７．情報管理（管理・持出し・破棄等）
シス７章第⑬条
シＱ－14 「利用者による外部からのアクセスを許可する場合は、盗聴、なりすまし防
止及びアクセス管理を実現した VPN 技術により安全性を確保した上で、仮想デスクトッ
プ等を利用する運用の要件を設定すること。」とあるが、どのような留意事項があるか。
Ａ

利用者による外部からのアクセスで問題になることは、利用するＰＣや通信経路等の
状態、及び周囲から盗み見されるおそれがある等、職員の作業環境が管理できないこと
などが挙げられます。例えば、ＰＣにキーボードロガーのような不正ソフトウェアがイ
ンストールされているリスクや、空港や喫茶店等でアクセスすれば周囲の人に覗かれる
リスクがあります。
仮想デスクトップは、不正ソフトウェアの作用を避け、ＰＣ上に情報が残留すること
を防ぐ目的で使用されます。また、通信経路の安全性を確保するため、ＶＰＮの成立と連
動して稼働することが望まれます。運用としては、周囲の環境に十分注意して盗み見を
防止するとともに、過去のログイン時間の確認を確実に行うこと等を通じて、不正アク
セスの検出に努める必要があります。また、不正アクセス等のリスクを回避するために、
VPN 接続時には仮想デスクトップ以外のアプリケーションが起動できないようにする
など、VPN 接続と仮想デスクトップとの連携についても留意することが望ましいです。

シス７章第②条
シＱ－15 医療情報システム・サービス事業者がやむを得ず個人情報を含むデータを医
療機関等外に持ち出さなければならない場合はどのような対応をすべきか。
A 例えば、保守に際して医療情報システム・サービス事業者がやむを得ず個人情報を含
むデータを医療機関等外に持ち出さなければならない場合、詳細な持出に関する記録や作
業記録を残すよう求めてください。また、必要に応じて、医療機関等の監査に応じるよう
求めてください。

シス７章第③条
シＱ－16 情報機器の持ち出し又は外部利用をする場合どのような対策をすべきか。
A

ノートパソコン、スマートフォン、タブレット等を持ち出して使用する場合、次に掲げ
る対策を実施してください。
紛失、盗難の可能性を十分考慮し、可能な限り端末内に医療情報を置かない
でください。やむを得ず医療情報が端末内に存在する場合や、当該端末を利用すれば容易
に医療情報にアクセスできる場合は、一定回数パスワード入力を誤った場合に端末を初期
化する等の対策を行ってください。

78