<4D F736F F D204A F DB91B682AA8B6096B AF82E782EA82BD906697C3985E939982CC93648E7195DB91B6834B E C5816A81408DC58F498CB488C42E646F63>

Transcription

1 JAHIS 標 準 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン ( 第 2 版 ) 2009 年 10 月 保 健 医 療 福 祉 情 報 システム 工 業 会 セキュリティ 委 員 会

2

3 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン ま え が き 法 令 に 保 存 義 務 が 規 定 されている 診 療 録 及 び 診 療 諸 記 録 の 電 子 媒 体 による 保 存 に 関 す るガイドライン ( 平 成 11 年 4 月 22 日 付 け 健 政 発 第 517 号 医 薬 発 第 587 号 保 発 第 82 号 厚 生 省 健 康 政 策 局 長 医 薬 安 全 局 長 保 険 局 長 連 名 通 知 に 添 付 )により それま で 紙 でしか 保 存 が 許 されなかった 法 令 に 保 存 義 務 が 規 定 されている 診 療 録 及 び 診 療 諸 記 録 の 大 半 を 電 子 的 に 保 存 できることとなった その 後 診 療 録 等 の 外 部 保 存 に 関 するガ イドライン ( 平 成 14 年 5 月 31 日 付 け 医 政 発 第 号 厚 生 労 働 省 医 政 局 長 通 知 ) により 外 部 保 存 が 可 能 になった そして 2005 年 3 月 31 日 通 知 民 間 事 業 者 等 が 行 う 書 面 の 保 存 等 における 情 報 通 信 の 技 術 の 利 用 に 関 する 法 律 等 の 施 行 等 について ならびに 2005 年 3 月 31 日 通 知 診 療 録 等 の 保 存 を 行 う 場 所 について の 一 部 改 正 について を 受 け て 2005 年 3 月 に 厚 生 労 働 省 より 医 療 情 報 システムの 安 全 管 理 に 関 するガイドライン として 個 人 情 報 保 護 電 子 保 存 外 部 保 存 e 文 書 法 対 応 を 統 合 したガイドラインが 発 行 された 医 療 情 報 システムの 安 全 管 理 に 関 するガイドライン では B 項 の 考 え 方 に おいて 最 新 の 技 術 動 向 を 配 慮 した 詳 しい 説 明 が 行 われているが 個 別 のベンダーが 具 体 的 に 自 社 のシステムに 実 装 するにおいては 実 際 にどのようなシステム 製 品 がその 要 件 を 満 たすのか どのような 仕 様 で 開 発 したらよいのかが 分 かりにくかった JAHIS としては 電 子 保 存 を 促 進 するためには 各 要 件 を 実 際 のシステムの 機 能 を 反 映 した 機 能 要 件 や その 機 能 を 補 完 する 内 容 を 含 む 運 用 要 件 を 整 理 した より 具 体 的 で 実 装 寄 りのガイド ラインが 必 要 と 考 え 同 ガイドラインに 対 して より 具 体 的 な 実 装 ガイドラインを 示 すべ く 取 り 組 み 2007 年 5 月 に 本 ガイドライン( 第 一 版 )をまとめた 医 療 情 報 システムの 安 全 管 理 に 関 するガイドライン は 技 術 の 進 歩 や 周 辺 環 境 の 変 化 を 受 けて 改 定 が 実 施 され 2007 年 3 月 には 第 二 版 2008 年 3 月 には 第 三 版 が 発 行 された JAHIS の 本 ガイドラインについても 継 続 検 討 を 行 うこととしていたため 医 療 情 報 シ ステムの 安 全 管 理 に 関 するガイドライン の 改 定 を 受 けて 検 討 を 実 施 同 ガイドライン 第 三 版 までの 内 容 を 反 映 し 今 般 第 二 版 として 発 行 することとなった 医 療 情 報 システムの 安 全 管 理 に 関 するガイドライン は 定 期 的 に 見 直 されることとな っているため 今 後 も 改 定 が 行 われることが 予 想 される 本 ガイドラインにおいても 必 要 に 応 じて 改 版 を 行 う 予 定 であるので 常 に 最 新 版 を 参 照 するように 留 意 されたい 本 ガイドラインが 法 令 に 保 存 義 務 が 規 定 されている 診 療 録 及 び 診 療 諸 記 録 を 扱 うシ ステムの また 関 連 する 医 療 情 報 システムの 開 発 に 多 少 とも 貢 献 できれば 幸 いである 2009 年 10 月 保 健 医 療 福 祉 情 報 システム 工 業 会 セキュリティ 委 員 会 i

4 << 告 知 事 項 >> 本 ガイドラインは 関 連 団 体 の 所 属 の 有 無 に 関 わらず ガイドラインの 引 用 を 明 示 する ことで 自 由 に 使 用 することができるものとします ただし 一 部 の 改 変 を 伴 う 場 合 は 個 々の 責 任 において 行 い 本 ガイドラインに 準 拠 する 旨 を 表 現 することは 厳 禁 するもの とします 本 ガイドラインならびに 本 ガイドラインに 基 づいたシステムの 導 入 運 用 についてあ らゆる 障 害 や 損 害 について 本 ガイドライン 作 成 者 は 何 らの 責 任 を 負 わないものとし ます ただし 関 連 団 体 所 属 の 正 規 の 資 格 者 は 本 ガイドラインについての 疑 義 を 作 成 者 に 申 し 入 れることができ 作 成 者 はこれに 誠 意 を 持 って 協 議 するものとします Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 ii

5 目 次 第 1 章 はじめに... 1 第 2 章 本 ガイドラインの 対 象 範 囲 読 み 方 医 療 情 報 システムの 安 全 管 理 に 関 するガイドラインとの 関 係 他 の JAHIS 標 準 技 術 文 書 との 関 係 本 ガイドラインの 読 み 方...4 第 3 章 略 語 集... 5 第 4 章 本 ガイドラインの 対 象 システム 及 び 対 象 情 報... 6 第 5 章 ベンダーの 責 任 のあり 方 医 療 機 関 の 責 任 とベンダーの 提 供 する 医 療 情 報 システムの 関 係 ベンダーの 責 任...7 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 医 療 機 関 における 情 報 セキュリティマネジメントシステム(ISMS)の 実 践 ISMS 構 築 の 手 順 取 扱 い 情 報 の 把 握 リスク 分 析 技 術 的 安 全 対 策 情 報 の 破 棄 情 報 システムの 改 造 と 保 守 情 報 および 情 報 機 器 の 持 ち 出 しについて 災 害 等 の 非 常 時 の 対 応 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 合 の 安 全 管 理 法 令 で 定 められた 記 名 押 印 を 電 子 署 名 で 行 うことについて...52 第 7 章 電 子 保 存 の 要 求 事 項 について 真 正 性 の 確 保 について 作 成 者 の 識 別 及 び 認 証 記 録 の 確 定 手 順 の 確 立 と 作 成 責 任 者 の 識 別 情 報 の 記 録 更 新 履 歴 の 保 存 代 行 操 作 見 読 性 の 確 保 について 情 報 の 所 在 管 理 見 読 化 手 段 の 管 理...82 iii

6 見 読 目 的 に 応 じた 応 答 時 間 とスループット システム 障 害 対 策 としての 冗 長 性 の 確 保 システム 障 害 対 策 としてのバックアップデータの 保 存 保 存 性 の 確 保 について 不 適 切 な 保 管 取 扱 いによる 情 報 の 滅 失 破 壊 の 防 止 媒 体 機 器 ソフトウェアの 整 合 性 不 備 による 復 元 不 能 の 防 止...90 第 8 章 診 療 録 及 び 診 療 諸 記 録 を 外 部 に 保 存 する 際 の 基 準 電 子 媒 体 による 外 部 保 存 をネットワークを 通 じて 行 う 場 合 電 子 保 存 の 3 基 準 の 遵 守 個 人 情 報 の 保 護...98 第 9 章 診 療 録 等 をスキャナ 等 により 電 子 化 して 保 存 する 場 合 について 共 通 の 要 件 診 療 等 の 都 度 スキャナ 等 で 電 子 化 して 保 存 する 場 合 付 録 1: 参 考 文 書 ヘルスケア PKI 関 連 文 書 タイムスタンプ 及 び 長 期 保 存 に 関 する 標 準 やガイドライン 付 録 2: 作 成 者 名 簿 iv

7 第 1 章 はじめに 第 1 章 はじめに 2005 年 3 月 に 厚 生 労 働 省 から 法 令 に 保 存 義 務 が 規 定 されている 診 療 録 及 び 診 療 諸 記 録 の 電 子 保 存 に 係 るガイドラインとして 医 療 情 報 システムの 安 全 管 理 に 関 するガイ ドライン ( 以 下 安 全 管 理 のガイドライン と 記 載 )が 発 行 された このガイドライ ンは 従 来 のガイドラインと 比 較 して 理 解 のしやすさを 考 慮 して 現 状 で 選 択 可 能 な 技 術 にも 具 体 的 に 言 及 するなど 細 かな 点 にも 踏 み 込 んだ 内 容 となっている しかしながら 実 際 に 医 療 施 設 にシステムを 導 入 するベンダーの 立 場 から 見 た 場 合 一 部 の 内 容 について はより 具 体 的 な 基 準 を 示 す 必 要 がある 状 況 である このような 状 況 に 対 し 本 ガイドラインでは JAHIS の 立 場 から 現 在 のセキュリティ 技 術 水 準 を 前 提 にネットワークによって 外 部 と 接 続 されたシステム 環 境 のセキュリティ 保 護 に 関 して 安 全 管 理 のガイドライン から 法 令 に 保 存 義 務 が 規 定 されている 診 療 録 及 び 診 療 諸 記 録 に 関 する 要 件 を 技 術 的 な 対 策 と 運 用 的 な 対 策 に 分 けてより 細 かく 示 すこ ととした その 上 で 技 術 的 にどの 範 囲 まで 担 保 することが 望 ましいか また 技 術 的 に 対 応 しにくい 要 件 を 運 用 でどのように 担 保 することが 期 待 されるか を 具 体 的 に 示 すこと により 診 療 録 等 の 電 子 保 存 およびネットワークを 介 した 送 受 信 を 適 切 に 行 うための 基 準 を 示 すことも 目 的 とした 本 ガイドラインは JAHIS 会 員 各 社 の 意 見 を 集 約 し JAHIS 標 準 の 一 つとして 発 行 したものである 従 って 会 員 各 社 がシステムの 開 発 更 新 に 当 たって 本 ガイドライ ンに 基 づいた 開 発 改 良 を 行 い 本 ガイドラインに 準 拠 していることをその 製 品 のカタロ グ 仕 様 書 等 に 示 し さらにその 製 品 のユーザに 運 用 で 担 保 すべきことを 説 明 する 場 合 な どに 使 われることを 期 待 している また 本 ガイドラインを 診 療 録 及 び 診 療 諸 記 録 の 電 子 保 存 機 能 を 持 つシステムを 導 入 し ようとしている 施 設 が 参 照 し 利 用 することは 歓 迎 するところであるが 当 該 システムが 厚 生 省 通 知 に 合 致 しているか 否 かの 判 断 は 自 己 責 任 の 下 で 自 ら 判 断 する 必 要 があることを ご 留 意 頂 きたい なお 本 ガイドラインで 扱 うセキュリティ 要 件 は 社 会 状 況 にあわせて 常 に 変 化 するも のであり 利 用 いただく 時 点 で 必 ずしも 適 当 ではない 内 容 である 可 能 性 もある 我 々とし ても 継 続 的 に 検 討 を 重 ねてゆく 所 存 であるが 本 ガイドラインの 利 用 者 はその 点 もご 留 意 頂 くとともに お 気 づきの 点 をフィードバックして 頂 けると 幸 いである 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 1 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 月 10 月

8 第 2 章 本 ガイドラインの 対 象 範 囲 読 み 方 第 2 章 本 ガイドラインの 対 象 範 囲 読 み 方 2.1. 医 療 情 報 システムの 安 全 管 理 に 関 するガイドラインとの 関 係 本 ガイドラインは 安 全 管 理 のガイドライン で 示 されている 三 つのガイドライン( 個 人 情 報 保 護 電 子 保 存 外 部 保 存 )のうち 電 子 保 存 と 外 部 保 存 のガイドラインについて ベンダーの 視 点 からより 詳 細 な 解 説 を 行 った 方 が 良 いと 思 われる 箇 所 について 技 術 的 な 対 策 と 運 用 的 な 対 策 に 分 けて 基 準 を 示 し 解 説 を 行 ったものである 今 回 対 象 今 回 対 象 今 回 対 象 外 外 部 保 存 のガイドライン 電 子 保 存 のガイドライン 個 人 情 報 保 護 のためのガイドライン 個 人 情 報 を 扱 う システム ( 医 事 システムや 検 体 検 査 システムなどを 含 む 殆 どの 医 療 情 報 シス テム) 保 存 が 義 務 付 け られた 記 録 を 扱 うシステム ( 電 子 カルテシステム 等 ) 保 存 が 義 務 付 けら れた 記 録 を 扱 うシ ステムで 外 部 保 存 をする 場 合 ( 電 子 カルテシステム 等 ) なお 本 ガイドラインで 詳 細 基 準 を 定 めた 箇 所 は 安 全 管 理 のガイドライン の 中 で 主 に 技 術 的 基 準 を 定 めた 部 分 であり 安 全 管 理 のガイドライン と 本 ガイドラインとの 対 応 する 章 節 は 以 下 の 通 りである 安 全 管 理 のガイドライン 本 ガイドライン 3 章 ガイドラインの 対 象 システム 及 び 対 象 情 報 6.2. 医 療 機 関 における 情 報 セキュリティマ ネジメントシステム(ISMS)の 実 践 6.5 技 術 的 安 全 対 策 6.7 情 報 の 破 棄 第 4 章 本 ガイドラインの 対 象 システム 及 び 対 象 情 報 6.1. 医 療 機 関 における 情 報 セキュリティマネ ジメントシステム(ISMS)の 実 践 6.2. 技 術 的 安 全 対 策 6.3. 情 報 の 破 棄 2 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

9 第 2 章 本 ガイドラインの 対 象 範 囲 読 み 方 安 全 管 理 のガイドライン 本 ガイドライン 情 報 システムの 改 造 と 保 守 情 報 システムの 改 造 と 保 守 6.9. 情 報 および 情 報 機 器 の 持 ち 出 しについ 6.5. 情 報 および 情 報 機 器 の 持 ち 出 しについて て 災 害 等 の 非 常 時 の 対 応 6.6. 災 害 等 の 非 常 時 の 対 応 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 場 合 の 安 全 管 理 合 の 安 全 管 理 法 令 で 定 められた 記 名 押 印 を 電 子 署 名 で 法 令 で 定 められた 記 名 押 印 を 電 子 署 名 で 行 行 うことについて うことについて 真 正 性 の 確 保 について 真 正 性 の 確 保 について 見 読 性 の 確 保 について 見 読 性 の 確 保 について 保 存 性 の 確 保 について 保 存 性 の 確 保 について 電 子 媒 体 による 外 部 保 存 をネットワークを 電 子 媒 体 による 外 部 保 存 をネットワークを 通 通 じて 行 う 場 合 じて 行 う 場 合 共 通 の 要 件 共 通 の 要 件 診 療 等 の 都 度 スキャナ 等 で 電 子 化 して 保 存 診 療 等 の 都 度 スキャナ 等 で 電 子 化 して 保 存 す する 場 合 る 場 合 2.2. 他 の JAHIS 標 準 技 術 文 書 との 関 係 本 ガイドラインの 前 提 は 安 全 管 理 のガイドライン であるが 他 の JAHIS 標 準 や 技 術 文 書 に 規 定 されている 規 格 やガイドラインがある 場 合 には 相 互 運 用 性 や 見 読 性 の 確 保 などの 観 点 から 技 術 的 管 理 策 などを 選 択 する 際 に 積 極 的 に 採 用 することを 推 奨 している また 現 時 点 で JAHIS 標 準 や 技 術 文 書 において 規 定 されていない 領 域 において 将 来 JAHIS 標 準 や 技 術 文 書 により 規 格 やガイドラインが 規 定 された 場 合 にはそれらを 優 先 的 に 採 用 することを 妨 げるものではない 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 3 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

10 第 2 章 本 ガイドラインの 対 象 範 囲 読 み 方 2.3. 本 ガイドラインの 読 み 方 本 ガイドラインの 各 節 の 構 成 であるが まず 安 全 管 理 のガイドライン の C. 最 低 限 のガイドライン D. の 要 求 事 項 を 表 形 式 で 示 した その 後 に 表 の 各 行 毎 に 技 術 的 対 策 運 用 的 対 策 のそれぞれについて 基 準 を 示 し 解 説 を 行 う こととした 本 ガイドラインでは 内 容 を 最 低 限 と 推 奨 の 二 つに 分 けることは 行 わず JAHIS として 満 たすべき 基 準 を 示 した 従 って D. の 内 容 に 該 当 する 項 目 であっても 必 要 な 場 合 にはガイドラインの 項 目 として 列 挙 した ま た 技 術 的 対 策 が 実 現 困 難 な 場 合 は それを 補 完 する 運 用 的 対 策 を 示 しており 技 術 的 対 策 運 用 的 対 策 を 組 み 合 わせることによってセキュリティを 確 保 できるようにした なお 技 術 的 対 策 運 用 的 対 策 以 外 に 考 慮 しなければならない 事 項 がある 場 合 は そ の 他 に 記 載 することとした 基 本 的 には 上 記 の 構 成 に 従 って 各 節 にて JAHIS としての 基 準 と 解 説 を 行 っているが 節 の 内 容 的 にこの 構 成 がそぐわない 場 合 は 内 容 に 応 じて 構 成 を 変 えることとした 4 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

11 第 3 章 略 語 集 第 3 章 略 語 集 本 ガイドラインでは 以 下 に 示 す 略 語 を 使 用 している ACL Access Control List の 略 アクセス 制 御 リスト CA Certificate Authority の 略 認 証 局 CP Certificate Policy の 略 証 明 書 ポリシー CPS Certification Practices Statement の 略 認 証 実 施 規 程 CRL Certificate Revocation List の 略 証 明 書 失 効 リスト IDS Intrusion Detection System の 略 侵 入 検 知 システム JEITA Japan Electronics and Information Technology Industries Association の 略 社 団 法 人 電 子 情 報 技 術 産 業 協 会 ( NTP Network Time Protocol の 略 VPN Virtual Private Network の 略 WOM Write Only Memory の 略 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 5 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

12 第 4 章 本 ガイドラインの 対 象 システム 及 び 対 象 情 報 第 4 章 本 ガイドラインの 対 象 システム 及 び 対 象 情 報 本 ガイドラインの 対 象 システムは 医 療 機 関 に 対 し 保 存 が 義 務 付 けられている 診 療 録 等 の 電 子 保 存 を 行 うシステムである 安 全 管 理 のガイドライン は 医 療 に 関 わる 情 報 を 扱 う 全 ての 情 報 システムを 対 象 としているが 本 ガイドラインでは 電 子 保 存 を 行 うシステム に 限 定 している ただし 電 子 保 存 を 行 わないシステムにも 非 常 に 有 用 な 内 容 になってお り ぜひ 参 考 にしていただきたい 以 下 に 対 象 となる 可 能 性 が 高 いシステムの 例 を 示 す 電 子 カルテシステム オーダエントリシステム 診 療 部 門 システム( 看 護 支 援 システム 手 術 システムなど) 臨 床 病 理 検 査 システム 医 用 画 像 システム 放 射 線 システム また 対 象 情 報 については 安 全 管 理 のガイドライン の 3 章 本 ガイドラインの 対 象 システム 及 び 対 象 情 報 を 参 照 願 いたい 6 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

13 第 5 章 ベンダーの 責 任 のあり 方 第 5 章 ベンダーの 責 任 のあり 方 5.1. 医 療 機 関 の 責 任 とベンダーの 提 供 する 医 療 情 報 システムの 関 係 安 全 管 理 のガイドライン において 情 報 の 取 扱 いについても 医 療 機 関 の 自 己 責 任 で 行 う 必 要 がある 旨 が 明 記 されている 自 己 責 任 は 説 明 責 任 管 理 責 任 結 果 責 任 を 果 たすこととされており 特 にその 中 でも 説 明 責 任 と 管 理 責 任 には 特 段 の 配 慮 が 必 要 とされている 医 療 機 関 は 自 らの 責 任 で 結 果 責 任 はもとより 説 明 責 任 と 管 理 責 任 を 果 た さねばならないが 自 らの 責 任 の 下 に 自 己 責 任 を 果 たすために 技 術 的 対 策 を 施 した 製 品 を 導 入 することや 業 務 を 外 部 委 託 することが 許 されている ベンダーは 主 として 技 術 的 対 応 を 施 した 医 療 情 報 システムを 提 供 することで 医 療 機 関 の 説 明 責 任 管 理 責 任 を 全 うすることを 補 助 することが 期 待 されている 医 療 機 関 はベンダーが 提 供 する 技 術 的 対 策 と 自 らが 実 施 する 運 用 的 対 策 と 組 み 合 わせて 安 全 管 理 のガイドライン の 求 める 基 準 に 適 合 させる 必 要 がある そのため ベンダーは 提 供 する 医 療 情 報 システムにおいて (1)どのような 技 術 的 対 策 を 実 施 しているのか (2) 正 しくシステムを 利 用 するために 注 意 すべきことは 何 か といったことを 明 らかにし 医 療 機 関 に 正 しく 伝 える 必 要 がある 5.2. ベンダーの 責 任 ベンダーは 自 らの 提 供 する 医 療 情 報 システムに 対 して 民 法 上 の 責 任 と 製 造 物 責 任 法 (PL 法 ) 上 の 責 任 を 果 たさねばならない (ソフトウェア 単 独 で 提 供 を 行 う 場 合 は PL 法 の 対 象 とはならないが コンピュータな どの 機 器 にあらかじめ 組 み 込 んで 全 体 をシステムとして 提 供 した 場 合 は 動 産 になるので 対 象 になるとされている) PL 法 では 以 下 の 三 つの 欠 陥 についてベンダーが 責 任 を 問 われることとなっている (1) 設 計 上 の 欠 陥 ( 安 全 法 規 や 基 準 に 適 合 していない 場 合 など) (2) 製 造 上 の 欠 陥 ( 不 良 な 原 材 料 や 部 品 を 利 用 した 場 合 など) (3) 表 示 上 の 欠 陥 (マニュアルなどに 適 切 な 注 意 事 項 の 記 載 がない 場 合 など) これらについては 欠 陥 がないことの 立 証 責 任 がベンダー 側 にあるため ベンダーがその 旨 を 立 証 しなければならない 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 7 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

14 第 5 章 ベンダーの 責 任 のあり 方 また 民 法 の 709 条 においては 故 意 または 過 失 によって 他 人 の 権 利 を 侵 害 したる 者 はこれによって 生 じたる 損 害 を 賠 償 する 責 めに 任 ず となっている これについては 権 利 侵 害 の 立 証 責 任 は 医 療 機 関 側 にあるため 医 療 機 関 がその 旨 を 立 証 しなければならない このような 法 律 上 の 責 任 を 問 われないように 欠 陥 のない 医 療 情 報 システムを 提 供 する ことがベンダーにおける 最 も 重 要 な 責 務 である 8 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

15 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 本 章 では 安 全 管 理 のガイドライン の 以 下 の 節 について JAHIS の 視 点 から 基 準 を 示 し 解 説 を 行 ったものである 安 全 管 理 のガイドライン 本 ガイドライン 6.2 医 療 機 関 における 情 報 セキュリティマネジ メントシステム(ISMS)の 実 践 6.5 技 術 的 安 全 対 策 6.7 情 報 の 破 棄 6.8 情 報 システムの 改 造 と 保 守 6.9 情 報 および 情 報 機 器 の 持 ち 出 しについて 6.10 災 害 等 の 非 常 時 の 対 応 6.11 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 合 の 安 全 管 理 6.12 法 令 で 定 められた 記 名 押 印 を 電 子 署 名 で 行 うことについて 6.1. 医 療 機 関 における 情 報 セキュリティマネジ メントシステム(ISMS)の 実 践 6.2. 技 術 的 安 全 対 策 6.3. 情 報 の 破 棄 6.4. 情 報 システムの 改 造 と 保 守 6.5. 情 報 および 情 報 機 器 の 持 ち 出 しについて 6.6. 災 害 等 の 非 常 時 の 対 応 6.7. 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 合 の 安 全 管 理 6.8. 法 令 で 定 められた 記 名 押 印 を 電 子 署 名 で 行 うことについて 6.1. 医 療 機 関 における 情 報 セキュリティマネジメントシステム(ISMS)の 実 践 医 療 情 報 システムを 安 全 にかつ 有 効 に 運 用 することに 責 任 を 負 うのは 医 療 機 関 である ベンダーの 責 任 は 二 次 的 なものになるが 医 療 機 関 が 情 報 セキュリティ 管 理 ( 以 下 ISMS) を 行 う 際 に 必 要 とする 情 報 の 提 供 に 関 する 要 望 には 適 切 に 応 えられるようにしておかな ければならない 本 ガイドラインでは 安 全 管 理 のガイドライン が 医 療 機 関 に 求 める ISMS の 実 施 レ ベルを 実 現 するために ベンダー 側 がどのような 情 報 提 供 をできるように 用 意 しておくべ きか という 観 点 で 記 述 する 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 9 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

16 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 ISMS 構 築 の 手 順 冒 頭 にも 述 べたように ISMS を 計 画 し 実 際 に 導 入 する 責 任 を 負 うのは 医 療 機 関 であ るが 情 報 システムや 情 報 機 器 を 納 入 するベンダーからの 正 確 な 情 報 提 供 がなければ 実 効 力 のある ISMS を 企 画 し 構 築 することはできない 参 考 までに JIS Q 27001:2006 で 規 定 されている 情 報 システムに 直 接 関 連 すると 考 え られる 管 理 項 目 ( 付 属 書 A による)の 例 を 下 記 に 示 す 医 療 機 関 が JIS Q 27001:2006 に 従 って ISMS を 構 築 する 場 合 には 情 報 システムがこれらの 管 理 策 を 採 用 する 際 にどのよ うな 機 能 を 提 供 実 現 できるかを 説 明 できるようにしておかなければならない そうでない 場 合 でも 同 様 の 情 報 提 供 が 求 められることになると 考 えられる A.9.2 A.10.1 A.10.3 A.10.4 A.10.5 A.10.6 A.10.8 A A.11.2 A.11.3 A.11.4 A.11.5 A.11.6 A.11.7 A.12.1 A.12.2 A.12.3 A.12.4 A.12.5 A.12.6 装 置 のセキュリティ 運 用 の 手 順 及 び 責 任 システムの 計 画 作 成 及 び 受 け 入 れ 悪 意 のあるコードおよびモバイルコードからの 保 護 バックアップ ネットワークセキュリティ 管 理 情 報 の 交 換 監 視 利 用 者 アクセスの 管 理 利 用 者 の 責 任 ネットワークのアクセス 制 御 オペレーティングシステムのアクセス 制 御 業 務 用 ソフトウェアのアクセス 制 御 モバイルコンピューティング 及 びテレワーキング 情 報 システムのセキュリティ 要 求 事 項 業 務 用 ソフトウェアでの 正 確 な 処 理 暗 号 による 管 理 策 システムファイルのセキュリティ 開 発 及 びサポートプロセスにおけるセキュリティ 技 術 的 ぜい 弱 性 管 理 10 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

17 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 取 扱 い 情 報 の 把 握 情 報 セキュリティ 管 理 を 構 築 する 場 合 には まず 守 るべき 対 象 ( 保 護 資 産 )を 識 別 する ことから 始 めなければならない ここでの 保 護 対 象 資 産 は 医 療 機 関 に 納 入 した 情 報 シス テムに 含 まれる 情 報 と 考 える ベンダーは 自 社 が 納 入 し 稼 働 している 情 報 システムに 含 まれる 情 報 を 識 別 し 医 療 機 関 に 説 明 できなければならない また 識 別 された 情 報 は 安 全 管 理 上 の 観 点 での 分 類 がなされている 必 要 がある これ は 次 節 で 述 べるリスク 分 析 を 行 う 際 の 重 要 な 判 断 基 準 となる 下 記 に 識 別 されるべき 情 報 の 例 およびそれらを 重 要 度 によって 分 類 した 例 を 示 す < 表 > 情 報 の 識 別 と 分 類 の 例 情 報 システム 名 情 報 観 点 重 要 度 備 考 医 事 会 計 患 者 基 本 患 者 大 機 微 な 個 人 情 報 業 務 中 保 険 情 報 患 者 小 オーダエントリ 薬 剤 マスター 患 者 小 業 務 大 医 療 過 誤 につながる 可 能 性 検 査 履 歴 患 者 大 機 微 な 個 人 情 報 業 務 中 リスク 分 析 リスク 分 析 は ISMS の 実 施 に 際 して 医 療 機 関 が 行 うべきものであるが ベンダーは 医 療 機 関 が 想 定 した 脅 威 に 対 して どの 程 度 対 抗 できるか またそのためにどのような 機 能 を 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 11 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

18 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 実 装 しているかについて 説 明 できなければならない この 説 明 を 確 実 に 行 うために あ らかじめ 顧 客 環 境 内 での 脅 威 を 想 定 して その 対 抗 策 を 想 定 運 用 も 含 めて 説 明 できるだ けの 用 意 をしておくことが 望 ましい 下 記 に 保 護 対 象 とする 情 報 ごとに 整 理 した 例 を 示 す (1) 想 定 リスク 当 該 の 情 報 について 想 定 されるリスクの 一 覧 たとえば ディスククラッシュによる 破 壊 端 末 をのぞき 見 されることによる 漏 えい 通 常 業 務 とは 関 係 ない 興 味 本 位 の 情 報 アクセス など (2) 管 理 策 想 定 リスクごとの 管 理 策 ( 対 抗 策 ) たとえば ディスククラッシュによる 破 壊 であ れば バックアップ 端 末 をのぞき 見 されることによる 漏 えい であれば スクリーン セーバの 設 定 通 常 業 務 とは 関 係 ない 興 味 本 位 の 情 報 アクセス であれば アクセスロ グの 収 集 と 日 常 的 なログ 解 析 による 抑 止 など (3) 利 用 できる 機 能 管 理 策 を 実 施 するために 当 該 の 情 報 システムで 利 用 可 能 な 機 能 や 運 用 方 法 など たと えば アクセスログの 収 集 と 日 常 的 なログ 解 析 による 抑 止 であれば 収 集 可 能 なログ 情 報 (4) 効 果 残 存 リスク 等 上 記 の 管 理 策 を 実 行 した 結 果 どの 程 度 のリスク 低 減 効 果 があるか また 残 存 リスク はどのようなものがあるか リスク 分 析 の 具 体 的 な 方 法 については MICTS(Management of ICT Security:ISO/IEC シリーズ)が 参 考 になる 12 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

19 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 6.2. 技 術 的 安 全 対 策 (1) 利 用 者 の 識 別 と 認 証 1. 情 報 システムへのアクセスにおける 利 用 者 の 識 別 と 認 証 を 行 うこと (ア) システム 利 用 ユーザ 登 録 の 権 限 を 持 つ 者 以 外 によるユーザ 登 録 が 行 われない 仕 組 みを 実 装 すること (イ) システム 利 用 者 の 長 期 休 職 等 により 長 期 間 使 用 されない ID が 有 効 になったま まではパスワードが 推 測 される 可 能 性 が 高 くなるため ID を 削 除 可 能 な 仕 組 みを 実 装 すること もし 可 能 であれば ID 無 効 化 有 効 化 の 仕 組 みを 実 装 し システム 利 用 者 が 休 職 前 と 復 職 後 で 同 一 の ID を 利 用 できることが 望 ましい (ア) システム 利 用 者 の ID パスワードや IC カード 電 子 証 明 書 等 の 発 行 ルール および 本 人 への 配 布 手 段 を 規 定 化 するよう 医 療 機 関 に 推 奨 すること (イ) 情 報 システムの 短 期 利 用 者 向 けに ID を 再 利 用 する 場 合 は ID 再 利 用 までに 一 定 の 期 間 をおき 再 利 用 初 回 に 確 実 に 本 人 のみが 知 りえる 情 報 または 持 ちえる 情 報 を 識 別 情 報 として 登 録 するよう 医 療 機 関 に 推 奨 すること また ID の 利 用 開 始 と 終 了 日 時 を 管 理 台 帳 等 で 管 理 保 管 し ある 期 間 において 誰 が 該 当 ID を 使 用 していたかを 後 日 調 査 可 能 とするよう 医 療 機 関 に 推 奨 するこ と (ウ) 不 要 となった ID は 速 やかに 削 除 するよう 医 療 機 関 に 推 奨 すること さらに 可 能 であればシステム 利 用 者 の 勤 務 表 等 を 用 いて 勤 務 時 間 以 外 等 の 不 審 なアクセスが 存 在 しないかを 定 期 的 に 確 認 するよう 医 療 機 関 に 推 奨 すること が 望 ましい (エ) 一 つの ID を 複 数 人 で 共 有 しないよう 医 療 機 関 に 推 奨 すること 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 13 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

20 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (2) パスワードを 使 用 した 認 証 7. パスワードを 利 用 者 識 別 に 使 用 する 場 合 システム 管 理 者 は 以 下 の 事 項 に 留 意 すること (1) システム 内 のパスワードファイルでパ スワードは 必 ず 暗 号 化 ( 不 可 逆 )され 適 切 な 手 法 で 管 理 及 び 運 用 が 行 われるこ と ( 利 用 者 識 別 に IC カード 等 他 の 手 段 を 併 用 した 場 合 はシステムに 応 じた パスワードの 運 用 方 法 を 運 用 規 程 にて 定 めること) 6. パスワードを 利 用 者 識 別 に 使 用 する 場 合 以 下 の 基 準 を 遵 守 すること (1) パスワード 入 力 が 不 成 功 に 終 わった 場 合 の 再 入 力 に 対 して 一 定 不 応 時 間 を 設 定 すること (2) パスワード 再 入 力 の 失 敗 が 一 定 回 数 を 超 えた 場 合 は 再 入 力 を 一 定 期 間 受 け 付 けない 機 構 とすること (2) 利 用 者 がパスワードを 忘 れたり 盗 用 される 恐 れがある 場 合 で システム 管 理 者 がパスワードを 変 更 する 場 合 に は 利 用 者 の 本 人 確 認 を 行 い どのよ うな 手 法 で 本 人 確 認 を 行 ったのかを 台 帳 に 記 載 ( 本 人 確 認 を 行 った 書 類 等 の コピーを 添 付 )し 本 人 以 外 が 知 りえな い 方 法 で 再 登 録 を 実 施 すること (3) システム 管 理 者 であっても 利 用 者 の パスワードを 推 定 できる 手 段 を 防 止 す ること ( 設 定 ファイルにパスワードが 記 載 される 等 があってはならない ) (ア) パスワード 入 力 の 失 敗 による 不 応 答 時 間 の 設 定 を 行 うことが 可 能 な 機 能 を 実 装 することが 望 ましい 不 応 答 時 間 は 医 療 機 関 の 判 断 によって 設 定 可 能 であること が 望 ましい (イ) 一 定 回 数 以 上 のパスワード 入 力 失 敗 が 連 続 した 場 合 に アカウントの 利 用 を 停 止 可 能 な 機 能 を 実 装 することが 望 ましい 利 用 停 止 されたアカウントの 回 復 は 権 限 があるユーザのみによって 可 能 であることが 望 ましい 14 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

21 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (ア) パスワード 漏 洩 等 の 事 故 事 案 が 見 つかった 場 合 の 連 絡 を 滞 りなく 行 えるよう 連 絡 先 や 手 順 を 明 確 にし システム 利 用 者 に 知 らせるよう 医 療 機 関 に 推 奨 すること (3) パスワード 以 外 を 使 用 した 認 証 7. 認 証 に 用 いられる 手 段 としては ID+ バイオメトリックスあるいは IC カー ド 等 のセキュリティ デバイス+パス ワードまたはバイオメトリックスのよ うに 利 用 者 しか 持 ち 得 ない 2 つの 独 立 した 要 素 を 用 いて 行 う 方 式 (2 要 素 認 証 ) 等 より 認 証 強 度 が 高 い 方 式 を 採 用 することが 望 ましい (ア) 認 証 にバイオメトリックスを 使 用 する 場 合 には 認 証 に 使 用 する 身 体 的 特 徴 情 報 が 読 取 装 置 の 外 部 へ 出 ない 構 造 か 身 体 的 特 徴 情 報 を 暗 号 化 してから 読 取 装 置 の 外 部 へ 送 り 出 す 構 造 のものを 使 用 すること (ア) 二 つの 独 立 した 要 素 の 組 み 合 わせとして 公 開 情 報 となっている ID と 取 得 する と 誰 でも 利 用 できる USB トークンのように 比 較 的 容 易 に 他 人 が 入 手 可 能 な 要 素 同 士 のみの 組 み 合 わせは 避 けることが 望 ましい 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 15 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

22 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (4) 利 用 者 によるパスワード 管 理 7. パスワードを 利 用 者 識 別 に 使 用 する 場 合 利 用 者 は 以 下 の 事 項 に 留 意 するこ と (1) パスワードは 定 期 的 に 変 更 し( 最 長 で も 2 ヶ 月 以 内 ) 極 端 に 短 い 文 字 列 を 使 用 しないこと(8 バイト 以 上 の 可 変 長 の 文 字 列 が 望 ましい) (2) 類 推 しやすい 不 注 意 によるパスワー ドの 盗 用 は 盗 用 された 本 人 の 責 任 に なることを 認 識 すること (ア) 初 期 パスワードの 変 更 をシステムが 求 める 機 能 を 実 装 することによって 初 期 パ スワードが 利 用 され 続 けることがないようにすることが 望 ましい (イ) 一 定 期 間 パスワードが 変 更 されていないシステム 利 用 者 の 検 索 機 能 不 可 逆 変 換 を 施 したパスワード 履 歴 を 保 持 することによって 同 一 のシステム 利 用 者 が 同 一 パスワードを 設 定 することの 抑 制 機 能 等 の 管 理 機 能 を 実 装 することが 望 ましい (ウ) 一 定 期 間 パスワードの 変 更 が 行 われていないシステム 利 用 者 に 対 する 警 告 機 能 が 実 装 されていることが 望 ましい (ア) パスワードの 設 定 時 に 推 測 し 易 いパスワードを 設 定 しないこと パスワードを 記 載 したメモを 作 成 しても 良 いが 他 人 に 渡 らないようにすること 入 力 するとこ ろを 他 の 人 に 見 られないように 注 意 すること 等 を 医 療 機 関 の 責 任 者 またはその 代 行 者 はシステム 利 用 者 に 教 育 するよう 医 療 機 関 に 推 奨 すること (イ) 事 故 事 案 が 発 生 した 場 合 には 速 やかに 責 任 者 またはその 代 行 者 に 連 絡 するよう 教 育 することも 医 療 機 関 に 推 奨 すること 16 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

23 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (5) 情 報 の 区 分 管 理 とアクセス 制 御 3. 医 療 従 事 者 関 係 職 種 ごとに アクセ スできる 診 療 録 等 の 範 囲 を 定 め その レベルに 沿 ったアクセス 管 理 を 行 うこ と 複 数 の 職 種 の 利 用 者 がアクセスす るシステムでは 職 種 別 のアクセス 管 理 機 能 があることが 求 められるが 現 状 でそのような 機 能 がない 場 合 は シス テム 更 新 までの 期 間 運 用 管 理 規 定 で アクセス 可 能 範 囲 をさだめ 次 項 の 操 作 記 録 を 行 うことで 担 保 する 必 要 があ る 1. 情 報 の 区 分 管 理 を 実 施 し 区 分 単 位 で アクセス 管 理 を 実 施 すること (ア) アクセス 権 を 設 定 する 職 種 等 の 種 類 は 固 定 でなく 医 療 機 関 の 業 務 実 態 に 合 わせ て 自 由 に 設 定 できることが 望 ましい (ア) 上 記 技 術 的 対 策 を 実 現 している 場 合 には 情 報 がどのように 分 類 されており そ れぞれに 対 してどのような 権 限 を 設 定 可 能 であるかをシステム 提 供 者 は 明 記 し ておくこと さらに これらの 設 定 方 法 についても 明 記 すると 共 に 医 療 機 関 の 適 切 な 責 任 者 に 十 分 説 明 することによって 医 療 機 関 独 自 の 判 断 で 任 意 のタイミ ングにおいて 設 定 できるようにすることが 望 ましい (イ) 不 要 になった 権 限 に 関 しては 即 座 に 削 除 するよう 医 療 機 関 に 推 奨 すること 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 17 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

24 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (6) アクセス 記 録 及 びログの 確 認 4. アクセスの 記 録 及 び 定 期 的 なログの 確 認 を 行 うこと アクセスの 記 録 はすく なくとも 利 用 者 のログイン 時 刻 および 時 間 ログイン 中 に 操 作 した 患 者 が 特 定 できること 情 報 システムにアクセ ス 記 録 機 能 があることが 前 提 である が ない 場 合 は 業 務 日 誌 等 で 操 作 の 記 録 ( 操 作 者 及 び 操 作 内 容 )を 必 ず 行 う こと 2. アクセスの 記 録 として 誰 が 何 時 誰 の 情 報 にアクセスしたかを 記 録 し 定 期 的 な 記 録 の 確 認 を 行 うこと 安 全 管 理 のガイドライン では 上 記 要 求 事 項 以 外 にもアクセスログに 対 する 削 除 / 改 ざん/ 追 加 等 を 防 止 する 対 策 を 講 じことが 要 求 されている また アクセスログの 記 録 に 使 用 する 時 刻 は 精 度 の 高 いものが 要 求 されている これらの 対 策 については 本 ガイドライン 6.2. 技 術 的 安 全 対 策 および 更 新 履 歴 の 保 存 の 関 連 箇 所 を 参 照 のこと (ア) アクセス 記 録 より 厳 密 には 監 査 証 跡 (Audit Trail)の 記 録 は 個 人 情 報 への アクセスの 履 歴 の 確 認 医 療 機 関 が 説 明 責 任 を 果 たすために 利 用 副 次 的 効 果 としての 目 的 外 アクセスの 抑 止 などを 目 的 としている( 注 ) これらの 目 的 を 満 たすように 実 装 すること なお 監 査 証 跡 の 標 準 規 約 としては ヘルス ケア 分 野 における 監 査 証 跡 のメッセージ 標 準 規 約 (JAHIS 標 準 文 書 ) を 参 照 のこと また MEDIS-DC から 出 されている 医 療 における 監 査 証 跡 に ついて 平 易 にかつ 具 体 的 に 解 説 している 個 人 情 報 保 護 に 役 立 つ 監 査 証 跡 ガイ ド ( 参 考 のこと 追 記 事 項 なし 18 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

25 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (7) 時 刻 管 理 5. アクセスの 記 録 に 用 いる 時 刻 情 報 は 信 頼 できるものであること 医 療 機 関 等 の 内 部 で 利 用 する 時 刻 情 報 は 同 期 して いる 必 要 があり また 標 準 時 刻 と 定 期 的 に 一 致 させる 等 の 手 段 で 標 準 時 と 診 療 事 実 の 記 録 として 問 題 のない 範 囲 の 精 度 を 保 つ 必 要 がある (ア) 保 存 が 義 務 付 けられている 記 録 を 作 成 する 全 てのシステムにおいて 時 刻 同 期 が 必 要 であるが その 中 でも ネットワークに 接 続 されるシステムは NTP 等 を 使 用 して 基 準 となる 時 刻 源 と 同 期 をとることが 可 能 な 仕 組 みを 実 装 すること (イ) 時 刻 源 となりうるサーバにおいては 院 外 の 信 頼 ある 時 刻 源 と 同 期 をとることが 出 来 る 仕 組 み または 標 準 電 波 等 を 使 用 して 自 動 的 に 調 時 を 行 う 仕 組 みを 実 装 することが 望 ましい (ア) 管 理 台 帳 等 を 用 いて 時 刻 源 となっているサーバを 明 記 しておくことを 推 奨 する (イ) 時 刻 源 となっているサーバを 保 守 等 で 長 期 間 停 止 させる 場 合 は 代 替 の 時 刻 源 を 用 意 すること また 障 害 等 で 長 期 間 停 止 した 状 態 で 放 置 されないよう 定 期 的 な 稼 動 確 認 を 行 うよう 医 療 機 関 に 推 奨 すること (ウ) ネットワークに 接 続 されず 独 立 して 記 録 を 作 成 するシステムであっても 実 際 の 時 刻 と 大 きな 差 が 生 じないよう 定 期 的 に 点 検 を 行 うよう 医 療 機 関 に 推 奨 するこ と 点 検 の 時 期 及 び 方 法 を 明 記 し また 点 検 したことを 示 す 台 帳 等 を 作 成 するこ とを 推 奨 する 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 19 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

26 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (8) 不 正 ソフトウェアの 排 除 ウィルス 等 の 不 正 なソフトウェアの 混 入 を 防 ぐためには 医 療 機 関 でのシステム 構 築 運 用 ではもちろん 開 発 ベンダー 社 内 でのシステム 開 発 時 から 対 策 を 行 う 必 要 がある 6. システム 構 築 時 や 適 切 に 管 理 されて いないメディアを 使 用 したり 外 部 か らの 情 報 を 受 け 取 る 際 にはウィルス 等 の 不 正 なソフトウェアの 混 入 がないか 確 認 すること 3. 常 時 ウィルス 等 の 不 正 なソフトウェア の 混 入 を 防 ぐ 適 切 な 措 置 をとること また その 対 策 の 有 効 性 安 全 性 の 確 認 維 持 (たとえばパターンファイル の 更 新 の 確 認 維 持 )を 行 うこと (ア) 開 発 環 境 を 構 築 する 場 合 には メールの 閲 覧 等 の 一 般 業 務 を 行 う 環 境 から 独 立 し た 環 境 で 構 築 することが 望 ましい 独 立 した 環 境 を 構 築 することが 困 難 な 場 合 に は ウィルス 対 策 ソフトを 最 新 の 状 態 に 保 ち かつ 常 時 起 動 させた 状 態 にしてお くこと その 他 にも 必 要 に 応 じてファイアウォールの 適 切 な 設 置 や IDS を 利 用 すること (イ) 適 切 に 管 理 されていないデバイスやソフトウェアは 原 則 として 使 用 しないこと やむを 得 ず 適 切 に 管 理 されていないデバイスやソフトウェアを 使 用 する 場 合 に は 最 新 のウィルス 対 策 ソフト 等 を 利 用 して 十 分 な 確 認 を 行 うこと 確 認 を 行 う 端 末 は 開 発 環 境 とは 接 続 されていないものを 使 用 すること ただし ウィルス 対 策 ソフトを 利 用 したとしてもすべてのウィルスを 検 出 できるとは 限 らないこ とに 注 意 すること (ウ) システム 提 供 ベンダーが 許 可 していないソフトウェアが 医 療 機 関 で 稼 動 するシ ステムにインストールされない 仕 組 みが 実 装 されるか 設 定 されることが 望 まし い (エ) 医 療 機 関 の LAN が 外 部 のネットワークと 接 続 されている 場 合 には ウィルス 対 策 ソフトの 導 入 とそのパターンファイルを 常 時 最 新 の 状 態 に 保 つことが 出 来 る システム 構 成 にすること 20 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

27 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (ア) 過 去 に 誰 がどのような 用 途 で 使 用 したかが 不 明 なメディアは 適 切 に 管 理 されて いないメディアと 判 断 し 使 用 しないこと また 医 療 機 関 に 対 しても 注 意 を 促 すこと (イ) OS バージョンアップやパッチ 適 用 等 によって アプリケーションが 影 響 を 受 け る 可 能 性 があるため 適 用 前 に 実 験 機 にて 十 分 なテストを 実 施 すること (9) 不 正 アクセスの 排 除 5. 外 部 のネットワークとの 接 続 点 や DB サーバ 等 の 安 全 管 理 上 の 重 要 部 分 には ファイアウォール(ステートフルイン スペクション)を 設 置 し ACL(アクセ ス 制 御 リスト) 等 を 適 切 に 設 定 するこ と (ア) ファイアウォールや ACL の 設 定 をデフォルトのまま 放 置 せず 権 限 を 持 つ 者 の みがアクセス 可 能 となるよう 適 切 な 設 定 を 行 うこと これらを 設 定 した 後 に 脆 弱 性 を 診 断 し その 結 果 に 基 づいて 修 正 または 追 加 の 対 策 を 行 うこと (イ) 医 療 機 関 のネットワークがインターネットに 接 続 されている 環 境 では ファイア ウォールに 加 えて 不 正 アクセスを 受 けていることを 早 期 に 知 るために IDS を 併 用 し 不 正 アクセスを 継 続 的 に 監 視 報 告 することが 望 ましい (ウ) 医 療 機 関 のネットワークを 外 部 と 接 続 する 経 路 として インターネット インタ ーネット VPN IP-VPN 専 用 線 がある 一 般 的 に 後 者 のものほど 送 受 信 中 の データに 対 する 盗 聴 や 改 ざんおよび 医 療 機 関 のネットワークへの 不 正 アクセス に 対 して 強 固 なセキュリティを 確 保 することが 可 能 である 反 面 コストが 大 きく なるという 特 徴 がある 複 数 の 経 路 を 確 保 し 目 的 別 に 利 用 できることが 技 術 的 に は 望 ましいが コスト 的 かつ 運 用 的 に 現 実 的 ではないため 医 療 機 関 の 接 続 目 的 から 適 切 な 経 路 を 選 択 することが 望 ましい 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 21 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

28 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (ア) 適 切 に 設 定 されたネットワークやシステムの 各 種 設 定 内 容 を 記 録 しておき その 記 録 と 設 定 内 容 を 定 期 的 に 付 き 合 わせることによって システム 環 境 が 脆 弱 な 状 態 に 変 更 されていないことを 確 認 すること (イ) 職 員 の 退 職 等 により 不 要 となったアカウントは 速 やかに 削 除 し 休 職 等 により 不 用 となったアカウントは 速 やかに 無 効 化 するよう 医 療 機 関 に 推 奨 すること (10) 一 時 的 離 席 の 対 応 4. 離 席 の 場 合 のクローズ 処 理 等 を 施 すこ と(クリアスクリーン:ログオフある いはパスワード 付 きスクリーンセーバ 等 ) (ア) クローズ 処 理 等 の 機 能 を 実 装 することが 望 ましい 実 装 することが 困 難 な 場 合 に は OS 附 属 のパスワード 付 きスクリーンセーバ 等 を 利 用 できるように 端 末 を 設 定 することが 望 ましい (ア) ログイン 中 のユーザ 以 外 の 者 が 容 易 にアクセス 可 能 な 場 所 に 設 置 してある 端 末 に 関 しては 一 定 期 間 無 操 作 後 の 自 動 ロックを 利 用 するのではなく 離 席 時 に 手 動 でロックをかけるよう 教 育 し 徹 底 させるよう 医 療 機 関 に 推 奨 すること 基 本 的 に 一 定 期 間 無 操 作 後 の 自 動 ロックは 補 助 的 に 使 用 することが 望 ましく ログイン 中 のユーザが 離 席 時 に 明 示 的 にロックすることが 望 ましい 22 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

29 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (11) 動 作 確 認 2. 動 作 確 認 等 で 個 人 情 報 を 含 むデータを 使 用 するときは 漏 洩 等 に 十 分 留 意 す ること (ア) 個 人 情 報 を 含 むデータは 極 力 使 用 しないことが 望 ましい (イ) 動 作 確 認 は 原 則 としてオンサイトで 実 施 することが 望 ましい 特 に 個 人 情 報 等 を 含 むデータによる 動 作 確 認 はオンサイトで 実 施 し データ 漏 洩 等 の 可 能 性 を 極 力 減 らすこと (ウ) やむを 得 ずデータを 外 部 へ 持 ち 出 す 場 合 には データを 匿 名 化 することが 望 まし いが 困 難 な 場 合 は 転 送 経 路 の 暗 号 化 または 暗 号 化 機 能 を 有 するデバイスを 使 用 すること (エ) 個 人 情 報 を 含 むデータを 外 部 へ 持 ち 出 した 場 合 には 持 ち 出 しに 使 用 したメモリ やディスクへのランダムビットの 複 数 回 書 込 みや 物 理 的 な 裁 断 等 の 手 段 をとる ことによって 確 認 後 のデータがメモリやディスク 上 に 残 らない 確 実 な 削 除 を 実 施 すること (ア) 個 人 情 報 保 護 法 等 の 法 令 を 遵 守 することや データの 管 理 責 任 を 有 する 機 関 から 個 人 情 報 の 利 用 許 可 を 受 けること (イ) 動 作 確 認 に 使 用 するシステムがウィルス 感 染 していないことや 近 年 の 情 報 漏 洩 原 因 になっているファイル 共 有 ソフト 等 がインストールされていないことを 個 人 情 報 を 取 り 込 む 前 に 確 認 すること (12) 無 線 LAN の 利 用 時 の 対 策 無 線 LAN は ケーブルの 敷 設 や 接 続 の 必 要 がないという 利 点 があり 昨 今 の 無 線 LAN ルータの 低 価 格 化 とノートパソコンへの 無 線 LAN アダプタの 標 準 装 備 により 医 療 機 関 内 で 一 般 的 に 使 われる 情 報 インフラとなっている ただし 適 切 に 使 用 しない 場 合 通 信 内 容 の 傍 受 ( 盗 聴 ) 不 正 利 用 無 線 LAN ア 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 23 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

30 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 クセスポイントのなりすまし 等 の 脅 威 がある さらに 電 波 を 利 用 しているため ケー ブル LAN に 比 較 して 電 波 干 渉 による 通 信 の 途 絶 や 遅 延 など 可 用 性 に 劣 る 面 がある 無 線 LAN を 利 用 するシステムを 構 築 するベンダーは 医 療 機 関 のシステム 管 理 者 と 協 力 し これらのリスクに 留 意 し 適 切 な 対 策 を 行 わなくてはならない 8. 無 線 LAN を 利 用 する 場 合 システム 管 理 者 は 以 下 の 事 項 に 留 意 する こと (1) 利 用 者 以 外 に 無 線 LAN の 利 用 を 特 定 されないようにすること 例 えば ステルスモード ANY 接 続 拒 否 など の 対 策 をとること (2) 不 正 アクセスの 対 策 を 施 すこと 少 なくとも SSID や MAC アドレスに よるアクセス 制 限 を 行 うこと (3) 不 正 な 情 報 の 取 得 を 防 止 すること 例 えば WPA/TKIP WPA2/AES 等 により 通 信 を 暗 号 化 し 情 報 を 保 護 すること (4) 電 波 を 発 する 機 器 ( 携 帯 ゲーム 機 等 ) によって 電 波 干 渉 が 起 こり 得 るた め 医 療 機 関 等 の 施 設 内 で 利 用 可 能 とする 場 合 には 留 意 すること (5) 適 用 に 関 しては 総 務 省 発 行 の 安 心 して 無 線 LAN を 利 用 するために を 参 考 にすること 無 線 LAN のアクセスポイントを 複 数 設 置 して 運 用 する 場 合 等 は マネジメント の 複 雑 さが 増 し 侵 入 の 危 険 が 高 まるこ とがある そのような 侵 入 のリスクが 高 まるような 設 置 をする 場 合 例 えば 802.1x や 電 子 証 明 書 を 組 み 合 わせたセ キュリティ 強 化 が 望 まれる (a) 技 術 的 対 策 (ア) ステルスモードおよび ANY 接 続 拒 否 により 無 線 LAN 利 用 を 秘 匿 すること (イ) SSID などによるアクセス 制 限 を 行 うこと MAC アドレスによる 認 証 は 運 用 コ ストの 増 大 要 因 になること MAC アドレス 詐 称 が 可 能 であることから 単 独 での 使 用 は 推 奨 しない 運 用 負 荷 の 増 大 を 容 認 する 場 合 は 追 加 的 対 策 として MAC アドレ スによるアクセス 制 限 を 行 うことも 可 能 である 24 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

31 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (ウ) (エ) WPA/TKIP WPA2/AES 等 により 通 信 を 暗 号 化 すること これらの 暗 号 化 方 式 の 違 いについては 総 務 省 発 行 の 無 線 LAN のセキュリティに 関 するガイドライン である 安 心 して 無 線 LAN を 利 用 するために を 参 考 にすること 認 証 方 式 としては 鍵 管 理 方 式 により 事 前 配 布 方 式 (WPA- PSK WPA2- PSK) と IEEE802.1X 認 証 を 用 いた 認 証 サーバによる 方 式 (WPA-EAP WPA2-EAP) 等 がある どの 方 式 を 選 択 するかは 無 線 基 地 局 の 数 によるメンテナンスコストと 認 証 サーバのシステム 運 用 コストの 差 を 算 出 し 決 定 すること 無 線 基 地 局 が 多 い 場 合 は 認 証 サーバを 用 いる 方 式 がトータルコストとして 安 上 がりになる 場 合 がある (b) 運 用 的 対 策 (ア) 電 波 を 発 する 機 器 ( 携 帯 ゲーム 機 電 子 レンジ デジタルコードレス 電 話 Bluetooth 利 用 機 器 等 )によって 電 波 干 渉 が 起 こり 得 る 無 線 LAN を 利 用 するシス テムのベンダーはこれらの 機 器 が 使 われているかどうかをチェックするとともに 医 療 機 関 のシステム 管 理 者 に 対 して これらの 機 器 の 利 用 に 関 する 対 策 を 規 定 し 運 用 管 理 規 定 に 反 映 するようにアドバイスすること コラム 無 線 LAN による 電 波 が 医 療 機 器 等 へ 及 ぼす 影 響 については 総 務 省 のホームページに 電 波 の 医 療 機 器 等 への 影 響 に 関 する 調 査 の 報 告 書 が 公 開 されているので 参 考 にすること ( 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 25 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

32 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 6.3. 情 報 の 破 棄 情 報 の 破 棄 は 個 別 情 報 の 消 去 (レコードの 削 除 等 ) と 装 置 そのものの 廃 棄 に 伴 うデータ 記 憶 装 置 媒 体 の 破 棄 ( 記 憶 装 置 自 体 の 破 棄 等 修 理 時 等 における 記 憶 装 置 交 換 等 を 含 む) が 考 えられるが ここでは 後 者 について 示 す 前 者 についてもこの 内 容 を 適 応 できる 場 合 があるが 情 報 の 格 納 方 法 が 独 立 したファイルである 場 合 からデータベ ース 内 の 削 除 処 理 等 様 々な 状 況 が 考 えられるので 個 別 に 安 全 な 管 理 消 去 方 法 等 の 手 順 を 明 確 化 しておく 必 要 がある また 医 療 機 関 から 診 療 録 等 の 保 存 を 委 託 されている 場 合 には その 委 託 が 終 了 する 際 に 情 報 の 破 棄 に 関 する 厳 密 な 監 査 を 受 けることがある そのため 保 存 されている 情 報 の 破 棄 に 関 する 処 理 を 明 確 にして 医 療 機 関 に 示 す 必 要 がある (1) 情 報 種 別 ごとに 破 棄 の 手 順 を 定 める 方 針 の 制 定 と 公 表 で 把 握 した 情 報 種 別 ごとに 破 棄 の 手 順 を 定 めるこ と 手 順 には 破 棄 を 行 う 条 件 破 棄 を 行 うことができる 従 業 者 の 特 定 具 体 的 な 破 棄 の 方 法 を 含 めること 2. 情 報 処 理 機 器 自 体 を 破 棄 する 場 合 必 ず 専 門 的 な 知 識 を 有 するものが 行 うこ ととし 残 存 し 読 み 出 し 可 能 な 情 報 がないことを 確 認 すること 3. 破 棄 を 外 部 事 業 者 に 委 託 した 場 合 は 6.6 人 的 安 全 対 策 (2) 事 務 取 扱 委 託 業 者 の 監 督 及 び 守 秘 義 務 契 約 に 準 じ さらに 委 託 元 の 医 療 機 関 等 が 確 実 に 情 報 の 破 棄 が 行 なわれたことを 確 認 すること 26 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

33 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 4. 運 用 管 理 規 程 において 下 記 の 内 容 を 定 めること (a) 不 要 になった 個 人 情 報 を 含 む 媒 体 の 廃 棄 を 定 める 規 程 の 作 成 の 方 法 (ア) 医 療 情 報 システムは 管 理 保 存 している 情 報 について その 格 納 領 域 に NULL データを 上 書 きするなど 完 全 消 去 を 行 う 機 能 1を 持 つことが 望 ましい その 際 消 去 のための 手 順 を 具 体 的 に 明 示 すること (ア) 次 の 要 件 を 含 む 手 順 書 を 作 成 すること 1 破 棄 を 行 う 条 件 2 破 棄 作 業 の 従 事 者 の 特 定 3 具 体 的 な 破 棄 方 法 4 破 棄 の 記 録 ( 項 目 書 式 ) (イ) 情 報 処 理 機 器 自 体 を 破 棄 する 場 合 は 次 の 条 件 を 満 たすこと 1 外 部 業 者 に 依 頼 するときは 安 全 管 理 のガイドライン 6.6 人 的 安 全 対 策 (2) 事 務 取 扱 委 託 業 者 の 監 督 及 び 守 秘 義 務 契 約 に 準 じた 委 託 先 選 定 及 び 管 理 を 行 うとともに 確 実 に 情 報 の 破 棄 が 行 なわれたことを 証 明 書 等 で 確 認 すること (ウ) 運 用 管 理 規 定 に 不 要 になった 個 人 情 報 を 含 む 装 置 媒 体 の 破 棄 手 順 書 の 作 成 義 務 を 定 めること 参 考 1 データ 消 去 に 関 する 各 種 規 格 のご 紹 介 JEITA ストレージ 上 のデータ 消 去 に 関 するガイドライン 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 27 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

34 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 6.4. 情 報 システムの 改 造 と 保 守 医 療 情 報 システムを 安 全 にかつ 有 効 に 運 用 するためには 定 期 的 な 保 守 が 必 要 となる 保 守 には 障 害 対 応 や 予 防 保 守 ソフトウェアのアップデートなどがあるが 特 にデータベ ースを 扱 う 作 業 やサーバ 等 の 再 起 動 が 必 要 とされる 作 業 など 情 報 システムを 一 時 的 に 停 止 する 場 合 が 生 じることがある また オペレーションミスによるデータの 紛 失 や 消 去 な ど セキュリティ 面 においても 十 分 な 対 策 が 求 められる 情 報 システムの 改 造 と 保 守 につ いて 安 全 管 理 のガイドライン で 挙 げられている 四 つの 脅 威 はデータそのものに 対 す る 代 表 的 な 脅 威 がほとんどで さらに 情 報 システムに 対 する 脅 威 も 多 く 存 在 する 改 造 や 保 守 作 業 は 医 療 機 関 の 適 切 な 管 理 の 下 で 実 施 されるものである 従 って 保 守 ベンダー との 間 で 交 わされる 守 秘 義 務 契 約 や 保 守 要 員 の 管 理 作 業 内 容 の 確 認 など 医 療 機 関 の 運 用 面 での 対 策 も 必 要 とされる (1) 保 守 作 業 で 使 用 するデータ 1. 動 作 確 認 で 個 人 情 報 を 含 むデータを 使 用 するときは 明 確 な 守 秘 義 務 の 設 定 を 行 うとともに 終 了 後 は 確 実 にデー タを 消 去 する 等 の 処 理 を 行 うことを 求 めること 追 記 事 項 なし (ア) 動 作 確 認 等 で 個 人 情 報 を 含 むデータを 利 用 する 場 合 には 明 確 な 守 秘 義 務 を 病 院 とベンダー 間 でルール 化 し 明 文 化 すること (イ) また 作 業 終 了 後 には 個 人 情 報 を 含 むデータが 不 要 な 場 合 は 確 実 に 当 該 データを 消 去 すること 28 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

35 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (2) 保 守 要 員 の 登 録 と 管 理 1 2. メンテナンスを 実 施 するためにサーバ に 保 守 会 社 の 作 業 員 がアクセスする 際 には 保 守 要 員 個 人 の 専 用 アカウント を 使 用 し 個 人 情 報 へのアクセスの 有 無 およびアクセスした 場 合 は 対 象 個 人 情 報 を 含 む 作 業 記 録 を 残 すこと こ れはシステム 利 用 者 を 模 して 操 作 確 認 を 行 うための 識 別 認 証 についても 同 様 である 1. 詳 細 なオペレーション 記 録 を 保 守 操 作 ログとして 記 録 すること (ア) 保 守 要 員 は 個 人 単 位 の 専 用 アカウントでシステムにログインできること (イ) 個 人 情 報 を 含 むデータへアクセスする 場 合 いつ 誰 が 誰 の を 含 む 作 業 記 録 をシステムログ 等 自 動 的 に 作 成 する 機 能 を 有 すること この 機 能 の 実 装 が 困 難 な 場 合 には 運 用 的 対 策 (ア)で 補 うこと (ウ) 作 業 記 録 には アクセスした 個 人 情 報 を 含 むデータの 識 別 情 報 を 時 系 列 順 に 並 べ て 表 示 し かつ 指 定 した 時 間 間 隔 内 でどの 患 者 に 何 回 のアクセスが 行 なわれたか が 確 認 できることが 望 ましい (ア) 個 人 情 報 を 含 むデータへアクセスする 場 合 いつ 誰 が 誰 の を 含 む 作 業 記 録 を 書 面 で 作 成 し 作 業 後 速 やかに 医 療 機 関 へ 提 出 すること 保 守 要 員 の 専 用 ア カウントでシステム 利 用 者 に 模 して 操 作 確 認 等 を 行 う 場 合 にも 同 等 とする 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 29 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

36 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (3) 保 守 要 員 の 登 録 と 管 理 2 3. そのアカウント 情 報 は 外 部 流 出 等 によ る 不 正 使 用 の 防 止 の 観 点 から 適 切 に 管 理 することを 求 めること (ア) 保 守 要 員 の 専 用 アカウントが 含 まれるファイルは 適 切 な 暗 号 化 とアクセス 制 御 等 の 管 理 により 不 正 使 用 を 防 止 できること (ア) 保 守 要 員 の 専 用 アカウントは 保 守 作 業 の 目 的 以 外 には 利 用 しないこと (4) 保 守 要 員 の 登 録 と 管 理 3 4. 保 守 要 員 の 離 職 や 担 当 変 え 等 に 対 して 速 やかに 保 守 用 アカウントを 削 除 でき るよう 保 守 会 社 からの 報 告 を 義 務 付 けまた それに 応 じるアカウント 管 理 体 制 を 整 えておくこと 追 記 事 項 なし 追 記 事 項 なし 30 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

37 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (5) 作 業 申 請 書 / 作 業 報 告 書 の 提 出 5. 保 守 会 社 がメンテナンスを 実 施 する 際 には 日 単 位 に 作 業 申 請 の 事 前 提 出 を することを 求 め 終 了 時 の 速 やかな 作 業 報 告 書 の 提 出 を 求 めること それら の 書 類 は 医 療 機 関 の 責 任 者 が 逐 一 承 認 すること 2. 保 守 作 業 時 には 病 院 関 係 者 立 会 いのも とで 行 なうこと 追 記 事 項 なし 追 記 事 項 なし (6) 守 秘 義 務 契 約 の 締 結 6. 保 守 会 社 と 守 秘 義 務 契 約 を 締 結 し こ れを 遵 守 させること 3. 作 業 員 各 人 と 保 守 会 社 との 守 秘 義 務 契 約 を 求 めること 追 記 事 項 なし (ア) 保 守 ベンダーは 当 該 医 療 機 関 と 守 秘 義 務 契 約 を 締 結 し 保 守 要 員 にその 内 容 を 遵 守 させること (イ) 保 守 ベンダーは 当 該 医 療 機 関 に 保 守 要 員 各 人 を 明 示 的 に 伝 えておくことが 望 ま しい 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 31 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

38 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (7) 個 人 情 報 を 含 むデータの 組 織 外 への 持 ち 出 し 7. 保 守 会 社 が 個 人 情 報 を 含 むデータを 組 織 外 に 持 ち 出 すことは 避 けるべきであ るが やむを 得 ない 状 況 で 組 織 外 に 持 ち 出 さなければならない 場 合 には 置 き 忘 れ 等 に 対 する 十 分 な 対 策 を 含 む 取 扱 いについて 運 用 管 理 規 定 を 定 めるこ とを 求 め 医 療 機 関 等 の 責 任 者 が 逐 一 承 認 すること 4. 保 守 会 社 が 個 人 情 報 を 含 むデータを 組 織 外 に 持 ち 出 すことは 避 けるべきであ るが やむを 得 ない 状 況 で 組 織 外 に 持 ち 出 さなければならない 場 合 には 詳 細 な 作 業 記 録 を 残 すことを 求 めるこ と また 必 要 に 応 じて 医 療 機 関 等 の 監 査 に 応 じることを 求 めること 安 全 管 理 のガイドライン 自 体 が かなり 技 術 的 対 策 に 踏 み 込 んで 記 述 されているので ここではその 内 容 を 踏 まえた 上 で 持 出 し 機 器 の 対 策 に 鑑 み 追 記 の 必 要 のある 内 容 のみ 記 述 する (ア) 持 ち 出 し 機 器 媒 体 については 必 ず 内 容 を 暗 号 化 できるものを 利 用 すること (イ) 持 ち 出 し 機 器 (PC 等 を 想 定 )については 必 ず 起 動 パスワードでロックがかか るようにすること その 設 定 ができない 機 器 は 利 用 しないこと また パスワー ドの 要 件 は 他 の 記 述 と 同 じく 容 易 に 破 られないような 内 容 で 設 定 すること (ウ) 持 ち 出 し 機 器 (PC 等 を 想 定 )には 必 ずウィルス 対 策 ソフトを 導 入 し 最 新 の パターンファイルを 適 用 しておくこと (エ) 持 ち 出 し 媒 体 の 利 用 に 際 しては 適 切 に 管 理 された 媒 体 で ウィルス 等 の 混 入 が 無 いことをチェック 済 みのものを 用 いること (オ) パーソナルファイアウォールを 適 用 できる 機 器 であれば その 機 能 を 有 効 に 設 定 すること (カ) 覗 き 見 防 止 フィルタは 装 着 することが 望 ましい (ア) 保 守 ベンダーは 医 療 機 関 が 定 める 運 用 管 理 規 定 を 遵 守 すること (イ) 個 人 情 報 を 含 むデータが 保 守 の 目 的 で 院 外 に 持 ち 出 される 場 合 には 可 能 な 限 り 32 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

39 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 詳 細 な 作 業 記 録 を 残 し 当 該 医 療 機 関 の 監 査 に 応 じることができることが 望 まし い (ウ) 個 人 情 報 を 含 むテスト 用 データの 扱 いについては 6.7 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 合 の 安 全 管 理 の を 参 照 すること (エ) 持 ち 出 しの 可 否 について 医 療 機 関 で 定 める 運 用 管 理 規 程 に 従 うこと (オ) 当 該 の 運 用 管 理 規 程 によって 持 ち 出 しを 許 可 され 実 際 に 持 ち 出 す 場 合 には 同 様 に 運 用 管 理 規 程 に 従 うこと (カ) 医 療 機 関 から 持 ち 出 した 情 報 および 情 報 機 器 の 取 り 扱 いについては 自 組 織 内 で 運 用 管 理 規 程 を 定 め 遵 守 すること (キ) 運 用 管 理 規 程 には 上 記 安 全 管 理 のガイドライン の 少 なくとも 最 低 限 のガ イドライン の 要 求 事 項 を 盛 り 込 むこと (ク) 当 該 の 運 用 管 理 規 程 は 医 療 機 関 の 求 めに 応 じて 開 示 できるようにしておくこと (ケ) 必 要 に 応 じて 医 療 機 関 から 持 ち 出 した 情 報 および 情 報 機 器 を 当 該 の 運 用 管 理 規 程 に 従 って 取 り 扱 う 旨 の 契 約 を 医 療 機 関 と 締 結 すること (8) リモート 保 守 とメッセージログの 採 取 8. リモートメンテナンスによるシステム の 改 造 や 保 守 が 行 なわれる 場 合 には 必 ずアクセスログを 収 集 すると 共 に 当 該 作 業 の 終 了 後 速 やかに 作 業 内 容 を 医 療 機 関 等 の 責 任 者 が 確 認 すること 5. 保 守 作 業 にかかわるログの 確 認 手 段 と して アクセスした 診 療 録 等 の 識 別 情 報 を 時 系 列 順 に 並 べて 表 示 し かつ 指 定 時 間 内 でどの 患 者 に 何 回 のアクセス が 行 なわれたかが 確 認 できる 仕 組 みが 備 わっていること (ア) 詳 細 なオペレーション 記 録 を 保 守 操 作 ログとして 記 録 することが 望 ましい 詳 細 は 6.2 技 術 的 安 全 対 策 (6) アクセス 記 録 及 びログの 確 認 を 参 照 するこ と (ア) オンサイトの 保 守 作 業 のみならず リモートによる 保 守 においても 作 業 の 操 作 ロ グを 採 取 し 作 業 終 了 後 可 及 的 速 やかに 操 作 ログの 内 容 を 当 該 医 療 機 関 に 提 出 す ること 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 33 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

40 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (c) その 他 (ア) リモート 保 守 に 関 する 技 術 的 および 運 用 的 安 全 管 理 については JAHIS 技 術 文 書 リモートサービスセキュリティガイド および JAHIS 標 準 リモートサービ スセキュリティガイドライン を 参 照 すること (9) 保 守 作 業 の 再 委 託 9. 再 委 託 が 行 なわれる 場 合 は 再 委 託 する 事 業 者 にも 保 守 会 社 と 同 等 の 義 務 を 課 すこと 追 記 事 項 なし 追 記 事 項 なし 34 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

41 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 6.5. 情 報 および 情 報 機 器 の 持 ち 出 しについて 安 全 管 理 のガイドライン の 要 求 事 項 は 医 療 機 関 から 見 た 業 務 委 託 先 であるベンダ ーにも 適 用 される ただし ベンダーが 医 療 機 関 から 情 報 や 情 報 機 器 を 持 ち 出 すケースは そのほとんどが 保 守 用 途 と 考 えられるため ここでの 記 述 は 6.4 システムの 改 造 と 保 守 での 記 述 に 委 ねるものとする また 情 報 の 持 ち 出 し 方 法 として データ 回 線 による 電 子 的 な 移 動 も 考 えられるが これについても 同 様 とする 1. 組 織 としてリスク 分 析 を 実 施 し 情 報 お よび 情 報 機 器 の 持 ち 出 しに 関 する 方 針 を 運 用 管 理 規 程 で 定 めること 2. 運 用 管 理 規 程 には 持 ち 出 した 情 報 およ び 情 報 機 器 の 管 理 方 法 を 定 めること 3. 情 報 を 格 納 した 可 搬 媒 体 もしくは 情 報 機 器 の 盗 難 紛 失 時 の 対 応 を 運 用 管 理 規 程 に 定 めること 4. 運 用 管 理 規 程 で 定 めた 盗 難 紛 失 時 の 対 応 を 従 業 者 等 に 周 知 徹 底 し 教 育 を 行 うこと 1. 外 部 での 情 報 機 器 の 覗 き 見 による 情 報 の 露 見 を 避 けるため ディスプレイに 覗 き 見 防 止 フィルタ 等 を 張 ること 2. 情 報 機 器 のログインや 情 報 へのアクセ ス 時 には 複 数 の 認 証 要 素 を 組 み 合 わせ て 用 いること 情 報 格 納 用 の 可 搬 媒 体 や 情 報 機 器 は 全 て 登 録 し 登 録 されていない 機 器 によ る 情 報 の 持 ち 出 しを 禁 止 すること 5. 医 療 機 関 等 や 情 報 の 管 理 者 は 情 報 が 格 納 された 可 搬 媒 体 もしくは 情 報 機 器 の 所 在 を 台 帳 を 用 いる 等 して 把 握 するこ と 6. 情 報 機 器 に 対 して 起 動 パスワードを 設 定 すること 設 定 にあたっては 推 定 し やすいパスワードなどの 利 用 を 避 けた り 定 期 的 にパスワードを 変 更 する 等 の 措 置 を 行 うこと 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 35 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

42 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 7. 盗 難 置 き 忘 れ 等 に 対 応 する 措 置 とし て 情 報 に 対 して 暗 号 化 したりアクセ スパスワードを 設 定 する 等 容 易 に 内 容 を 読 み 取 られないようにすること 8. 持 ち 出 した 情 報 機 器 をネットワークに 接 続 したり 他 の 外 部 媒 体 を 接 続 する 場 合 は コンピュータウイルス 対 策 ソ フトの 導 入 やパーソナルファイアウォ ールを 用 いる 等 して 情 報 端 末 が 情 報 漏 えい 改 ざん 等 の 対 象 にならないよ うな 対 策 を 施 すこと なお ネットワ ークに 接 続 する 場 合 は 6.11 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 合 の 安 全 管 理 の 規 定 を 順 守 すること 9. 持 ち 出 した 情 報 を 例 えばファイル 交 換 ソフト(Winny 等 )がインストールさ れた 情 報 機 器 で 取 り 扱 わないこと 医 療 機 関 等 が 管 理 する 情 報 機 器 の 場 合 は このようなソフトウェアをインス トールしないこと 10. 個 人 保 有 の 情 報 機 器 (パソコン 等 )で あっても 業 務 上 医 療 機 関 等 の 情 報 を 取 り 扱 ったり 医 療 機 関 等 のシステ ムへアクセスするような 場 合 は 管 理 者 の 責 任 において 上 記 の と 同 様 の 要 件 を 順 守 させること 技 術 的 対 策 については 6.2 技 術 的 安 全 対 策 (7) 個 人 情 報 を 含 むデータの 組 織 外 への 持 ち 出 し の を 参 照 すること 36 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

43 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 運 用 的 対 策 については 6.2 技 術 的 安 全 対 策 (7) 個 人 情 報 を 含 むデータの 組 織 外 への 持 ち 出 し の を 参 照 すること 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 37 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

44 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 6.6. 災 害 等 の 非 常 時 の 対 応 非 常 時 においても 医 療 機 関 には 患 者 安 全 に 配 慮 した 医 療 サービスの 提 供 を 優 先 すること が 求 められる ここでいう 非 常 時 とは 1) 医 療 情 報 システムが 異 常 動 作 あるいは 停 止 した 場 合 2)システム 運 用 環 境 が 非 定 常 状 態 になる 場 合 の 2 種 類 の 状 態 を 言 う 1)の 状 態 は (ア) 広 域 災 害 災 害 ( 地 震 水 害 落 雷 火 災 等 )による 電 力 通 信 途 絶 施 設 設 備 損 壊 インフラ 業 者 の IT 機 能 不 全 (イ) 局 所 被 害 サイバー 攻 撃 による 不 正 侵 入 改 ざんを 検 知 あるいはウィルス 攻 撃 DoS 攻 撃 によるサービス 不 能 (ウ) システム 障 害 ハードウェアの 故 障 プログラムの 欠 陥 操 作 ミスによるサービス 不 能 などにより 医 療 情 報 システムが 縮 退 運 用 や 全 面 停 止 状 態 になる 状 態 である 2)の 状 態 は (ア) 災 害 時 等 に 多 数 の 患 者 が 医 療 機 関 に 殺 到 し 通 常 のアクセス 制 御 下 あるいは 通 常 のフローでは 運 用 が 困 難 になる 場 合 (イ) 災 害 時 等 の 患 者 集 中 により 緊 急 処 置 が 必 要 な 状 態 にアクセス 権 限 を 持 った 利 用 者 が 不 在 か 手 が 足 りない などの 場 合 などに 非 定 常 のアクセス 制 御 あるいはフローでシステムを 運 用 する 状 態 である 医 療 機 関 は 事 前 にこのような 状 況 になった 場 合 の 事 業 継 続 計 画 (BCP : Business Continuity Plan)を 策 定 し それに 従 って 対 応 することが 安 全 管 理 ガイドラインで 求 めら れている BCP 策 定 と 運 用 のポイントとして BCP 発 動 以 降 を BCP 実 行 フェーズ 業 務 再 開 フェーズ 業 務 回 復 フェーズ 全 面 復 旧 フェーズの 四 つに 分 けている 尚 BCP の 詳 細 な 内 容 はガイドラインの 考 え 方 を 参 照 願 いたい 医 療 情 報 システムベンダは 医 療 機 関 が 策 定 する BCP の 内 容 に 沿 った 機 能 をシステム に 装 備 することを 求 められる あるいは 現 状 システムの 機 能 を 医 療 機 関 に 明 確 に 提 示 し 医 療 機 関 側 の BCP 策 定 に 協 力 することが 求 められる また 広 域 災 害 時 の 復 旧 サポート 38 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

45 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 などを 想 定 し 医 療 情 報 システムベンダ 自 身 の BCP の 整 備 も 必 要 となる (1) 非 常 時 における 事 業 継 続 計 画 (BCP : Business Continuity Plan) 1. 医 療 サービスを 提 供 し 続 けるための BCP の 一 環 として 非 常 時 と 判 断 す る 仕 組 み 正 常 復 帰 時 の 手 順 を 設 ける こと すなわち 判 断 するための 基 準 手 順 判 断 者 をあらかじめ 決 めてお くこと 2. 正 常 復 帰 後 に 代 替 手 段 運 用 した 間 の データ 整 合 性 を 図 る 規 約 を 用 意 するこ と 4. サイバー 攻 撃 で 広 範 な 地 域 での 一 部 医 療 行 為 の 停 止 など 医 療 サービス 提 供 体 制 に 支 障 が 発 生 する 場 合 は 別 途 定 め る 所 管 官 庁 への 連 絡 を 行 うこと (ア) 医 療 情 報 システムが 非 常 状 態 になる 可 能 性 が 高 いと 判 断 した 場 合 運 用 責 任 者 や 運 用 管 理 者 など BCP で 定 められた 人 場 所 システムに 通 知 する 機 能 を 有 する ことが 望 ましい (イ) 原 因 に 応 じた 技 術 的 対 策 を 有 することが 望 ましい 例 えば 電 力 途 絶 の 場 合 非 常 用 電 力 への 自 動 的 な 切 替 機 能 や 安 全 にシャットダウンする 機 能 ハードウェア 故 障 時 の 代 替 機 への 切 替 機 能 や 二 重 化 が 施 されたハードウェアの 採 用 など コンピ ュータ 本 体 関 連 だけでなくネットワーク 機 器 への 対 処 も 必 要 である (ウ) 非 常 状 態 に 応 じた 運 用 切 替 機 能 および 復 旧 後 の 平 常 運 用 への 切 替 機 能 を 有 する ことが 望 ましい 例 えば 一 部 の 端 末 あるいは 一 部 の 機 能 のみの 縮 退 運 用 可 能 にす るなど (エ) 非 常 時 回 復 ツールの 装 備 を 有 することが 望 ましい 例 えばバックアップからの 復 旧 ツール データベースの 整 合 性 チェックツールなど (オ) 復 旧 後 の 代 替 運 用 からの 整 合 性 処 置 をサポートする 機 能 を 有 することが 望 まし 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 39 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

46 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 い 例 えば 代 替 運 用 時 の 情 報 の 取 り 込 み 機 能 や 整 合 性 確 認 機 能 など (ア) 医 療 情 報 システム 開 発 ベンダーは 医 療 機 関 の BCP 策 定 運 用 見 直 しに 協 力 す ること (イ) 医 療 情 報 システム 開 発 ベンダーは 広 域 災 害 時 の 復 旧 サポートなどを 想 定 し 自 身 の BCP を 整 備 すること (ウ) 更 に 定 期 的 に BCP に 基 づく 障 害 時 のサポート 訓 練 を 実 施 して その 結 果 を 踏 ま えて BCP の 改 善 を 行 うこと (2) 医 療 システムの 非 常 時 運 用 への 対 応 3. 非 常 時 の 情 報 システムの 運 用 非 常 時 のユーザアカウントや 非 常 時 用 機 能 の 管 理 手 順 を 整 備 すること 非 常 時 機 能 が 定 常 時 に 不 適 切 に 利 用 さ れることがないようにし もし 使 用 され た 場 合 には 使 用 されたことが 多 くの 人 にわかるようにする 等 適 切 に 管 理 およ び 監 査 をすること 非 常 時 用 ユーザアカウントが 使 用 され た 場 合 正 常 復 帰 後 は 継 続 使 用 が 出 来 な いように 変 更 しておくこと (ア) 非 常 時 用 機 能 を 有 すること 具 体 的 には 非 常 時 用 アカウント 制 御 への 切 替 機 能 通 常 フローでない 運 用 のサポートなど (イ) 非 常 時 用 機 能 は 通 常 時 には 不 必 要 に 使 用 されないよう 対 策 が 取 られていること 例 えば 非 常 時 用 機 能 が 使 用 されていることが 多 数 の 人 にわかるようにするなど (ウ) 非 常 時 用 機 能 に 切 り 替 わっていることが 利 用 者 に 明 確 にわかるようにすること 40 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

47 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 (エ) 非 常 時 用 機 能 が 使 用 された 場 合 そのことを 適 当 な 人 に 通 知 する 機 能 非 常 時 に 切 り 替 えたユーザを 特 定 したり 利 用 記 録 が 監 査 ログに 残 る 機 能 を 有 すること (オ) 非 常 時 でなくなった 場 合 通 常 運 用 に 速 やかに 切 り 替 える 機 能 (カ) 非 定 常 時 に 通 常 使 用 しない 要 員 ( 例 えば 応 援 の 医 師 など)が 使 うことを 前 提 に 患 者 番 号 性 別 年 齢 等 で 患 者 を 簡 単 に 選 択 し 最 低 限 の 診 療 記 録 を 簡 単 に 参 照 で きる 機 能 ( 操 作 性 については 全 国 共 通 仕 様 のようなものがあると 望 ましい) (キ) 一 時 的 に 参 照 のアクセス 権 限 をフリー( 開 放 )する 機 能 (ア) 非 常 用 ユーザアカウントによる 対 応 を 行 う 場 合 以 下 のような 運 用 を 行 うこと 1 非 常 用 ユーザアカウント 名 は 非 常 用 であることが 明 らかにわかる 入 力 しや すいものにすること 逆 に 非 常 用 ユーザアカウントのパスワードは 類 推 し にくいものにすること ただし 緊 急 時 に 入 力 しにくいものにはしないこ と 2 非 常 用 ユーザアカウントのパスワードの 入 手 は 比 較 的 容 易 に 行 えるように すること 利 用 したい 端 末 から 非 常 に 離 れた 場 所 まで 行 かないと 入 手 でき ないのでは 意 味 がない 3 非 常 用 ユーザアカウントが 利 用 された 場 合 そのことが 直 ちに 管 理 者 だけ でなく 多 数 の 人 にわかるようにすること また 実 際 の 利 用 者 が 誰 かなのか が 記 録 に 残 ること これにより 安 易 な 利 用 や 否 認 を 抑 止 できる 4 非 常 用 ユーザアカウントの 利 用 者 は 速 やかにID 氏 名 利 用 時 刻 利 用 理 由 などを 管 理 者 に 報 告 すること 5 非 常 用 ユーザアカウントが 利 用 された 後 ポリシーに 従 った 適 切 な 運 用 で あったかどうかを 利 用 者 の 報 告 内 容 やログなどで 確 認 すること 非 常 用 ア カウントでの 利 用 の 場 合 ログレベルを 上 げるのもよい 6 非 常 用 ユーザアカウントが 利 用 された 場 合 継 続 利 用 できないようにパス ワードを 変 更 すること 7 非 常 用 ユーザアカウントでアクセスできる 範 囲 は リスク 分 析 を 行 い 適 切 な 範 囲 までとすること 8 定 期 的 に 非 常 用 アカウントの 動 作 確 認 を 行 うこと 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 41 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

48 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 6.7. 外 部 と 個 人 情 報 を 含 む 医 療 情 報 を 交 換 する 場 合 の 安 全 管 理 外 部 と 医 療 情 報 を 外 部 ネットワークを 利 用 して 交 換 する 場 合 情 報 の 送 信 元 から 送 信 先 に 確 実 に 情 報 を 送 り 届 ける 必 要 がある その 際 送 付 すべき 相 手 に 正 しい 内 容 を 内 容 を 覗 き 見 されない 方 法 で 送 付 しなければならない 送 信 元 の 送 信 機 器 から 送 信 先 の 受 信 機 器 までの 間 の 通 信 経 路 において 上 記 内 容 を 担 保 する 必 要 がある この 端 末 間 の 通 信 路 のセキュリティをチャネル セキュリティと 呼 び 情 報 の 内 容 に 対 するセキュリティ のことをオブジェクトセキュリティと 呼 ぶ オブジェクトセキュリティにおいては 医 療 情 報 をネットワークを 通 じて 伝 播 させる 場 合 に 盗 聴 改 ざん なりすまし などの 危 険 性 に 対 する 対 応 が 必 要 とされる 盗 聴 :パスワード 盗 聴 本 文 の 盗 聴 など 改 ざん:メッセージ 挿 入 ウィルス 混 入 など なりすまし: 情 報 の 流 出 改 ざんなどの 原 因 となる ガイドラインでは 改 ざん 検 知 のための 電 子 署 名 や PKI を 利 用 したネットワーク 接 続 時 の 認 証 の 仕 組 みにより 通 信 の 起 点 と 終 点 で 医 療 機 関 を 適 切 に 識 別 できるように 求 めてい る チャネル セキュリティにおいては 通 信 経 路 上 での 脅 威 への 対 策 とともに 外 部 と 医 療 機 関 との 間 の 責 任 分 界 点 を 明 確 にするために ガイドラインではネットワークにおける セキュリティの 責 任 分 界 点 がネットワークを 提 供 する 事 業 者 となるか 医 療 機 関 等 になる か もしくは 分 担 となるかを 契 約 等 で 明 らかにする 必 要 があるとしている この 際 の 考 え 方 として 外 部 と 医 療 機 関 を 接 続 するために 以 下 の 二 つの 場 合 について 類 型 化 している 回 線 事 業 者 とオンラインサービス 提 供 事 業 者 がネットワーク 経 路 上 のセキュリ ティを 担 保 する 場 合 : 回 線 事 業 者 とオンラインサービス 提 供 事 業 者 が 提 供 するク ローズドなネットワークや インターネット 回 線 を 利 用 した Internet-VPN のよ うな 通 信 形 体 のうち ネットワーク 上 のセキュリティを 上 記 業 者 が 担 保 している もの 回 線 事 業 者 とオンラインサービス 提 供 事 業 者 がネットワーク 経 路 上 のセキュリ ティを 担 保 しない 場 合 :インターネットを 用 いて 医 療 機 関 等 同 士 が 同 意 の 上 ネ ットワーク 接 続 機 器 を 導 入 して 双 方 を 接 続 する 場 合 などが 考 えられる (1) 外 部 との 通 信 における 脅 威 と 対 策 安 全 管 理 ガイドラインでは 外 部 と 診 療 情 報 等 を 交 換 するケースとして 以 下 の 五 つのケ ースを 元 に 解 析 している 42 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

49 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 地 域 医 療 連 携 で 医 療 機 関 薬 局 検 査 会 社 等 と 相 互 に 連 携 してネットワークで 診 療 情 報 等 をやり 取 りする 場 合 診 療 報 酬 の 請 求 のために 審 査 支 払 機 関 等 とネットワークで 接 続 する 場 合 ASP(Application Service Provider) 型 のサービスを 利 用 する 場 合 医 療 機 関 等 の 従 事 者 がノートパソコンの 様 なモバイル 型 の 端 末 を 用 いて 業 務 上 の 必 要 に 応 じて 医 療 機 関 等 の 情 報 システムに 接 続 する 場 合 患 者 等 による 外 部 からのアクセスを 許 可 する 場 合 このように 医 療 機 関 等 において 医 療 情 報 をネットワークを 通 じて 交 換 しようとする 場 合 には 提 供 サービス 形 態 の 視 点 から 責 任 分 界 点 のあり 方 を 理 解 した 上 でネットワークを 選 定 する 必 要 があるとし また 医 療 機 関 は 選 択 するセキュリティ 技 術 の 特 性 を 理 解 し リ スクの 受 容 範 囲 を 認 識 した 上 で 必 要 に 応 じて 説 明 責 任 の 観 点 から 患 者 等 にもそのリスク を 説 明 する 必 要 があるとしている 1.ネットワーク 経 路 でのメッセージ 挿 入 ウィルス 混 入 などの 改 ざんを 防 止 する 対 策 をとること 施 設 間 の 経 路 上 においてクラッカーによる パスワード 盗 聴 本 文 の 盗 聴 を 防 止 す る 対 策 をとること セッション 乗 っ 取 り IP アドレス 詐 称 など のなりすましを 防 止 する 対 策 をとるこ と 上 記 を 満 たす 対 策 として 例 えば IPSec と IKE を 利 用 することによりセキュア な 通 信 路 を 確 保 することがあげられ る チャネル セキュリティの 確 保 を 閉 域 ネッ トワークの 採 用 に 期 待 してネットワー クを 構 成 する 場 合 には 選 択 するサー ビスの 閉 域 性 の 範 囲 を 事 業 者 に 確 認 す 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 43 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

50 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 ること 追 記 事 項 なし 追 記 事 項 なし (2) 外 部 との 通 信 における 認 証 情 報 を 送 ろうとする 医 療 機 関 等 と 送 信 先 の 医 療 機 関 等 は 相 互 に 適 切 な 認 証 を 採 用 して 相 手 が 確 かに 通 信 しようとする 相 手 なのか また 送 られて 来 た 情 報 が 確 かに 送 信 元 の 医 療 機 関 等 の 情 報 であるかを 確 認 しなくてはならない そのため 例 えば 通 信 の 起 点 と 終 点 で 相 互 を 適 切 に 識 別 するために 公 開 鍵 方 式 や 共 有 鍵 方 式 等 の 確 立 された 認 証 の 仕 組 みを 用 いて 認 証 する 等 の 対 応 を 取 ることが 考 えられる 2.データ 送 信 元 と 送 信 先 での 拠 点 の 出 入 り 口 使 用 機 器 使 用 機 器 上 の 機 能 単 位 利 用 者 の 必 要 な 単 位 で 相 手 の 確 認 を 行 う 必 要 がある 採 用 する 通 信 方 式 や 運 用 管 理 規 程 により 採 用 する 認 証 手 段 を 決 めること 認 証 手 段 として は PKI による 認 証 Kerberos のよう な 鍵 配 布 事 前 配 布 された 共 通 鍵 の 利 用 ワンタイムパスワードなどの 容 易 に 解 読 されない 方 法 を 用 いるのが 望 ま しい 追 記 事 項 なし 44 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会

51 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 追 記 事 項 なし (3) 外 部 との 通 信 における 成 りすましの 防 止 通 信 のなりすまし 防 止 については 情 報 の 改 ざん 防 止 と 併 せて 適 切 な 認 証 の 仕 組 みと ともに 医 療 情 報 等 に 対 して 電 子 署 名 を 組 み 合 わせることも 考 えられる 3. 施 設 内 において 正 規 利 用 者 へのなりす まし 許 可 機 器 へのなりすましを 防 ぐ 対 策 をとること これに 関 しては 医 療 情 報 の 安 全 管 理 に 関 するガイドライ ン 6.5 技 術 的 安 全 対 策 で 包 括 的 に 述 べているので それを 参 照 すること 技 術 的 対 策 については 6.2 技 術 的 安 全 対 策 の を 参 照 すること 運 用 的 対 策 については 6.2 技 術 的 安 全 対 策 の を 参 照 すること (4) 外 部 との 通 信 に 利 用 する 機 器 の 選 定 4.ルータなどのネットワーク 機 器 は 安 全 性 が 確 認 できる 機 器 を 利 用 し 施 設 内 のルータを 経 由 して 異 なる 施 設 間 を 結 ぶ VPN の 間 で 送 受 信 ができないよう に 経 路 設 定 されていること 安 全 性 が 確 認 できる 機 器 とは 例 えば ISO15408 で 規 定 されるセキュリティ 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 45 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会 2009 年 10 月

52 第 6 章 情 報 システムの 基 本 的 な 安 全 管 理 ターゲットもしくはそれに 類 するセキ ュリティ 対 策 が 規 定 された 文 書 が 本 ガ イドラインに 適 合 していることを 確 認 できるものをいう 追 記 事 項 なし 追 記 事 項 なし (5) 外 部 との 通 信 における 秘 匿 性 の 確 保 適 切 な 認 証 の 仕 組 みとともに 情 報 の 機 密 度 に 応 じたネットワーク 種 別 と 情 報 そのものに 対 する 暗 号 化 を 採 用 しなければならない 暗 号 化 技 術 にはそのアルゴリズム 特 有 の 脆 弱 性 や 鍵 強 度 の 問 題 など 定 期 的 な 保 守 や 対 応 が 必 要 となるが 安 全 管 理 ガイドラインでは 電 子 政 府 推 奨 暗 号 を 使 用 することとなっている ( 参 照 : 暗 号 技 術 検 討 会 5. 送 信 元 と 相 手 先 の 当 事 者 間 で 当 該 情 報 そ のものに 対 する 暗 号 化 などのセキュリ ティ 対 策 を 実 施 すること たとえば SSL/TLS の 利 用 S/MIME の 利 用 ファイルに 対 する 暗 号 化 などの 対 策 が 考 えられる その 際 暗 号 化 の 鍵 につ いては 電 子 政 府 推 奨 暗 号 のものを 使 用 すること 追 記 事 項 なし 46 保 存 が 義 務 付 けられた 診 療 録 等 の 電 子 保 存 ガイドライン 2009 年 10 月 Copyright 2009 保 健 医 療 福 祉 情 報 システム 工 業 会