厚生労働省の「医療情報システムの安全管理に関するガイドライン第5.2版」について、その概要を把握してみます。
「医療情報システムの安全管理に関するガイドライン第5.2版」のメインコンテンツである6章の概要を把握してみます。
各章の把握
6章 医療情報システムの基本的な安全管理
・医療情報システムの安全管理は、個人情報保護関連各法に規定された安全管理・確保 に関する条文によって法的な責務として求められている
6.1章 方針の制定と公表
・個人情報保護に関する方針を策定し、公開すること(C)
・以下を含む医療情報システムの安全管理に関する方針を策定すること(C)
・理念
・システムで扱う情報の範囲
・情報の取扱い、保存方法、期間
・不要・不法なアクセス防止のための利用者識別方法
・医療情報システム安全管理責任者
・苦情・質問の窓口
6.2章 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践
・以下が有用・参考になる
・ISO/IEC 27001:2013 (JIS Q 27001:2014)
・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(総務省・経済産業省 令和2年8月21日)の「サービス仕様適合開示書」
・製造業者/サービス事業者による医療情報セキュリティ開示書ガイド(保険医療福祉情報システム工業会)のチェックリスト
・システムで扱う情報を全てリストアップすること①(C)
・①を安全管理上の重要度に応じて分類して最新の状態を維持(C)
・①は医療情報システム安全管理責任者が速やかに確認できる状態で管理(C)
・①に対してリスク分析を実施すること(C)
・医療情報システムベンダ及びサービス事業者から技術的対策等の情報を収集すること(C)
・医療情報システムに関する全体構成図及びシステム責任者一覧を作成し最新の状態を維持(C)
・リスクに対して6.3~6.12章の対策を実施すること(C)
6.3章 組織的安全管理対策
・以下を含む
・組織体制の整備
・規定等の整備と規定等に従った運用
・医療情報の取扱い台帳の整備
・安全管理対策の評価、見直し及び改善
・情報や端末の外部持ち出しに関する規則等の整備
・外部から医療機関等のシステムにリモートアクセスする場合は、その端末等の管理規定
・事故又は違反への対処
・医療情報システム安全管理責任者を設置、運用担当者を限定すること(C)
・個人情報が参照可能な場所は来訪者の記録・識別、入退管理を定める(C)
・システムへのアクセス制限、記録、点検等を定めたアクセス管理規定を作成すること(C)
・個人情報の取扱いを委託する場合、委託契約において安全管理に関する条項を含むこと(C)
・運用管理規定等において以下の内容を定める(C)
・医療機関等の体制
・契約書・マニュアル等の文書の管理方法
・リスクに対する予防措置、発生時の対応方法
・機器の管理方法
・個人情報の記録媒体の管理方法
・患者等への説明と同意を得る方法
・監査
・苦情・質問の受付窓口
6.4章 物理的安全対策
・個人情報が保存されている機器の設置場所及び記録媒体の保存場所には施錠する(C)
・個人情報を入力・参照できる端末が設置されている区画は許可された者以外立ち入ることができないように対策すること(C)
・個人情報が保存されている機器が設置されている区画への入退管理を実施すること(C)
・個人情報が保存されている機器に盗難防止用チェーン等を設置すること(C)
・個人情報が入力・参照できる端末の覗き見防止対策を実施すること(C)
6.5章 技術的安全対策
・システムへのアクセスにおける利用者の識別・認証を行うこと(C)
・IDとパスワードを用いる場合、本人しか知り得ない状態に保つ対策を実施すること(C)
・ICカード等のセキュリティ・デバイスを用いる場合、利用できない時を想定し、緊急時の代替手段による一時的なアクセスルールを用意すること(C)
・個人情報を入力・参照できる端末はクリアスクリーン等の対策を実施させること(C)
・個人情報を含むデータを使用するときは、漏えい等に十分留意すること(C)
・利用者の職種・担当業務ごとにアクセス管理を行うこと(C)
・人事異動等による担当業務の変更等に合わせて、アクセス権限の変更を行うことを運用管理規定で定めること(C)
・ログイン時刻、アクセス時間、操作した医療情報を特定できるアクセスログを記録して、定期的にログを確認すること(C)
・アクセスログの不当な削除/改ざん/追加等を防止する対策を実施すること(C)
・アクセスログの時刻情報は医療機関等の内部で同期させるとともに、標準時刻と定期的に一致させること(C)
・システム構築時、適切に管理されていない記録媒体の使用時、外部からの情報受領時には、不正なソフトウェアが混在していないか確認すること(C)
・常時不正なソフトウェアの混入を防ぐ措置を取り、その対策の有効性・安全性の確認・パターンファイル更新の確認・維持を行うこと(C)
・メールやファイル交換にあたっては実行プログラムが含まれるデータやファイルの送受信禁止、実行停止、無害化処理を行うこと(C)
・令和9年度時点で稼働していることが想定されるシステムを新規導入又は更新の際、二要素認証またはこれに相当する対応を行うこと(C)
・パスワードを利用者認証に使用する場合の対策(C)
・パスワードを不可逆変換による暗号化した状態で管理・運用する
・ICカード等ほかの手段を併用した場合はシステムに応じたパスワードの運用方法を運用管理規定に定める
・システムの運用担当者がパスワードを変更する場合は、利用者の本人確認を行い、本人確認手法と確認を行った書類等のコピーを添付して台帳に記載する
・システムの運用担当者であっても、利用者のパスワードを推定できないようにする
・パスワード要件
a. 英数字、記号を混在させた13文字以上の推定困難な文字列
b. 英数字、記号を混在させた8文字以上の推定困難な文字列で最長でも2か月以内に変更させる
c. 二要素以上の認証の場合、英数字、記号を混在させた8文字以上の推定困難な文字列
・利用者の氏名・生年月日・辞書に記載されている単語等を含む類推されやすいパスワードを使用させない、類似のパスワードを繰り返し使用させない
・無線LANを利用する場合、以下の対策を実施すること(C)
・ANY接続拒否等の対策を実施する
・少なくともMACアドレスによるアクセス制限を実施する
・WPA2-AES、WPA2-TKIP等により通信を暗号化する
・電波を発する機器による電波干渉に留意する
・IoT機器を利用する場合、以下の対策を実施すること(C)
・製造販売業者から提供を受けた当該医療機器のサイバーセキュリティに関する情報を基にリスク分析を行い、運用管理規定を定める
・ウェアラブル端末や在宅設置のIoT機器を患者等に貸し出す際は、事前にリスクと留意すべきとについて患者等へ説明し、同意を得ること
・セキュリティ上重要なアップデートを適切に実施する方法や代替措置を講じる方法を検討し、運用する
・使用が終了した又は不具合のために使用を停止したIoT機器の対策を実施すること
6.6章 人的安全対策
・従業者に対する人的安全管理措置(C)
・雇用契約に守秘・非開示に関する条項を含める
・個人情報の安全管理に関する教育訓練を定期的に実施する
・退職後の個人情報保護規定を定める
・事務取扱受託業者の監督及び守秘義務契約(C)
・事業者に対する罰則を定めた就業規則等で裏付けられた包括的な守秘契約を締結する
・医療情報システムに直接アクセスする作業の際には、作業者、作業内容及び作業結果を確認する
・医療情報システムに直接アクセスしない作業の場合でも、作業結果を定期的に確認する
・事業者が再委託を行うか否かを明確にする
・やむを得ない事情で受託する事業者の保守要員が医療情報にアクセスする場合は、罰則のある就業規則等で裏付けられた守秘契約等の秘密保持の対策を行う
6.7章以降は今後記載していきます。