よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)各編間相関表 (2 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
【善後策を講ずる責任】
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
②
情報セキュリティインシデントが生じた場合、その原因を踏まえた
再発防止策を講じること。
①
-
医療情報システムの安全管理について、システム関連事業者に委託
する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に行う -
こと。
5.2 版 4.1B(2) ② の 趣 旨 を
踏まえて新設
5.2 版 8.3 の 趣 旨 を 踏 ま え
て新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑩
非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告し、
承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
1.管理体系
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
⑥
a
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又はISMS 認証の取得
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウ
7.安全管理のための人的管
ド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能
理(従業者管理、委託先管
力の有無
理、教育・訓練、委託先選
・政府情報システムのためのセキュリティ評価制度(ISMAP)
定・契約)
・JASA クラウドセキュリティ推進協議会CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
h 医療情報を保存する情報機器が設置されている場所(地域、国)
i 委託先事業者に対する国外法の適用可能性
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
1.3.1
委託(第三者委託)におけ
等して遵守状況を確認すること。
る責任
1.3
委託における責任
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
定・契約)
となどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
-
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を受託した医療情報を分析等の目的で取り扱わない
こと。
-
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を受託した医療情報の分析等は正当な目的の場合に限り許可されること。
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切な利用権限や閲覧の範囲を設定し、情報漏洩や、誤った閲
覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こら
ないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
⑧
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
7.安全管理のための人的管
理(従業者管理、委託先管
⑨
委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容について
理、教育・訓練、委託先選
あらかじめ契約により取り決めておくこと。
定・契約)
①
1.3.2
業務等を委託する場合には、委託する業務等の内容及び責任範囲並
委託(第三者委託)におけ びに役割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、 6.11C6
る責任分界
書面等により可視化し、適切に契約等の取決めを実施し、保管するこ 10C1(7)
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
5.2版4.2の趣旨を加味
1.管理体系
事業者が再委託を用いる場合も同様の対応をすること。
と。
①
医療情報を第三者提供する場合、法令等を遵守し、手続き等の記録
等を適切に管理する体制を整備すること。
1.4
-
5.2版4.2.2の趣旨を踏まえ
て新設
第三者提供おける責任
②
医療情報を第三者提供する場合、医療機関等と第三者それぞれが負
う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよう、書 -
面等により可視化し、適切に管理すること。
①
取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を
策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決定す 6.2C4
ること。
②
リスク分析を踏まえたリスク管理が必要な場面の整理、対策として
求められる体制、並びにルール等の企画、整備及び管理について、企画 6.2C4
管理者に指示すること。
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
5.2版4.2.2の趣旨を踏まえ
て新設
リスク分析を踏まえた対
応について新設
リスク分析を踏まえた対
応について新設
①
2.責任分界
医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
ンスの考え方
備について必要な対応を行うこと。
2.責任分界
⑥
り決めること。
①
6.リスクマネジメント
第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分担を含めて取
⑤
3.責任分界
第三者提供を行う際の責任分界について、企画管理者と協議の上で、医
療機関等のリスク評価に従った範囲で、技術的な対応に関する責任分界の範
囲を検討し、企画管理者に報告すること。
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を経営
層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して必要な措置
を講じること。
6.リスクマネジメント
②
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上の重
要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
①
6.リスクマネジメント
③
医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて速や
かに確認できる状態で管理すること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
6.リスクマネジメント
④
安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連する
情報の安全管理上の重要度を分類すること。
①
6.リスクマネジメント
⑤
②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
11.非常時(災害、インシデ
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行
ント、サイバー攻撃被害)対
い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた計画を
応とBCP策定
含めること。
2.システム設計・運用に必
⑤
要な規程類と文書体系
し、企画管理者の承認を得ること。
①
非常時や情報セキュリティインシデントが生じた場合の手順等を作成
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
2.1
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
医療情報システムにおける
び監査すること。
リスク評価の実施
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
2.リスク評価を踏まえた管理
に、バックアップからの重要なファイルの復元手順を整備すること。
6.安全管理を実現する
ための技術的対策の体系
①
システム運用担当者は、医療情
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
②
情報セキュリティインシデントが生じた場合、その原因を踏まえた
再発防止策を講じること。
①
-
医療情報システムの安全管理について、システム関連事業者に委託
する場合は、法令等を遵守し、委託先事業者の選定や管理を適切に行う -
こと。
5.2 版 4.1B(2) ② の 趣 旨 を
踏まえて新設
5.2 版 8.3 の 趣 旨 を 踏 ま え
て新設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
⑩
非常時の事象発生に伴い対応した内容について、事後検証を行い、その内容を経営層に報告し、
承認を得ること。その検証結果や評価を、適宜、非常時の対応手順等に反映させること。
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
1.管理体系
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
事業者が再委託を用いる場合も同様の対応をすること。
⑥
a
外部保存の委託先事業者を選定する際は、少なくとも次に掲げる事項について確認すること。
医療情報等の安全管理に係る基本方針・取扱規程等の整備状況
b 医療情報等の安全管理に係る実施体制の整備状況
c 不正ソフトウェア等のサイバー攻撃による被害を防止するために必要なバックアップの取得
及び管理の状況
d 実績等に基づく個人データ安全管理に関する信用度
e 財務諸表等に基づく経営の健全性
f
プライバシーマーク認定又はISMS 認証の取得
g 「政府情報システムにおけるクラウドサービスの利用に係る基本方針」の「セキュリティクラウ
7.安全管理のための人的管
ド認証等」に示す下記のいずれかの認証等により、適切な外部保存に求められる技術及び運用管理能
理(従業者管理、委託先管
力の有無
理、教育・訓練、委託先選
・政府情報システムのためのセキュリティ評価制度(ISMAP)
定・契約)
・JASA クラウドセキュリティ推進協議会CS ゴールドマーク
・米国 FedRAMP
・AICPA SOC2(日本公認会計士協会 IT7 号)
・AICPA SOC3(SysTrust/WebTrust)(日本公認会計士協会 IT2 号)
上記認証等が確認できない場合、下記のいずれかの資格を有する者による外部監査結果
により、上記と同等の能力の有無を確認すること
・システム監査技術者
・Certified Information Systems Auditor ISACA 認定
h 医療情報を保存する情報機器が設置されている場所(地域、国)
i 委託先事業者に対する国外法の適用可能性
⑤ 外部の事業者との契約に基づいて医療情報を外部保存する場合、以下の対応を行うこと。重要度
の高い委託の場合は、経営層に丁寧に報告し、承認を得ること。
- 保存した医療情報の取扱いに関して監督できるようにするため、外部保存の委託先事業者及びそ
の管理者、電子保存作業従事者等に対する守秘義務に関連する事項やその事項に違反した場合のペナ
ルティを契約書等で定めること。
- 医療機関等と外部保存の委託先事業者を結ぶネットワークインフラに関しては、委託先事業者に
も本ガイドラインを遵守させること。
- 総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供事業者におけ
る安全管理ガイドライン」を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける
1.3.1
委託(第三者委託)におけ
等して遵守状況を確認すること。
る責任
1.3
委託における責任
7.安全管理のための人的管
- 外部保存の委託先事業者の選定に当たっては、システム関連事業者の情報セキュリティ対策状況
理(従業者管理、委託先管
を示した資料を確認すること。(例えば、「医療情報を取り扱う情報システム・サービスの提供事業
理、教育・訓練、委託先選
者における安全管理ガイドライン」における「サービス仕様適合開示書」の提供を求めて確認するこ
定・契約)
となどが挙げられる。)
- 外部保存の委託先事業者に、契約書等で合意した保守作業に必要な情報以外の情報を閲覧させな
いこと。
-
保存した情報(Cookie、匿名加工情報等、個人を特定しない情報を含む。本項において以下同
じ。)を独断で分析、解析等を実施してはならないことを契約書等に明記し、外部保存の委託先事業
者に遵守させること。
- 保存した情報を外部保存の委託先事業者が独自に提供しないよう、契約書等で情報提供のルール
について定めること。外部保存の委託先事業者に情報の提供に係るアクセス権を設定する場合は、適
切な権限を設定させ、情報漏洩や、誤った閲覧(異なる患者の情報を見せてしまう又は患者に見せて
はいけない情報が見えてしまう等)が起こらないよう求めること。
-
保存された情報を格納する情報機器等が、国内法の適用を受けることを確認すること。
-
⑦
医療情報の外部保存の委託先事業者との契約には、以下の内容を含めること。
- 委託元の医療機関等、患者等の許可なく保存を受託した医療情報を分析等の目的で取り扱わない
こと。
-
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
保存を受託した医療情報の分析等は正当な目的の場合に限り許可されること。
- 匿名化した情報であっても、匿名化の妥当性の検証を行う、及び院内掲示等を使って取扱いをし
ている事実を患者等に知らせるなどして、個人情報保護に配慮した上で取り扱うこと。
- 保存を委託する医療機関等に患者がアクセスし、自らの記録を閲覧できるような仕組みを提供す
る場合は、外部保存の委託先事業者に適切な利用権限や閲覧の範囲を設定し、情報漏洩や、誤った閲
覧(異なる患者の情報を見せてしまう又は患者に見せてはいけない情報が見えてしまう等)が起こら
ないように配慮すること。
- 情報の提供は、原則、患者が受診している医療機関等と患者との間での同意に基づいて実施する
こと。
7.安全管理のための人的管
理(従業者管理、委託先管
理、教育・訓練、委託先選
定・契約)
⑧
委託先事業者が契約に基づいて必要な対応を行っていることを定期的に確認するため、委託先事
業者に報告を求めること。当該報告の結果、改善が必要である場合にはその旨を求めること。また委
託先事業者からの報告内容については、経営層に報告し、承認を得ること。
7.安全管理のための人的管
理(従業者管理、委託先管
⑨
委託契約終了に際し、医療情報の返却とその方法など、委託先事業者が行うべき内容について
理、教育・訓練、委託先選
あらかじめ契約により取り決めておくこと。
定・契約)
①
1.3.2
業務等を委託する場合には、委託する業務等の内容及び責任範囲並
委託(第三者委託)におけ びに役割分担等の責任分界を明確にし、認識の齟齬等が生じないよう、 6.11C6
る責任分界
書面等により可視化し、適切に契約等の取決めを実施し、保管するこ 10C1(7)
② 委託先の医療情報システム・サービス事業者(以下「委託先事業者」という。)等に対しても①
5.2版4.2の趣旨を加味
1.管理体系
事業者が再委託を用いる場合も同様の対応をすること。
と。
①
医療情報を第三者提供する場合、法令等を遵守し、手続き等の記録
等を適切に管理する体制を整備すること。
1.4
-
5.2版4.2.2の趣旨を踏まえ
て新設
第三者提供おける責任
②
医療情報を第三者提供する場合、医療機関等と第三者それぞれが負
う責任の範囲をあらかじめ明確にし、認識の齟齬等が生じないよう、書 -
面等により可視化し、適切に管理すること。
①
取り扱う医療情報に応じたリスク分析・評価を踏まえ、対応方針を
策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決定す 6.2C4
ること。
②
リスク分析を踏まえたリスク管理が必要な場面の整理、対策として
求められる体制、並びにルール等の企画、整備及び管理について、企画 6.2C4
管理者に指示すること。
に関して必要な措置を講じるよう契約において求め、その対応状況を定期的に把握すること。委託先
5.2版4.2.2の趣旨を踏まえ
て新設
リスク分析を踏まえた対
応について新設
リスク分析を踏まえた対
応について新設
①
2.責任分界
医療機関等において生じる責任の内容を踏まえて、委託先事業者その他の関係者との間で責任分
界に関する取決めを行うこと。また、重要な委託等に関する責任分界については、取決めに当たり、
事前に経営層の承認を得ること。
5.安全管理におけるエビデ
① 医療情報システムの安全管理の状況を把握するために必要な証跡について整理し、当該証跡の整
ンスの考え方
備について必要な対応を行うこと。
2.責任分界
⑥
り決めること。
①
6.リスクマネジメント
第三者提供を行う際の責任分界については、技術的な内容と手続的な部分の役割分担を含めて取
⑤
3.責任分界
第三者提供を行う際の責任分界について、企画管理者と協議の上で、医
療機関等のリスク評価に従った範囲で、技術的な対応に関する責任分界の範
囲を検討し、企画管理者に報告すること。
医療機関等内でリスクマネジメントが適切に実施されているかどうかを管理し、その状況を経営
層に報告すること。また、リスクマネジメントに不備がある場合には、改善策を検討して必要な措置
を講じること。
6.リスクマネジメント
②
医療情報システムで取り扱う医療情報及び関連する情報を全てリストアップし、安全管理上の重
要度に応じて分類し、常に最新の状態が維持されていることを確認すること。
①
6.リスクマネジメント
③
医療情報システムで取り扱う情報及び関連する情報に関するリストを作成し、必要に応じて速や
かに確認できる状態で管理すること。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
6.リスクマネジメント
④
安全性が損なわれた場合の影響の大きさに応じて医療情報システムで取り扱う情報及び関連する
情報の安全管理上の重要度を分類すること。
①
6.リスクマネジメント
⑤
②~④を踏まえて、リスク分析やリスク評価を、担当者と協働して行うこと。
企画管理者の指示に基づき、医療機関等で取り扱う情報を適切に管理す
4.リスクアセスメントを踏ま
るための手順等を作成し、運用すること。その際、情報種別による重要度を
えた安全対策の設計
踏まえるほか、患者情報については、患者ごとに識別できるような措置を講
じること。
11.非常時(災害、インシデ
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行
ント、サイバー攻撃被害)対
い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた計画を
応とBCP策定
含めること。
2.システム設計・運用に必
⑤
要な規程類と文書体系
し、企画管理者の承認を得ること。
①
非常時や情報セキュリティインシデントが生じた場合の手順等を作成
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
2.1
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
医療情報システムにおける
び監査すること。
リスク評価の実施
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
2.リスク評価を踏まえた管理
に、バックアップからの重要なファイルの復元手順を整備すること。
6.安全管理を実現する
ための技術的対策の体系
①
システム運用担当者は、医療情