よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(システム運用編)(令和5年5月) (29 ページ)
出典
公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
システム運用担当者においては、医療機関等において利用している情報機器等に関して、どのよう
な脆弱性があるか、最新の情報を収集することが求められる。PC 等の OS などに関する情報は、OS や
不正ソフトウェア対策ソフトウェアを提供する事業者などが提供しているほか、重要なセキュリティ
関する情報は、
「内閣サイバーセキュリティセンター(NISC)
」や「独立行政法人
情報処理推進機構
(IPA)」などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用する情報機器
等やソフトウェアを提供する事業者に対応を確認するなどして、最新の情報の入手を図ることが重要
である。そのうえで、必要に応じて速やかに脆弱性対策を講じることが求められる。その際に、他の
ソフトウェアの動作等に影響することも想定されることから、事前に事業者に脆弱性対策の実施の可
否を確認し、対応が難しい場合には、当該リスクに対する対策や管理方法を協議の上、代替策を講じ
る必要がある。
なお、検査装置等に付属するシステム・機器についても同様である。
本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する
要件を定めているものであり、
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」
1
において定める医療機器のサイバーセキュリティの対策については、「医療機器におけるサイバーセキ
ュリティの確保について」2、「医療機器のサイバーセキュリティ導入に関する手引書」3、「医療機関に
おける医療機器のサイバーセキュリティ確保のための手引書」4等を踏まえて、医療機器の製造販売業
者と必要な連携を図ることも求められる。
8.3 端末やサーバの安全な利用の管理
システム運用担当者は、医療情報システムで利用する端末やサーバ等の情報機器が安全に利用され
ていることを確認する必要がある。
安全な利用については、8.1、8.2に示す対策のほか、例えば情報機器の起動にパスワード等
の設定を行うなど、必要な措置を講じることが求められる。また製品出荷時にパスワード等が設定さ
れているものについては、必ず製品出荷時のものから変更することが重要である。サーバで利用する
ソフトウェアの管理者権限を有する ID 等においても同様である。企画管理者はこのような情報機器の
起動や初期設定に関する対応を図ることが求められる。
外部からの攻撃等のリスクを下げる方法の一つとして、不要な情報機器等を使用しない、不要な医
療情報システムの稼働は行わない、などの対応も必要である。例えば、利用されていないにもかかわ
らず、外部と接続可能な情報機器がある場合には、その情報機器等が攻撃対象となることも想定され
る。また医療機関等の業務によっては、明らかに利用する可能性がない(または低い)時間帯を含め
て医療情報システムを稼働することにより、業務で利用されない時間帯に攻撃を受けることも想定さ
1
昭和 35 年8月 10 日法律第 145 号
2
平成 27 年4月 28 日薬食機参発 0428 第1号、薬食安発 0428 第1号「医療機器におけるサイバーセ
キュリティの確保について」
3
令和5年3月 31 日薬生機審発 0331、第 11 号薬生安発 0331 第 4 号「医療機器のサイバーセキュリテ
ィ導入に関する手引書の改訂について」
4
令和5年3月 31 日医政参発 0331 第1号、薬生機審発 0331 第 16 号、薬生安発 0331 第 8 号「医療機
関における医療機器のサイバーセキュリティ確保のための手引書について」
- 23 -
な脆弱性があるか、最新の情報を収集することが求められる。PC 等の OS などに関する情報は、OS や
不正ソフトウェア対策ソフトウェアを提供する事業者などが提供しているほか、重要なセキュリティ
関する情報は、
「内閣サイバーセキュリティセンター(NISC)
」や「独立行政法人
情報処理推進機構
(IPA)」などが定期的に公表している。これらの情報を確認するほか、必要に応じて利用する情報機器
等やソフトウェアを提供する事業者に対応を確認するなどして、最新の情報の入手を図ることが重要
である。そのうえで、必要に応じて速やかに脆弱性対策を講じることが求められる。その際に、他の
ソフトウェアの動作等に影響することも想定されることから、事前に事業者に脆弱性対策の実施の可
否を確認し、対応が難しい場合には、当該リスクに対する対策や管理方法を協議の上、代替策を講じ
る必要がある。
なお、検査装置等に付属するシステム・機器についても同様である。
本ガイドラインにおいては、医療情報の適切な保全を目的として IoT 機器の適切な取扱いに関する
要件を定めているものであり、
「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」
1
において定める医療機器のサイバーセキュリティの対策については、「医療機器におけるサイバーセキ
ュリティの確保について」2、「医療機器のサイバーセキュリティ導入に関する手引書」3、「医療機関に
おける医療機器のサイバーセキュリティ確保のための手引書」4等を踏まえて、医療機器の製造販売業
者と必要な連携を図ることも求められる。
8.3 端末やサーバの安全な利用の管理
システム運用担当者は、医療情報システムで利用する端末やサーバ等の情報機器が安全に利用され
ていることを確認する必要がある。
安全な利用については、8.1、8.2に示す対策のほか、例えば情報機器の起動にパスワード等
の設定を行うなど、必要な措置を講じることが求められる。また製品出荷時にパスワード等が設定さ
れているものについては、必ず製品出荷時のものから変更することが重要である。サーバで利用する
ソフトウェアの管理者権限を有する ID 等においても同様である。企画管理者はこのような情報機器の
起動や初期設定に関する対応を図ることが求められる。
外部からの攻撃等のリスクを下げる方法の一つとして、不要な情報機器等を使用しない、不要な医
療情報システムの稼働は行わない、などの対応も必要である。例えば、利用されていないにもかかわ
らず、外部と接続可能な情報機器がある場合には、その情報機器等が攻撃対象となることも想定され
る。また医療機関等の業務によっては、明らかに利用する可能性がない(または低い)時間帯を含め
て医療情報システムを稼働することにより、業務で利用されない時間帯に攻撃を受けることも想定さ
1
昭和 35 年8月 10 日法律第 145 号
2
平成 27 年4月 28 日薬食機参発 0428 第1号、薬食安発 0428 第1号「医療機器におけるサイバーセ
キュリティの確保について」
3
令和5年3月 31 日薬生機審発 0331、第 11 号薬生安発 0331 第 4 号「医療機器のサイバーセキュリテ
ィ導入に関する手引書の改訂について」
4
令和5年3月 31 日医政参発 0331 第1号、薬生機審発 0331 第 16 号、薬生安発 0331 第 8 号「医療機
関における医療機器のサイバーセキュリティ確保のための手引書について」
- 23 -