よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (4 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
情報セキュリティ
システム運用編
37 に関する考え方の
(Control)
整理
14.認証・認可
に関する安全管理
措置
「⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今
御意見として参考にさせていただきます。
後、新規導入又は更新に際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。」
「⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施すること。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワードに制限を設けること。
- 医療情報システム内のパスワードファイルは、パスワードを暗号化(不可逆変換によるこ
と)した状態で、適切な手法で管理・運用すること。」
の、⑥の2点は、現在稼働している電子カルテシステムでは未対応のソフトウェアが広く使われていることから実効性が確保さ
れないと思われ、以下修正を要望する。
「⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今
P41 後、新規導入又は更新に際しては、次に揚げる対策を実施すること。
- 二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワードに制限を設けるこ
と。
- 医療情報システム内のパスワードファイルは、パスワードを暗号化(不可逆変換によるこ
と)した状態で、適切な手法で管理・運用すること。」
「⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施すること。」
3.2.1 医療機
関等の特性につい P4
ての考え方
『本ガイドラインは、すべての医療機関等における医療情報システムを対象とした安全管理に関して、各編で遵守事項やその考
え方等を示している』との記載は、従前のガイドラインにおける「C項」に該当する必要最低限実施すべき事項なのか、セキュ
リティ管理を行う上で遵守を目的とすべき管理要件であり、リスク評価の結果に基づき対応要否を主体的に検討すべきものとい
う位置づけなのか、<遵守事項>の定義を明確にすべき。
あわせて今回のGLは、今までのベースラインアプローチ(to Doを列記し、「これだけやればよい」とする考え方)から、リス
クベースアプローチ(病院個々のシステム固有要件に基づき、想定されるリスクを抽出し、実施すべき対策水準を検討する考え
方)へ変化している点を概説編で明示的に説明することが必要ではないか。
情報セキュリティ
経営管理編
39 に関する考え方の
(Governance)
整理
【はじめに】
『安全管理対策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉えることも重要である』 ご指摘を踏まえ、経営管理編において、安全管理対策の実施
との記載がある一方で、経営管理編のどこにも、セキュリティ投資予算・リソースについて経営層が確保すべきという記載が一 に必要となる資源(予算・人材等)の確保に努めることが重
切見られない。
要である旨を追記しました。
「サイバーセキュリティ経営ガイドライン」では触れている予算・リソースの確保をマネジメント層が果たすべき責務として経
営管理編で定義してはどうか。
情報セキュリティ
経営管理編
40 に関する考え方の
(Governance)
整理
2.2.2 情報セ
キュリティマネジ
メントシステム
(ISMS:
遵守事項に、ISMSを策定し実施することが定義されている点は、一般的な意味での情報セキュリティマネジメントプロセス
Information
P10 (ISMS)を策定することが必要という意味であり、医療機関がISMSを取ること自体を目的とせぬよう、ISMS認証=ISO27001を取
Security
得することが目的ではない点を明記すべき。
Management
System)
の実践
情報セキュリティ
概説編
38 に関する考え方の
(Overview)
整理
情報セキュリティ
企画管理編
41 に関する考え方の
(Management)
整理
P1
遵守事項は、従前のガイドラインにおけるC項(最低限のガイ
ドライン)及びD項(推奨されるガイドライン)を想定してい
ます。リスクベースアプローチに関する記載へのご指摘は、
今後の検討において参考にさせていただきます。
ご指摘を踏まえ、Q&A(企Q-27)において、プライバシーマー
クやISMS認証は医療情報を取り扱う事業者として最低限取得
すべきものである旨の考え方を追記いたします。
・「9.2情報機器等の安全性の確認」で『企画管理者は担当者に情報機器等の安全に関する情報の収集(利用している情報機 御意見として参考にさせていただきます。
器等やシステム、プログラム等)と、それを踏まえた対応を指示、その対応状況を確認すること)で、情報機器等の安全性を定
期的に確認する必要がある』とあるが、病院のセキュリティ予算は著しく限定されている。そうしたなかで、企画管理者のリ
9.2 情報機器等
P38 ソースの限定性を考慮した場合、あくまでベンダーからの報告指示&内容協議・相談こそが重要であるという立て付けにしない
の安全性の確認
限り、絵にかいた餅にしかならない。200床以下の医療現場は限定されたIT・セキュリティリソースを前提にしており、そのよ
うな限定性のもとで、地域医療は運営されている点を考慮しないといけないのではないか?
情報セキュリティ
企画管理編
42 に関する考え方の
(Management)
整理
経産省のサイバーGLではマネジメント層がセキュリティ予算の確保を行うべきとあるため、セキュリティ予算の確保をマネジメ ご指摘を踏まえ、経営管理編において、安全管理対策の実施
12.1 サイバー
ント層の責務と定義しないと、そもそも経済産業省のガイドラインとの整合性が取れない。なぜ経営管理編も含めて、セキュリ に必要となる資源(予算・人材等)の確保が重要である旨を
セキュリティ対応 P46 ティ予算の確保を行うことはマネジメント層という上位層の責務である点を示さないのか?
追記しました。
計画の策定
情報セキュリティ
企画管理編
43 に関する考え方の
(Management)
整理
12.2 サイバー
セキュリティ対応 P46
計画の実践
情報セキュリティ
システム運用編
44 に関する考え方の
(Control)
整理
情報セキュリティ
システム運用編
45 に関する考え方の
(Control)
整理
情報セキュリティ
システム運用編
46 に関する考え方の
(Control)
整理
医療機関の診療モデル・ユースケースはバラバラなため、<年次>はあくまで例示とすべきではないか?
『チャネル・セキュリティ』という表現の定義を明確にすべき。
7.2.1 医療機
関等の職員による
P18
外部からのアクセ
ス
EDRやふるまい検知には触れているが、セキュリティ業界の常識としての不正ソフトウェア対策ツールの位置付けを簡単に、概
8.1 不正ソフト
P22 念的にでも紹介すべき。具体的にはEDR・ふるまい検知以外にも、AntiVirus、NextGerationAntiVirus、EndPointProtection、
ウェア対策
ひいてはNetwork Detection & Response等が存在する。
御意見として参考にさせていただきます。
用語集に定義を示しています。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
『重要なセキュリティに関する情報は、「内閣サイバーセキュリティセンター(NISC)」や「独立行政法人 情報処理推進機
構」などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用する情報機器等やソフトウェアを提供する
8.2 情報機器等
事業者に対応を確認するなどして、最新の情報の入手を図ることが重要である。』との記載については、例えば事業者とリモー
P23
の脆弱性への対策
トメンテナンスを契約した場合に事業者資産としてのリモート機器が導入され、この脆弱性が放置される懸念があることが想定
されるため、医療機関としては、「ベンダが病院に持ち込む機器等についても脆弱性対応を求めるよう恒常的に監視すべき」と
いうトーンで記載すべきではないか。
4
システム運用編
37 に関する考え方の
(Control)
整理
14.認証・認可
に関する安全管理
措置
「⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今
御意見として参考にさせていただきます。
後、新規導入又は更新に際しては、二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。」
「⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施すること。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワードに制限を設けること。
- 医療情報システム内のパスワードファイルは、パスワードを暗号化(不可逆変換によるこ
と)した状態で、適切な手法で管理・運用すること。」
の、⑥の2点は、現在稼働している電子カルテシステムでは未対応のソフトウェアが広く使われていることから実効性が確保さ
れないと思われ、以下修正を要望する。
「⑤ 利用者認証にパスワードを用いる場合には、令和9年度時点で稼働していることが想定される医療情報システムを、今
P41 後、新規導入又は更新に際しては、次に揚げる対策を実施すること。
- 二要素認証を採用するシステムの導入、又はこれに相当する対応を行うこと。
- 類推されやすいパスワードを使用させないよう、設定可能なパスワードに制限を設けるこ
と。
- 医療情報システム内のパスワードファイルは、パスワードを暗号化(不可逆変換によるこ
と)した状態で、適切な手法で管理・運用すること。」
「⑥ パスワードを利用者認証に使用する場合、次に掲げる対策を実施すること。」
3.2.1 医療機
関等の特性につい P4
ての考え方
『本ガイドラインは、すべての医療機関等における医療情報システムを対象とした安全管理に関して、各編で遵守事項やその考
え方等を示している』との記載は、従前のガイドラインにおける「C項」に該当する必要最低限実施すべき事項なのか、セキュ
リティ管理を行う上で遵守を目的とすべき管理要件であり、リスク評価の結果に基づき対応要否を主体的に検討すべきものとい
う位置づけなのか、<遵守事項>の定義を明確にすべき。
あわせて今回のGLは、今までのベースラインアプローチ(to Doを列記し、「これだけやればよい」とする考え方)から、リス
クベースアプローチ(病院個々のシステム固有要件に基づき、想定されるリスクを抽出し、実施すべき対策水準を検討する考え
方)へ変化している点を概説編で明示的に説明することが必要ではないか。
情報セキュリティ
経営管理編
39 に関する考え方の
(Governance)
整理
【はじめに】
『安全管理対策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉えることも重要である』 ご指摘を踏まえ、経営管理編において、安全管理対策の実施
との記載がある一方で、経営管理編のどこにも、セキュリティ投資予算・リソースについて経営層が確保すべきという記載が一 に必要となる資源(予算・人材等)の確保に努めることが重
切見られない。
要である旨を追記しました。
「サイバーセキュリティ経営ガイドライン」では触れている予算・リソースの確保をマネジメント層が果たすべき責務として経
営管理編で定義してはどうか。
情報セキュリティ
経営管理編
40 に関する考え方の
(Governance)
整理
2.2.2 情報セ
キュリティマネジ
メントシステム
(ISMS:
遵守事項に、ISMSを策定し実施することが定義されている点は、一般的な意味での情報セキュリティマネジメントプロセス
Information
P10 (ISMS)を策定することが必要という意味であり、医療機関がISMSを取ること自体を目的とせぬよう、ISMS認証=ISO27001を取
Security
得することが目的ではない点を明記すべき。
Management
System)
の実践
情報セキュリティ
概説編
38 に関する考え方の
(Overview)
整理
情報セキュリティ
企画管理編
41 に関する考え方の
(Management)
整理
P1
遵守事項は、従前のガイドラインにおけるC項(最低限のガイ
ドライン)及びD項(推奨されるガイドライン)を想定してい
ます。リスクベースアプローチに関する記載へのご指摘は、
今後の検討において参考にさせていただきます。
ご指摘を踏まえ、Q&A(企Q-27)において、プライバシーマー
クやISMS認証は医療情報を取り扱う事業者として最低限取得
すべきものである旨の考え方を追記いたします。
・「9.2情報機器等の安全性の確認」で『企画管理者は担当者に情報機器等の安全に関する情報の収集(利用している情報機 御意見として参考にさせていただきます。
器等やシステム、プログラム等)と、それを踏まえた対応を指示、その対応状況を確認すること)で、情報機器等の安全性を定
期的に確認する必要がある』とあるが、病院のセキュリティ予算は著しく限定されている。そうしたなかで、企画管理者のリ
9.2 情報機器等
P38 ソースの限定性を考慮した場合、あくまでベンダーからの報告指示&内容協議・相談こそが重要であるという立て付けにしない
の安全性の確認
限り、絵にかいた餅にしかならない。200床以下の医療現場は限定されたIT・セキュリティリソースを前提にしており、そのよ
うな限定性のもとで、地域医療は運営されている点を考慮しないといけないのではないか?
情報セキュリティ
企画管理編
42 に関する考え方の
(Management)
整理
経産省のサイバーGLではマネジメント層がセキュリティ予算の確保を行うべきとあるため、セキュリティ予算の確保をマネジメ ご指摘を踏まえ、経営管理編において、安全管理対策の実施
12.1 サイバー
ント層の責務と定義しないと、そもそも経済産業省のガイドラインとの整合性が取れない。なぜ経営管理編も含めて、セキュリ に必要となる資源(予算・人材等)の確保が重要である旨を
セキュリティ対応 P46 ティ予算の確保を行うことはマネジメント層という上位層の責務である点を示さないのか?
追記しました。
計画の策定
情報セキュリティ
企画管理編
43 に関する考え方の
(Management)
整理
12.2 サイバー
セキュリティ対応 P46
計画の実践
情報セキュリティ
システム運用編
44 に関する考え方の
(Control)
整理
情報セキュリティ
システム運用編
45 に関する考え方の
(Control)
整理
情報セキュリティ
システム運用編
46 に関する考え方の
(Control)
整理
医療機関の診療モデル・ユースケースはバラバラなため、<年次>はあくまで例示とすべきではないか?
『チャネル・セキュリティ』という表現の定義を明確にすべき。
7.2.1 医療機
関等の職員による
P18
外部からのアクセ
ス
EDRやふるまい検知には触れているが、セキュリティ業界の常識としての不正ソフトウェア対策ツールの位置付けを簡単に、概
8.1 不正ソフト
P22 念的にでも紹介すべき。具体的にはEDR・ふるまい検知以外にも、AntiVirus、NextGerationAntiVirus、EndPointProtection、
ウェア対策
ひいてはNetwork Detection & Response等が存在する。
御意見として参考にさせていただきます。
用語集に定義を示しています。
御意見として参考にさせていただきます。
御意見として参考にさせていただきます。
『重要なセキュリティに関する情報は、「内閣サイバーセキュリティセンター(NISC)」や「独立行政法人 情報処理推進機
構」などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用する情報機器等やソフトウェアを提供する
8.2 情報機器等
事業者に対応を確認するなどして、最新の情報の入手を図ることが重要である。』との記載については、例えば事業者とリモー
P23
の脆弱性への対策
トメンテナンスを契約した場合に事業者資産としてのリモート機器が導入され、この脆弱性が放置される懸念があることが想定
されるため、医療機関としては、「ベンダが病院に持ち込む機器等についても脆弱性対応を求めるよう恒常的に監視すべき」と
いうトーンで記載すべきではないか。
4