CSIRT等の整備」の文中にCISOの配置を企画管理者が検討するように求める記述
は、経営管理層の人材配置を企画管理層の人物が検討するのは適切では無いとの考えから、「企画管理者はこれらの整備の要否
や、必要な場合にはその構成や非常時の対応内容などについて検討し、経営層の承認を得ることが求められる。」を「企画管理
者はCSIRTの構成や非常時の対応内容などについて検討し、経営層の承認を得ることが求められる。」と修正いただきたい。
ご指摘を踏まえ、概説編において、医療情報システム安全管
理責任者にかかる記載を追記しました。また、「企画管理
者」と「システム運用管理者」という文言が混在していたた
め、「企画管理者」に統一いたしました。
本改定の趣旨に則り本文中に具体的技術を記載することを極力避け、Q&Aに例示するに留めることを徹底すべきであることか
ら、システム運用編において以下の各項目に記載された具体的技術的手段についてQ&Aに移し、当該項目では方法の一例を一
般論として記載できる範囲に留めるよう記載を修正してはどうか。
・7【遵守事項】⑬:「VPN・仮想デスクトップ」を廃し、「端末の作業環境内に医療情報が残存することが無いようにする」
等の記述に変更。
・7【遵守事項】⑭:「TLS暗号化、PKI認証等」を「暗号化、認証等」に変更。
・7.2.1:詳細な記載を廃し「チャネルセキュリティを確保し、BYODにおいては端末の作業環境内に医療情報が残存するこ
とが無いようにする」に変更。
・7.2.2 :患者が自らの情報のみにアクセスする際と職員が不特定の患者情報にアクセスする際のセキュリティはリスク評
価が大幅に異なり、同列の対応を求めるのは技術的に正しくないことから当該項目の第三段落を削除。
・8【遵守事項】⑤:個別技術としての起動時パスワード設定のみを求めることは不適当であるので、当該項目を削除。
・8【遵守事項】⑥:IoT機器のみに特化した詳細な記述を廃し、①~⑤に記述されていない(3)のみを一般的な情報端末の事項
として記述。
システム運用編では、医療機関等において経営層や企画管理
者の指示に基づき、医療情報システムを構成する情報機器、
ソフトウェア、インフラ等の設計、実装、運用等を担う担当
者を対象としたものであり、具体的な技術については、必要
な範囲で例示記載することにより、適切な選択を促し、安全
管理の取組を推進するという観点から、ご指摘の点について
は原案通りとさせていただきます。
13
システム運用編
132 に関する考え方の
(Control)
整理
10.医療情報ス
テム・サービス事
業者による保守対
応等に対する安全
管理措置
情報セキュリティ
企画管理編
133 に関する考え方の
(Management)
整理
6.2 ISMS
(Information
Security
Management
System:情報セ
キュリティマネジ
メントシステム)
情報セキュリティ
システム運用編
134 に関する考え方の
(Control)
整理
情報セキュリティ
135 に関する考え方の すべて
整理
情報セキュリティ
136 に関する考え方の -
整理
情報セキュリティ
137 に関する考え方の -
整理
【遵守事項】④の記載は、緊急での対応等で必ずしも計画書を事前に作成が困難な場合もあると想定され、「作業を行う前に、 御意見として参考にさせていただきます。なお、保守に関す
保守作業者と実施内容について合意し、作業結果について、報告を受け、記録として残すこと」等としてはどうか。
る手続きは原則として事前申請・承認ですが、障害時や緊急
を要する場合には事後承認等によることも想定される旨を、
P26
10.1に記載しています。
診療所等の小規模医療機関においては、医療情報部等のシステム運用担当者がいないことでISMS構築のための文書作成や体制を 御意見として参考にさせていただきます。なお、Q&A(概Q構築することが困難なケースが考えられることから、小規模な医療機関においては、「特集:小規模医療機関等向けガイダン
9)で、小規模医療機関においては「特集:小規模医療機関等
ス」の参照を促す文言を追加いただけないか。
向けガイダンス」を参照してほしい旨を記載しています。
P25
御意見として参考にさせていただきます。
13.2 不正な通
医療機関のサイバー攻撃対策の一助となるセキュリティ対策として、ネットワークの不正なふるまいを検知することが可能な
信の検知や遮断、 P37 「NDR(Network Detection and Response)」をガイドラインの不正な通信の検知や遮断、監視の要件として検討に加えていただ
監視
きたい。
以下箇所において、サポートが終了したソフトウェアへの対策について、買い替えることやネットワークに接続しないことなど 御意見として参考にさせていただきます。
具体的な対応内容を記載してはどうか。
-
- ・経営管理編(案):3.4.2 情報共有・支援、情報収集
・企画管理編(案):9.2 情報機器等の安全性の確認
・システム運用編(案):8.2 情報機器等の脆弱性への対策
-
-
-
-
医療情報管理体制加算の要件である「医療情報システム安全管理責任者」(安全管理責任者)や「システム運用管理責任者」
(運用管理責任者)が本文書中で明確に定義されておりません。情報セキュリティの一般的な考え方に照らすと、安全管理責任
者はCISO(Chief Information Security Officer)に、運用管理責任者はCISO補佐に当たる方とすると、CISOは経営管理層で業
務に当たる方で、CISO補佐は組織の形態(兼任関係)によって、本文で示される「企画管理者」であったり、「担当者あるいは
システム運用管理者」であったりするものと考えられることから、
・概説編の「2.本ガイドラインの対象」等に新たに項目を設け、兼任関係に応じて、安全管理者、運用管理責任者、企画管理
者、担当者またはシステム運用管理者との関係性を明確にし、合わせて、概説編の図3-1等に現れる用語の定義や考え方を整理
して明記してほしい。
・経営管理編の3.1.1の統制に関する遵守事項において「管理体制等を整備」を「医療情報システム安全管理責任者を配置
した管理体制等を整備」と、「医療情報システム安全管理責任者」を明記して欲しい。
・企画管理編の「3.1.5非常時の体制・CSIRT等の整備」の文中にCISOの配置を企画管理者が検討するように求める記述
は、経営管理層の人材配置を企画管理層の人物が検討するのは適切では無いとの考えから、「企画管理者はこれらの整備の要否
や、必要な場合にはその構成や非常時の対応内容などについて検討し、経営層の承認を得ることが求められる。」を「企画管理
者はCSIRTの構成や非常時の対応内容などについて検討し、経営層の承認を得ることが求められる。」と修正いただきたい。
ご指摘を踏まえ、概説編において、医療情報システム安全管
理責任者にかかる記載を追記しました。また、「企画管理
者」と「システム運用管理者」という文言が混在していたた
め、「企画管理者」に統一いたしました。
本改定の趣旨に則り本文中に具体的技術を記載することを極力避け、Q&Aに例示するに留めることを徹底すべきであることか
ら、システム運用編において以下の各項目に記載された具体的技術的手段についてQ&Aに移し、当該項目では方法の一例を一
般論として記載できる範囲に留めるよう記載を修正してはどうか。
・7【遵守事項】⑬:「VPN・仮想デスクトップ」を廃し、「端末の作業環境内に医療情報が残存することが無いようにする」
等の記述に変更。
・7【遵守事項】⑭:「TLS暗号化、PKI認証等」を「暗号化、認証等」に変更。
・7.2.1:詳細な記載を廃し「チャネルセキュリティを確保し、BYODにおいては端末の作業環境内に医療情報が残存するこ
とが無いようにする」に変更。
・7.2.2 :患者が自らの情報のみにアクセスする際と職員が不特定の患者情報にアクセスする際のセキュリティはリスク評
価が大幅に異なり、同列の対応を求めるのは技術的に正しくないことから当該項目の第三段落を削除。
・8【遵守事項】⑤:個別技術としての起動時パスワード設定のみを求めることは不適当であるので、当該項目を削除。
・8【遵守事項】⑥:IoT機器のみに特化した詳細な記述を廃し、①~⑤に記述されていない(3)のみを一般的な情報端末の事項
として記述。
システム運用編では、医療機関等において経営層や企画管理
者の指示に基づき、医療情報システムを構成する情報機器、
ソフトウェア、インフラ等の設計、実装、運用等を担う担当
者を対象としたものであり、具体的な技術については、必要
な範囲で例示記載することにより、適切な選択を促し、安全
管理の取組を推進するという観点から、ご指摘の点について
は原案通りとさせていただきます。
13