よむ、つかう、まなぶ。
【参考資料1-9】「医療情報システムの安全管理に関するガイドライン第6.0版(案)」に関する御意見の募集について (7 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/newpage_33201.html |
| 出典情報 | 健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループ(第17回 5/24)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
情報セキュリティ
企画管理編
72 に関する考え方の
(Management)
整理
73
74
75
76
情報セキュリティ
に関する考え方の
整理
情報セキュリティ
に関する考え方の
整理
情報セキュリティ
に関する考え方の
整理
情報セキュリティ
に関する考え方の
整理
メールセキュリティの国際標準であるDMARCの導入について言及がないのは、非常に問題。
すべて
-
すべて
-
経営管理編
(Governance)
経営管理編
(Governance)
情報セキュリティ
77 に関する考え方の すべて
整理
情報セキュリティ
78 に関する考え方の すべて
整理
情報セキュリティ
システム運用編
79 に関する考え方の
(Control)
整理
情報セキュリティ
企画管理編
80 に関する考え方の
(Management)
整理
情報セキュリティ
企画管理編
81 に関する考え方の
(Management)
整理
情報セキュリティ
82 に関する考え方の
整理
情報セキュリティ
83 に関する考え方の
整理
「経営管理編」では非常時において、原因や対策などの説明責任や原因を究明し、発生経緯の整理や再発防止策など善後策を講
11.3 非常時の
じる責任が求められ、また「企画管理編」でも非常時にはリスク低減や被害拡大防止の対応策を講じる責任が求められている。
事象が生じた際の P43 より具体的な事例を掲載することが、セキュリティ対策の第一歩または強化を促し、本ガイドラインの実効性を高めることに繋
対応
がると考えるため、ガイドラインの実効性を高めるために、経済産業省所管のサイバーセキュリティお助け隊などのセキュリ
ティ商材やサイバー保険などを「具体的な対策事例」として記載して欲しい。
御意見として参考にさせていただきます。
-
一般医療従事者等によるパスワードの使い回しによる、メールアカウントの大量漏洩等による被害等に関して、最低限のリテラ 利用者認証にパスワードを用いる際の具体的な留意点につい
シ教育等について(経営者の責務として)記載すべき。
ては、システム運用編「14.認証・許可に関する安全管理
措置」に記載しています。
セキュリティ予算の確保について一切触れていない点は実効性の確保という観点で大きな問題である。
ご指摘を踏まえ、経営管理編に、安全管理対策の実施に必要
となる資源(予算・人材等)の確保が重要である旨を追記し
-
-
ました。
「EOS(End of Sale,Support,Service)」の記載は、厚労省発行のIMDRFサーバーセキュリティガイダンス、ガイダンスの各手引 御意見として参考にさせていただきます。
3.4.2 情報共
有・支援、情報収 P17 書(医療機器向け、医療機関向け)では、医療機器でのEOSは“End of Support”に限定して使用されていることと平仄を合わ
せるべきではないか。なお、システム運用編8.2でも同様の記載がある。
集
医療機器のサイバーセキュリティに関しては、「医療機器のサイバーセキュリティ導入に関する手引書の改訂について」を実施 システム運用編「8.2情報機器等の脆弱性のへの対策」に記載
するよう通知され、それと対になる医療機関での対応は、「医療機関における医療機器のサイバーセキュリティ確保のための手 の通り、医療機器については「医療機器のサイバーセキュリ
-
- 引書について」に示されたが、安全管理ガイドライン第6版の案においては、これらが全くふれられていない。医療機関は、安 ティ導入に関する手引書」等を踏まえて医療機器の製造販売
全管理ガイドライン第6.0版とともに、「医療機関における医療機器のサイバーセキュリティ確保のための手引書について」を 業者と必要な連携を図ることも求められると考えます。
両方実施することを要求されているのか。
-
医療機関内においては、医療機器のセキュリティ維持、確保のためにZone等のネットワークのセグメント設計をしっかりした上
での設置、使用が望まれる。医療機関内部のネットワーク、ルーティング、セグメント等を、接続される機器の特性を加味して
設計するようなことをもっと明確化すべきではないか。
さらに、最近はクラウド等の活用も多く、クラウド事業者のセキュリティだけではなく、医療機関内からクラウドに接続するた
めの院内のネットワーク構成等が非常に重要となる。クラウド事業者は、医療機関の外に関しては責任範囲にする可能性が高い
が、医療機関の内部に関しては責任範囲の外になる可能性が高いため、このあたりをもっと医療機関が注目してもらうようにし
てもいいのではないか。
「医療機関における医療機器のサイバーセキュリティ確保のた
めの手引書」において、医療機関内で医療情報システムや医療
機器がどのようなネットワークを構成し、接続されているか
を視覚化したネットワーク構成図等を作成する等、ネット
ワーク環境を整備することが求められています。クラウド事
業者に関するご意見については、参考とさせていただきま
す。
-
-
13.ネットワー
クに関する安全管
理措置
遠隔医療における動画や音声などのリアルタイム通信ではTCPベースのHTTPS/TLSではなくDTLSやSRTPといったUDPベースのプロ DTLSやSRTPについては脆弱性の発見が続いていることから、
トコルが適している場合が多く、これらのプロトコルも十分な強度で暗号化されており、クライアント認証の上での接続も実現 原案通りとさせていただきます。
できることから、医療情報を安全に取り扱うことができると考えているため、HTTPS/TLS以外での接続として、例えばDTLSや
P39 SRTPについても利用可能であることをガイドラインもしくは関連するQA等にて示していただきたい。
13.3.1 ネッ
トワーク回線の暗
号化
運用管理編において必要な文書の体系を「方針、規程、規則、マニュアル類、各種資料」と定義しているので、ガイドライン全 御意見として参考にさせていただきます。
3.1.5 非常時
の体制・CSIRT 等 P18 体で共通用語とすべくここで使用されている「手順等」の文字は「マニュアル等」に変更してはどうか。
の整備
本章は運用に対する要求だと思われ、【遵守事項】②③④は下記の通りに変更してはどうか。
御意見として参考にさせていただきます。
② 医療情報システムの運用を委託している場合は、
10.運用に対す
P39 ③ 医療情報システムの運用に関する点検結果を、
る点検・監査
④ 医療情報システムの運用の安全管理の状況を客観的に把握するために、
企画管理編
(Management)
12.サイバーセ
キュリティ
システム運用編
(Control)
17.証跡のレ
ビュー・システム
監査
情報セキュリティ
システム運用編
84 に関する考え方の
(Control)
整理
13.1 ネット
ワークに対する安
全管理
情報セキュリティ
システム運用編
85 に関する考え方の
(Control)
整理
御意見として参考にさせていただきます。
本編4.1で「規程→規則→マニュアル等及び各種資料」で具体化されると説明しているので、【遵守事項】③の「各規程や手 御意見として参考にさせていただきます。
P45 順等に反映すること。」は「各規程や規則等に反映すること。」としてはどうか。
御意見として参考にさせていただきます。
P47 誤操作の修正対応は、改ざん防止とは分けて考えていただきたい。
これまでのガイドラインでは「公衆網」として含まれていた「携帯網等」の該当箇所がないため、図12-2 本ガイドライン 御意見として参考にさせていただきます。
におけるネットワークの整理の「専用線」に「専用線・回線事業者による回線サービス」として「回線事業者による回線サービ
P36
ス」に「携帯網等」を含ませる記載がふさわしい。
また、上記考え方をQ&Aにて補記を行ったほうがより理解が促進されると考える。
「多層防御」の趣旨として、境界防御を複数のセグメントに施し、多層にするという考え方と、境界防御に加えトラフィック監 御意見として参考にさせていただきます。
13.2 不正な通
視等の技術的対策を施し、多層にするという考え方があると考えられ、システムの実装・運用を担う担当者への理解を促すた
信の検知や遮断、 P37 め、「多層防御の考え方」について、具体的な考え方・対策(多段・多層での防御)をQ&Aにて補記いただきたい。
監視
7
企画管理編
72 に関する考え方の
(Management)
整理
73
74
75
76
情報セキュリティ
に関する考え方の
整理
情報セキュリティ
に関する考え方の
整理
情報セキュリティ
に関する考え方の
整理
情報セキュリティ
に関する考え方の
整理
メールセキュリティの国際標準であるDMARCの導入について言及がないのは、非常に問題。
すべて
-
すべて
-
経営管理編
(Governance)
経営管理編
(Governance)
情報セキュリティ
77 に関する考え方の すべて
整理
情報セキュリティ
78 に関する考え方の すべて
整理
情報セキュリティ
システム運用編
79 に関する考え方の
(Control)
整理
情報セキュリティ
企画管理編
80 に関する考え方の
(Management)
整理
情報セキュリティ
企画管理編
81 に関する考え方の
(Management)
整理
情報セキュリティ
82 に関する考え方の
整理
情報セキュリティ
83 に関する考え方の
整理
「経営管理編」では非常時において、原因や対策などの説明責任や原因を究明し、発生経緯の整理や再発防止策など善後策を講
11.3 非常時の
じる責任が求められ、また「企画管理編」でも非常時にはリスク低減や被害拡大防止の対応策を講じる責任が求められている。
事象が生じた際の P43 より具体的な事例を掲載することが、セキュリティ対策の第一歩または強化を促し、本ガイドラインの実効性を高めることに繋
対応
がると考えるため、ガイドラインの実効性を高めるために、経済産業省所管のサイバーセキュリティお助け隊などのセキュリ
ティ商材やサイバー保険などを「具体的な対策事例」として記載して欲しい。
御意見として参考にさせていただきます。
-
一般医療従事者等によるパスワードの使い回しによる、メールアカウントの大量漏洩等による被害等に関して、最低限のリテラ 利用者認証にパスワードを用いる際の具体的な留意点につい
シ教育等について(経営者の責務として)記載すべき。
ては、システム運用編「14.認証・許可に関する安全管理
措置」に記載しています。
セキュリティ予算の確保について一切触れていない点は実効性の確保という観点で大きな問題である。
ご指摘を踏まえ、経営管理編に、安全管理対策の実施に必要
となる資源(予算・人材等)の確保が重要である旨を追記し
-
-
ました。
「EOS(End of Sale,Support,Service)」の記載は、厚労省発行のIMDRFサーバーセキュリティガイダンス、ガイダンスの各手引 御意見として参考にさせていただきます。
3.4.2 情報共
有・支援、情報収 P17 書(医療機器向け、医療機関向け)では、医療機器でのEOSは“End of Support”に限定して使用されていることと平仄を合わ
せるべきではないか。なお、システム運用編8.2でも同様の記載がある。
集
医療機器のサイバーセキュリティに関しては、「医療機器のサイバーセキュリティ導入に関する手引書の改訂について」を実施 システム運用編「8.2情報機器等の脆弱性のへの対策」に記載
するよう通知され、それと対になる医療機関での対応は、「医療機関における医療機器のサイバーセキュリティ確保のための手 の通り、医療機器については「医療機器のサイバーセキュリ
-
- 引書について」に示されたが、安全管理ガイドライン第6版の案においては、これらが全くふれられていない。医療機関は、安 ティ導入に関する手引書」等を踏まえて医療機器の製造販売
全管理ガイドライン第6.0版とともに、「医療機関における医療機器のサイバーセキュリティ確保のための手引書について」を 業者と必要な連携を図ることも求められると考えます。
両方実施することを要求されているのか。
-
医療機関内においては、医療機器のセキュリティ維持、確保のためにZone等のネットワークのセグメント設計をしっかりした上
での設置、使用が望まれる。医療機関内部のネットワーク、ルーティング、セグメント等を、接続される機器の特性を加味して
設計するようなことをもっと明確化すべきではないか。
さらに、最近はクラウド等の活用も多く、クラウド事業者のセキュリティだけではなく、医療機関内からクラウドに接続するた
めの院内のネットワーク構成等が非常に重要となる。クラウド事業者は、医療機関の外に関しては責任範囲にする可能性が高い
が、医療機関の内部に関しては責任範囲の外になる可能性が高いため、このあたりをもっと医療機関が注目してもらうようにし
てもいいのではないか。
「医療機関における医療機器のサイバーセキュリティ確保のた
めの手引書」において、医療機関内で医療情報システムや医療
機器がどのようなネットワークを構成し、接続されているか
を視覚化したネットワーク構成図等を作成する等、ネット
ワーク環境を整備することが求められています。クラウド事
業者に関するご意見については、参考とさせていただきま
す。
-
-
13.ネットワー
クに関する安全管
理措置
遠隔医療における動画や音声などのリアルタイム通信ではTCPベースのHTTPS/TLSではなくDTLSやSRTPといったUDPベースのプロ DTLSやSRTPについては脆弱性の発見が続いていることから、
トコルが適している場合が多く、これらのプロトコルも十分な強度で暗号化されており、クライアント認証の上での接続も実現 原案通りとさせていただきます。
できることから、医療情報を安全に取り扱うことができると考えているため、HTTPS/TLS以外での接続として、例えばDTLSや
P39 SRTPについても利用可能であることをガイドラインもしくは関連するQA等にて示していただきたい。
13.3.1 ネッ
トワーク回線の暗
号化
運用管理編において必要な文書の体系を「方針、規程、規則、マニュアル類、各種資料」と定義しているので、ガイドライン全 御意見として参考にさせていただきます。
3.1.5 非常時
の体制・CSIRT 等 P18 体で共通用語とすべくここで使用されている「手順等」の文字は「マニュアル等」に変更してはどうか。
の整備
本章は運用に対する要求だと思われ、【遵守事項】②③④は下記の通りに変更してはどうか。
御意見として参考にさせていただきます。
② 医療情報システムの運用を委託している場合は、
10.運用に対す
P39 ③ 医療情報システムの運用に関する点検結果を、
る点検・監査
④ 医療情報システムの運用の安全管理の状況を客観的に把握するために、
企画管理編
(Management)
12.サイバーセ
キュリティ
システム運用編
(Control)
17.証跡のレ
ビュー・システム
監査
情報セキュリティ
システム運用編
84 に関する考え方の
(Control)
整理
13.1 ネット
ワークに対する安
全管理
情報セキュリティ
システム運用編
85 に関する考え方の
(Control)
整理
御意見として参考にさせていただきます。
本編4.1で「規程→規則→マニュアル等及び各種資料」で具体化されると説明しているので、【遵守事項】③の「各規程や手 御意見として参考にさせていただきます。
P45 順等に反映すること。」は「各規程や規則等に反映すること。」としてはどうか。
御意見として参考にさせていただきます。
P47 誤操作の修正対応は、改ざん防止とは分けて考えていただきたい。
これまでのガイドラインでは「公衆網」として含まれていた「携帯網等」の該当箇所がないため、図12-2 本ガイドライン 御意見として参考にさせていただきます。
におけるネットワークの整理の「専用線」に「専用線・回線事業者による回線サービス」として「回線事業者による回線サービ
P36
ス」に「携帯網等」を含ませる記載がふさわしい。
また、上記考え方をQ&Aにて補記を行ったほうがより理解が促進されると考える。
「多層防御」の趣旨として、境界防御を複数のセグメントに施し、多層にするという考え方と、境界防御に加えトラフィック監 御意見として参考にさせていただきます。
13.2 不正な通
視等の技術的対策を施し、多層にするという考え方があると考えられ、システムの実装・運用を担う担当者への理解を促すた
信の検知や遮断、 P37 め、「多層防御の考え方」について、具体的な考え方・対策(多段・多層での防御)をQ&Aにて補記いただきたい。
監視
7