よむ、つかう、まなぶ。
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)各編間相関表 (4 ページ)
出典
| 公開元URL | https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html |
| 出典情報 | 医療情報システムの安全管理に関するガイドライン 第6.0版(5/31)《厚生労働省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
3.3
安全管理対策の管理
① 医療機関等における医療情報システムの安全管理が適切に行われていることを把握するため、運
10.運用に対する点検・監査
用の点検を行うこと。技術的な対応に関しては、担当者に点検を命じ、その報告を受け、確認するこ
と。点検に際しては、各規程、手順等による運用が適切に行われていることを、「5.安全管理にお
けるエビデンス」で整備した証跡に基づいて確認し、必要があれば改善を行うこと。
② 医療情報システムの取扱いを委託している場合は、委託先事業者において医療情報システムの安
10.運用に対する点検・監査
3.3.2
全管理が適切になされていることを、委託先事業者からの報告に基づいて確認すること。医療情報シ
ステム・サービスの性格上、報告に基づく確認が難しい場合は、SLA に対する評価等の中で確認す
ること。
情報セキュリティ監
査
10.運用に対する点検・監査
③
医療情報システムの取扱いに関する点検結果を、経営層に報告し、承認を得ること。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
17.証跡のレビュー・システ
④
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
17.証跡のレビュー・システ
④
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
と。
④
②
内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措
置の改善に向けた対応を企画管理者やシステム運用担当者に指示すると -
ともに、その対応結果をフォローすること。
4.1(1) の 趣 旨 を 踏 ま え て
新設
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
と。
①
情報セキュリティインシデントの発生に備え、非常時における業務
11.非常時(災害、インシデ
継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロ 6.10C1
ー
セスを検討し、BCP 等を整備すること。
ント、サイバー攻撃被害)対
⑧
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨
非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応を行
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
うこと。
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩
や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
12.サイバー攻撃対策
「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1号
発1029 第3号
医政研発1029 第1号
医政地
平成30 年10 月29 日)に基づき、所管官庁への連絡等の必
要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
②
情報セキュリティインシデントにより、医療機関等内の医療情報シ
び監査すること。
ステムの全部又は一部に影響が生じる場合に備え、医療情報システムの
適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指
示するとともに、当該復旧手順について随時自己点検を行うよう指示し
11.非常時(災害、インシデ
6.10C2-4
ー
ント、サイバー攻撃被害)対
応とBCP策定
た上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
⑤
非常時における安全管理対策について、担当者に対策の実装と対策を踏まえた文書の整備を指示
し、確認すること。
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
3.安全管理全般(統制、設
に、バックアップからの重要なファイルの復元手順を整備すること。
計、管理等)
11.システム運用管理(通
②
医療情報システムの稼働状況などを把握するため、パフォーマン
常時・非常時等)
ス管理、死活監視などを行うこと。
③
通常時に整備していたBCP が、非常時において迅速かつ的確に実施でき
3.4.1
事 業 継 続 計 画 るよう、通常時から定期的に訓練・演習を実施し、その結果を踏まえ、 -
( BCP : Business Continuity 必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指
Plan)の整備と訓練
6.10の 趣旨 を踏 まえ て新
設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
⑦
非常時への対応状況を定期的に確認し、経営層に報告のうえ、承認を得ること。
応とBCP策定
示すること。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
び監査すること。
12.サイバー攻撃対策
④
サイバーセキュリティ対応計画を踏まえ、対応状況を確認する。技術的な対応・措置については
担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
11.システム運用管理(通
-
常時・非常時等)
できないように変更すること。
-
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
-
重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
①
医療情報システムに対する不正ソフトウェアの混入やサイバー攻撃など
によるインシデントに対して、以下の対応を行うこと。
- 攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止の
ための外部ネットワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機
18.外部からの攻撃に対す
る安全管理措置
器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
- バックアップからの重要なファイルの復元(重要なファイルは数世代
バックアップを複数の方式(追記可能な設定がなされた記録媒体と追記不能
設定がなされた記録媒体の組み合わせ、端末及びサーバ装置やネットワーク
から切り離したバックアップデータの保管等)で確保することが重要であ
る)
⑧
12.サイバー攻撃対策
11.システム運用管理(通
②
医療情報システムの稼働状況などを把握するため、パフォーマン
常時・非常時等)
ス管理、死活監視などを行うこと。
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的に経
営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実
施し、必要に応じて改善を行うこと。
12.サイバー攻撃対策
⑨
サイバーセキュリティ事象による非常時としての対応が生じた場合には、「11.非常時(災
害、サイバー攻撃、システム障害)対応とBCP策定」に示す内容を実施すること。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
び監査すること。
①
情報セキュリティインシデントの発生に備え、システム関連事業者
又は外部有識者と非常時を想定した情報共有や支援に関する取決めや体 -
制を整備するよう、企画管理者に指示すること。
3.4
6.10B(4) の 趣旨 を踏 まえ
て新設
11.非常時(災害、インシデ
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行
ント、サイバー攻撃被害)対
い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた計画を
応とBCP策定
含めること。
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
情報セキュリティ イン
分割されたネットワークを整備すること。
シデントへの対策と対応
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
①
医療情報システムに対する不正ソフトウェア混入やサイバー攻撃などに
よるインシデントに対して、以下の対応を行うこと。
- 攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止の
ための外部ネットワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機
18.外部からの攻撃に対す
る安全管理措置
器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
- バックアップからの重要なファイルの復元(重要なファイルは数世代
バックアップを複数の方式(追記可能な設定がなされた記録媒体と追記不能
設定がなされた記録媒体の組み合わせ、端末及びサーバ装置やネットワーク
から切り離したバックアップデータの保管等)で確保することが重要であ
る)
安全管理対策の管理
① 医療機関等における医療情報システムの安全管理が適切に行われていることを把握するため、運
10.運用に対する点検・監査
用の点検を行うこと。技術的な対応に関しては、担当者に点検を命じ、その報告を受け、確認するこ
と。点検に際しては、各規程、手順等による運用が適切に行われていることを、「5.安全管理にお
けるエビデンス」で整備した証跡に基づいて確認し、必要があれば改善を行うこと。
② 医療情報システムの取扱いを委託している場合は、委託先事業者において医療情報システムの安
10.運用に対する点検・監査
3.3.2
全管理が適切になされていることを、委託先事業者からの報告に基づいて確認すること。医療情報シ
ステム・サービスの性格上、報告に基づく確認が難しい場合は、SLA に対する評価等の中で確認す
ること。
情報セキュリティ監
査
10.運用に対する点検・監査
③
医療情報システムの取扱いに関する点検結果を、経営層に報告し、承認を得ること。
④
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
17.証跡のレビュー・システ
④
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
17.証跡のレビュー・システ
④
ム監査
や証跡の整理等を行い、企画管理者に報告すること。
と。
④
②
内部監査又は外部監査の結果を踏まえ、必要に応じて、安全管理措
置の改善に向けた対応を企画管理者やシステム運用担当者に指示すると -
ともに、その対応結果をフォローすること。
4.1(1) の 趣 旨 を 踏 ま え て
新設
医療情報システムの取扱いの安全管理の状況を客観的に把握するために、定期的に、医療機関等
内の企画管理者や担当者から独立した組織又は第三者による監査を実施すること。監査の実施に際し
10.運用に対する点検・監査
ては、監査方針と監査計画を策定の上、経営層の承認を得ること。また、監査結果について、経営層
に報告し、承認を得ること。監査結果における指摘事項を踏まえて、適宜管理の見直し等を図るこ
監査等を行うに際し、技術的な対応に関する監査実施計画の作成
と。
①
情報セキュリティインシデントの発生に備え、非常時における業務
11.非常時(災害、インシデ
継続の可否の判断基準や継続する業務内容の選定等に係る意思決定プロ 6.10C1
ー
セスを検討し、BCP 等を整備すること。
ント、サイバー攻撃被害)対
⑧
非常時の事象が生じた場合、安全管理の状況を適宜把握し、経営層に報告すること。
⑨
非常時の事象が生じた場合、関係者に対する説明責任等を果たすため、報告対応や広報対応を行
応とBCP策定
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
応とBCP策定
うこと。
⑥
12.サイバー攻撃対策
サイバーセキュリティ事象による非常時対応が生じた場合に情報交換等を行う関係者の情報をあ
らかじめ整理した上で、必要に応じて契約等を行うこと。(ここでいう関係者には、利用する医療情
報システム・サービスのシステム関連事業者をはじめ、報告対象となる行政機関等、その他必要に応
じて助言等の支援を求める外部有識者等が含まれる。)
⑦
サイバー攻撃を受けた(疑い含む)場合や、サイバー攻撃により障害が発生し、個人情報の漏洩
や医療サービスの提供体制に支障が生じる又はそのおそれがある事案であると判断された場合には、
12.サイバー攻撃対策
「医療機関等におけるサイバーセキュリティ対策の強化について」(医政総発1029 第1号
発1029 第3号
医政研発1029 第1号
医政地
平成30 年10 月29 日)に基づき、所管官庁への連絡等の必
要な対応を行うほか、そのために必要な体制を整備すること。また、上記に関わらず、医療情報シス
テムに障害が発生した場合も、必要に応じて所管官庁への連絡を行うこと。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
②
情報セキュリティインシデントにより、医療機関等内の医療情報シ
び監査すること。
ステムの全部又は一部に影響が生じる場合に備え、医療情報システムの
適切な復旧手順を検討するよう、企画管理者やシステム運用担当者に指
示するとともに、当該復旧手順について随時自己点検を行うよう指示し
11.非常時(災害、インシデ
6.10C2-4
ー
ント、サイバー攻撃被害)対
応とBCP策定
た上で、その結果報告を受け、必要に応じて、改善に向けた対応を指示
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
⑤
非常時における安全管理対策について、担当者に対策の実装と対策を踏まえた文書の整備を指示
し、確認すること。
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
分割されたネットワークを整備すること。
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
3.安全管理全般(統制、設
に、バックアップからの重要なファイルの復元手順を整備すること。
計、管理等)
11.システム運用管理(通
②
医療情報システムの稼働状況などを把握するため、パフォーマン
常時・非常時等)
ス管理、死活監視などを行うこと。
③
通常時に整備していたBCP が、非常時において迅速かつ的確に実施でき
3.4.1
事 業 継 続 計 画 るよう、通常時から定期的に訓練・演習を実施し、その結果を踏まえ、 -
( BCP : Business Continuity 必要に応じて改善に向けた対応を企画管理者やシステム運用担当者に指
Plan)の整備と訓練
6.10の 趣旨 を踏 まえ て新
設
11.非常時(災害、インシデ
ント、サイバー攻撃被害)対
⑦
非常時への対応状況を定期的に確認し、経営層に報告のうえ、承認を得ること。
応とBCP策定
示すること。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
-
「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
-
非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
び監査すること。
12.サイバー攻撃対策
④
サイバーセキュリティ対応計画を踏まえ、対応状況を確認する。技術的な対応・措置については
担当者に対応計画を踏まえた文書の整備を指示し、対応状況を確認すること。
11.システム運用管理(通
-
常時・非常時等)
できないように変更すること。
-
非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
-
重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
①
医療情報システムに対する不正ソフトウェアの混入やサイバー攻撃など
によるインシデントに対して、以下の対応を行うこと。
- 攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止の
ための外部ネットワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機
18.外部からの攻撃に対す
る安全管理措置
器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
- バックアップからの重要なファイルの復元(重要なファイルは数世代
バックアップを複数の方式(追記可能な設定がなされた記録媒体と追記不能
設定がなされた記録媒体の組み合わせ、端末及びサーバ装置やネットワーク
から切り離したバックアップデータの保管等)で確保することが重要であ
る)
⑧
12.サイバー攻撃対策
11.システム運用管理(通
②
医療情報システムの稼働状況などを把握するため、パフォーマン
常時・非常時等)
ス管理、死活監視などを行うこと。
サイバーセキュリティ事象による非常時対応が生じた場合には、その状況について、定期的に経
営層に報告すること。また、当該事象を踏まえ、サイバーセキュリティ対応計画の検証・見直しを実
施し、必要に応じて改善を行うこと。
12.サイバー攻撃対策
⑨
サイバーセキュリティ事象による非常時としての対応が生じた場合には、「11.非常時(災
害、サイバー攻撃、システム障害)対応とBCP策定」に示す内容を実施すること。
①
非常時の医療情報システムの運用について、次に掲げる対策を実施する
こと。
- 「非常時のユーザアカウントや非常時用機能」の手順を整備すること。
- 非常時機能が通常時に不適切に利用されることがないようにするととも
に、もし使用された場合に使用されたことが検知できるよう、適切に管理及
び監査すること。
①
情報セキュリティインシデントの発生に備え、システム関連事業者
又は外部有識者と非常時を想定した情報共有や支援に関する取決めや体 -
制を整備するよう、企画管理者に指示すること。
3.4
6.10B(4) の 趣旨 を踏 まえ
て新設
11.非常時(災害、インシデ
①
医療情報システムの安全管理に関して、非常時における対応方針と対応手順・内容の整理を行
ント、サイバー攻撃被害)対
い、経営層の承認を得ること。対応方針には、非常時の定義のほか、通常時への復旧に向けた計画を
応とBCP策定
含めること。
- 非常時用ユーザアカウントが使用された場合、正常復帰後は継続使用が
11.システム運用管理(通
できないように変更すること。
常時・非常時等)
- 医療情報システムに不正ソフトウェアが混入した場合に備えて、関係先
への連絡手段や紙での運用等の代替手段を準備すること。
- サイバー攻撃による被害拡大の防止の観点から、論理的/物理的に構成
情報セキュリティ イン
分割されたネットワークを整備すること。
シデントへの対策と対応
- 重要なファイルは数世代バックアップを複数の方式で確保し、その一部
は不正ソフトウェアの混入による影響が波及しない手段で管理するととも
に、バックアップからの重要なファイルの復元手順を整備すること。
①
医療情報システムに対する不正ソフトウェア混入やサイバー攻撃などに
よるインシデントに対して、以下の対応を行うこと。
- 攻撃を受けたサーバ等の遮断や他の医療機関等への影響の波及の防止の
ための外部ネットワークの一時切断
- 他の情報機器への混入拡大の防止や情報漏洩の抑止のための当該混入機
18.外部からの攻撃に対す
る安全管理措置
器の隔離
- 他の情報機器への波及の調査等被害の確認のための業務システムの停止
- バックアップからの重要なファイルの復元(重要なファイルは数世代
バックアップを複数の方式(追記可能な設定がなされた記録媒体と追記不能
設定がなされた記録媒体の組み合わせ、端末及びサーバ装置やネットワーク
から切り離したバックアップデータの保管等)で確保することが重要であ
る)