<4D F736F F F696E74202D2088C091538AC7979D834B F090E05F C18BE E B8CDD8AB B83685D>

Size: px

Start display at page:

Download "<4D F736F F F696E74202D2088C091538AC7979D834B F090E05F C18BE E B8CDD8AB B83685D>"

ああすたにしき
5 years ago
Views:

1 厚生労働省医療情報システムの安全管理に関するガイドライン解説 ( 社 ) 日本画像医療システム工業会セキュリティ委員会西田慎一郎 1

2 本日の内容安全管理 GL とは制定の経緯背景改訂履歴安全管理 GL 概要目次読み方安全管理 GL 内のベンダに関わる項目について技術的対策保守ネットワーク電子保存経産省 GL 総務省 GLとの関連外部保存 ASP SaaS 2

3 安全管理 GL とは 3

4 安全管理 GL とは医療情報システムの安全管理に関するガイドライン制定 : 平成 17 年 3 月 ( 初版 ) 平成 22 年 2 月 ( 第 4.1 版 ) 法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン及び医療機関等における個人情報保護のための情報システム運用管理ガイドラインを含んだガイドラインその後ネットワークのセキュリティ要件や災害等の非常時の対応 ASP/SaaS 型の電子カルテの要件に関する記述等を新設改正するなど必要に応じ改正等を行っている医療機関等が情報システムを運用管理する際のバイブルベンダーは医療機関がこれを遵守できるような製品システムを提供しなければならない製品機能システム構築運用支援保守等々 4

5 制定経緯医政局長の私的検討会医療情報ネットワーク基盤検討会にて作成この検討会では国民の医療を受ける際の利便性の向上や医療の質の向上等の観点から今後の望ましい医療情報ネットワークの構築に向けた技術的側面及び運用管理上の課題解決や推進のための制度基盤等について検討安全管理 GL 以外に公開鍵基盤書類の電子化及び診療録等の電子保存処方箋の電子化などについて検討電 5

6 1994 年 3 月 29 日通知 X 線フィルム等エックス線写真等の光磁気ディスク等への保存について 1999 年 4 月 22 日通知診療録等の電子媒体による保存について MEDIS-DC 共通規格光磁気ディスク法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン 2002 年 3 月 29 日通知診療録等の保存を行う場所について診療録等の外部保存に関するガイドライン 2003 年 7 月成立個人情報の保護に関する法律等 2004 年 11 月成立民間業者等が行う書面の保存等における情報通信技術の利用に関する法律 (e- 文書法 ) 2005 年 3 月 31 日通知民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について 2005 年 3 月 31 日通知診療録等の保存を行う場所についての一部改正について医療介護関係事業者における個人情報の適切な取扱のためのガイドライン医療情報システムの場合別途参照される医療情報システムの安全管理に関するガイドライン法律通知 GL 規格 6

7 改訂履歴 2005 年 (H17 年 )3 月初版作成 2007 年 (H19 年 )3 月第 2 版作成 2008 年 (H20 年 )3 月第 3 版作成 2009 年 (H21 年 )3 月第 4 版作成 2010 年 (H22 年 )2 月第 4.1 版作成 7

8 2005 年 3 月 : 第 1 版 2007 年 3 月 : 第 2 版 IT 新改革戦略 (2006/1) において安全なネットワーク基盤の確立が求められた新 6.10としてネットワークに関するセキュリティ要件定義を追加重要インフラの情報セキュリティ対策に係る基本的考え方 (2005/9) により医療における IT 基盤の災害やサイバーテロへの対応を明確化することが求められた新 6.9として自然災害サイバー攻撃によるIT 障害対策指針を追加 8

9 2007 年 3 月 : 第 2 版 2008 年 3 月 : 第 3 版医療情報の取り扱いと責任分界について考え方を整理 4 章に電子的な医療情報を扱う際の責任のあり方を追記無線 LANの利用の拡大 6 章に無線 LAN 関連の記載の追加医療機関等の従業者が患者宅や自宅等の医療機関外から自施設のシステムにアクセスするモバイルネットワークの普及 6.11 外部と個人情報を含む医療情報を交換する場合の安全管理に要件を追加新 6.9 章に情報および情報機器の持ち出しについての留意点を記載 9

10 2008 年 3 月 : 第 3 版 2009 年 3 月 : 第 4 版より適切な情報基盤構築のための考え方を整理 5 章を全面見直し電子保存の要求事項の B 項 C 項 D 項大幅見直し 7 章全般を最新の状況に応じた要求事項の改定外部保存の民間事業者受託基準の明確化項に経済産業省総務省のガイドラインを明記総務省 :ASP SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン経済産業省 : 医療情報を受託管理する情報処理事業者向けガイドライン 10

11 2009 年 3 月 : 第 4 版 2010 年 2 月 : 第 4.1 版外部保存に関する責任のあり方の明確化例示による責任分界点の考え方の整理にに (4) オンライン外部保存を委託する場合を追加外部保存の民間事業者受託基準の通知との整合性確保外部保存を受託する機関の選定基準及び情報の取り扱いに関する基準の 3 医療機関等の委託を受けて情報を保管する民間等のデータセンターに保存する場合を 3 医療機関等が民間事業者等との契約に基づいて確保した安全な場所に保存する場合とし内容を通知を踏まえ改定 11

12 安全管理 GL 概要 12

13 目次 1 はじめに 2 本指針の読み方 3 本ガイドラインの対象システム及び対象情報 4 電子的な医療情報を扱う際の責任のあり方 5 情報の相互運用性と標準化について 6 情報システムの基本的な安全管理方針の制定と公表 6.2 医療機関における情報セキュリティマネジメントシステム (ISMS) の実践 6.3 組織的安全管理対策 6.4 物理的安全対策 6.5 技術的安全対策人的安全対策 6.7 情報の破棄 6.8 情報システムの改造と保守 6.9 情報及び情報機器の持ち出しについて 6.10 災害等の非常時の対応 6.11 外部と個人情報を含む医療情報を交換する場合の安全管理 6.12 法令で定められた記名押印を電子署名で行うことについて 7 電子保存の要求事項について 8 診療録及び診療諸記録を外部に保存する際の基準 9 診療録等をスキャナ等により電子化して保存する場合について 10 運用管理について 13

14 章立て 1 章 ~6 章 : 個人情報を含むデータを扱うすべての医療機関で参照されるべき内容 7 章 : 保存義務のある診療録等を電子的に保存する場合の指針 8 章 : 保存義務のある診療録等を医療機関の外部に保存する場合の指針 9 章 :e- 文書法に基づいてスキャナ等で電子保存する場合の指針 10 章 : 運用管理規程に関する事項について記載 14

15 安全管理 GL 読み方 A 制度上の要求事項法律通知他の指針などの要求事項をそのまま掲載している B 考え方要求事項の解説および原則的な対策について記載している C 最低限のガイドライン Aの要求事項を満たすためにかならず実施しなければならない事項を記載しているこの項にはいくつかの対策の中の一つを選択する場合もあるがつを選択する場合もあるが選択を明記している場選択を明記している場合以外はすべて実施しなければならない対策である D 推奨されるガイドライン実施しなくても要求事項を満たすことは可能であるが説明責任の観点から実施したほうが理解が得やすい対策を記載している 15

16 安全管理 GL 内のベンダに関わる項目 16

17 ベンダが関わる項目 6.5 技術的安全対策 6.8 情報システムの改造と保守外部と個人情報を含む医療情報を交換する場合の安全管理 7 電子保存の要求事項について 17

18 6.5 技術的安全対策 (1) 利用者の識別及び認証 (2) 情報の区分管理とアクセス権限の管理 (3) アクセスの記録 ( アクセスログ ) (4) 不正ソフトウェア対策 (5) ネットワーク上からの不正アクセスその他 18

19 (1) 利用者の識別及び認証情報システムへのアクセスを正当な利用者のみに限定するために情報システムは利用者の識別と認証を行う機能を持たなければならない小規模な医療機関等で情報システムの利用者が限定される場合には日常の業務の際に必ずしも識別認証が必須とは考えられないケースが想定されることもあるが一般的にこの機能は必須である認証に用いる手段としては利用者しか持ち得ない 2 つの独立した要素を用いて行う方式 (2 要素認証 ) を採用することが望ましい 19

20 (1) 利用者の識別及び認証 (C 項 ) C.1 情報システムへのアクセスにおける利用者の識別と認証を行うこと C.2 本人の識別認証にユーザ ID とパスワードの組み合わせを用いる場合にはそれらの情報を本人しか知り得ない状態に保つよう対策を行うこと C.10 パスワードを利用者識別に使用する場合システム管理者は以下の事項に留意すること (1) システム内のパスワードファイルでパスワードは必ず暗号化 ( 可能なら不可逆変換が望ましい ) され適切な手法で管理及び運用が行われること ( 利用者識別に IC カード等他の手段を併用した場合はシステムに応じたパスワードの運用方法を運用管理規程にて定めること ) (2) 利用者がパスワードを忘れたり盗用されたりする恐れがある場合でシステム管理者がパスワードを変更する場合には利用者の本人確認を行いどのような手法で本人確認を行ったのかを台帳に記載 ( 本人確認を行った書類等のコピーを添付 ) し本人以外が知りえない方法で再登録を実施すること (3) システム管理者であっても利用者のパスワードを推定できる手段を防止すること ( 設定ファイルにパスワードが記載される等があってはならない ) また利用者は以下の事項に留意すること (1) パスワードは定期的に変更し ( 最長でも 2 ヶ月以内 ) 極端に短い文字列を使用しないこと英数字記号を混在させた 8 文字以上の文字列が望ましい (2) 類推しやすいパスワードを使用しないこと 20

21 (3) アクセスの記録 ( アクセスログ ) 個人情報を含む資源については全てのアクセスの記録 ( アクセスログ ) を収集し定期的にその内容をチェックして不正利用がないことを確認しなければならないアクセスログへのアクセス制限を行いアクセスログへの不当な削除 / 改ざん / 追加等を防止する対策を講じなければならないアクセスログの証拠性確保のためには記録する時刻は重要である精度の高いものを使用し管理対象の全てのシステムで同期を取らなければならない 21

22 (3) アクセスの記録 ( アクセスログ ) (C 項 ) C.6 アクセスの記録及び定期的なログの確認を行うことアクセスの記録は少なくとも利用者のログイン時刻アクセス時間ならびにログイン中に操作した患者が特定できること情報システムにアクセス記録機能があることが前提であるがない場合は業務日誌等で操作の記録 ( 操作者及び操作内容 ) を必ず行うこと C7 C.7 アクセスログへのアクセス制限を行いアクセスログの不当な削除グの不当な削除 / 改ざん / 追加等を防止する対策を講じること C.8 アクセスの記録に用いる時刻情報は信頼できるものであること医療機関等の内部で利用する時刻情報は同期している必要がありまた標準時刻と定期的に一致させる等の手段で標準時と診療事実の記録として問題のない範囲の精度を保つ必要がある 22

23 参考資料 ( アクセスの記録 ) 個人情報保護に役立つ監査証跡ガイド ( 財 ) 医療情報システム開発センター (MEDIS-DC) 監査とは情報システムが適正に運用されているかどうかを確かめる手段監査証跡の有用性とメカニズムさらには実施にあたっての体制構築や費用等について解説 23

24 (4) 不正ソフトウェア対策対策としては不正ソフトウェアのスキャン用ソフトウェアの導入が最も効果的医療機関等の外部で利用する情報端末や PC 等についても同様検出のためにはパターンファイルを常に最新のものに更新することが必須オペレーティングシステム等でセキュリティホールの報告されているものについては対応版 ( セキュリティパッチと呼ばれるもの ) への逐次更新 24

25 (4) 不正ソフトウェア対策 (C 項 ) C.9システム構築時適切に管理されていないメディア使用時外部からの情報受領時にはウイルス等の不正なソフトウェアが混入していないか確認すること適切に管理されていないと考えられるメディアを利用する際には十分な安全確認を実施し細心の注意を払って利用すること常時ウイルス等の不正なソフトウェアの混入を防ぐ適切な措置をとることまたその対策の有効性安全性の確認維持 ( たとえばパターンファイルの更新の確認維持 ) を行うこと 25

26 参考資料 ( 不正ソフトウェア対策 ) 画像診断ワークステーションのウイルス対策ソフトに関するガイドライン (JESRA TR ) 医療機器である画像診断ワークステーションへのウイルス対策ソフトの適用については, 当工業会でも会員企業各社で, まちまちの対応を取っており, 自社の対応方法が適切かよくわからない, という意見がある安全管理 GL に具体的なウイルス対策ソフトの画像診断ワークステーションへの導入方法や更新に関する手順については記載がされていない以上の状況を鑑み, 画像診断ワークステーションへのウイルス対策ソフトの適用についてガイドラインの作成を行った本ガイドラインをもとにして, 画像診断ワークステーションのみならず, その他の汎用 PC を使った機器のウイルス対策ソフトの導入にも参考としていただけると良いと考える 26

27 (5) ネットワーク上からの不正アクセスクラッカーやコンピュータウイルスや不正アクセスを目的とするソフトウェアの攻撃から保護するための一つ手段としてファイアウォールの導入医療情報システムと外部ネットワークとの関係に応じて IDS の採用も検討すべき不正アクセスの防止はいかにアクセス先の識別を確実に担保するかが重要であり特になりすましの防止は確実に行わなければならないネットワーク上を流れる情報の窃視を防止するために暗号化等による情報漏えいへの対策も必要 27

28 その他無線 LANは看護師等が情報端末を利用し患者のベッドサイドで作業する場合等に利便性が高い反面通信の遮断等も起こる危惧があるので情報の可用性が阻害されないように留意する必要医療機関等においてPLC を利用する場合医療機器に対する安全性が確認されておらず厚生労働省医薬食品局から広帯域電力線搬送通信機器による医療機器への影響に関する医療関係者等からの照会に対する対応についての通知が出されているため可用性の確保と他の医療機器への影響の双方に留意する必要 28

29 その他 (C 項 ) C.11 無線 LAN を利用する場合システム管理者は以下の事項に留意すること (1) 利用者以外に無線 LAN の利用を特定されないようにすること例えばステルスモード ANY 接続拒否等の対策をとること (2) 不正アクセスの対策を施すこと尐なくとも SSID や MAC アドレスによるアクセス制限を行うこと (3) 不正な情報の取得を防止すること例えば WPA2/AES 等により通信を暗号化し情報を保護すること (4) 電波を発する機器 ( 携帯ゲーム機等 ) によって電波干渉が起こり得るため医療機関等の施設内で利用可能とする場合には留意すること (5) 無線 LAN の適用に関しては総務省発行の安心して無線 LAN を利用するためにを参考にすること 29

30 6.8 情報システムの改造と保守メンテナンス作業には主に障害対応や予防保守ソフトウェア改訂等があるが原因特定や解析等のために障害発生時のデータを利用することがあるこの場合システムのメンテナンス要員が管理者モードで直接医療情報に触れる可能性があり十分な対策が必要個人情報保護真正性見読性保存性の点これらの脅威からデータを守るためには医療機関等の適切な管理の下に保守作業が実施される必要 1 保守会社との守秘義務契約の締結 2 保守要員の登録と管理 3 作業計画報告の管理 4 作業時の医療機関等の関係者による監督 30

31 6.8 情報システムの改造と保守 C.2メンテナンスを実施するためにサーバに保守会社の作業員がアクセスする際には保守要員個人の専用アカウントを使用し個人情報へのアクセスの有無及びアクセスした場合は対象個人情報を含む作業記録を残すことこれはシステム利用者を模して操作確認を行うためのこれはシステム利用者を模して操作確認を行うための識別認証についても同様である C.3そのアカウント情報は外部流出等による不正使用の防止の観点から適切に管理することを求めること C4 C.4 保守要員の離職や担当変え等に対して速やかに保守用アカウントを削除できるよう保守会保守会社からの報告を義務付けまたそれに応じるアカウント管理体制を整えておくこと C.5 保守会社がメンテナンスを実施する際には日単位に作業申請の事前提出することを求め終了時の速やかな作業報告書の提出を求めることそれらの書類は医療機関等の責任者が逐一承認すること C.6 保守会社と守秘義務契約を締結しこれを遵守させること C.7 保守会社が個人情報を含むデータを組織外に持ち出すことは避けるべきであるがやむを得ない状況で組織外に持ち出さなければならない場合には置き忘れ等に対する十分な対策を含む取扱いについて運用管理規程を定めることを求め医療機関等の責任者が逐医療機関等の責任者が逐一承認すること C.8 リモートメンテナンスによるシステムの改造や保守が行われる場合には必ずアクセスログを収集するとともに当該作業の終了後速やかに作業内容を医療機関等の責任者が確認すること C.9 再委託が行われる場合は再委託する事業者にも保守会社の責任で同等の義務を課すこと 31

32 外部と個人情報を含む医療情報を交換する場合の安全管理医療機関等における留意事項 1 盗聴の危険性に対する対応暗号化 2 改ざんの危険性への対応電子署名 3 なりすましの危険性への対応相互認証選択すべきネットワークのセキュリティの考え方従業者による外部からのアクセスに関する考え方患者等に診療情報等を提供する場合のネットワークに関する考え方 32

33 オブジェクトセキュリティとチャネルセキュリティオブジェクトセキュリティ暗号化とは医療情報そのものに対する暗号化を施す等して仮に送信元から送信先への通信経路上で通信データの盗聴があっても第三者がその情報を判読できないようにしておく処置のこと改ざん検知を行うために電子署名を付与することも対策のひとつこのような情報の内容に対するセキュリティのことをオブジェクトセキュリティと呼ぶチャネルセキュリティネットワーク回線の経路の暗号化であり情報の伝送途中で情報を盗み見られない処置を施すことこのような回線上の情報に対するセキュリティのことをチャネルセキュリティと呼ぶ 33

34 外部ネットワーク利用時の脅威とリスク外部ネットワーク第三者への情報提供によるリスク万が一事故が起きたときにどちらの責任になるか医療機関 A 医療機関 B 情報厚労省 GL に沿った運用組織内における情報セキュリティ管理の実施 (ISMS) ISMS(ISO/IEC( 27001) ) プライバシーマーク機能評価窃視 ( 漏えい ) なりすまし改ざん事後否認 34

35 オブジェクトセキュリティ外部ネットワーク医療機関 A 医療機関 B 情報暗号化電子署名 35

36 チャネルセキュリティ外部ネットワーク医療機関 A 情報医療機関 B 暗号化された経路 IP-VPN SSL-VPN 36

37 選択すべきネットワークのセキュリティの考え方クローズドなネットワークで接続する場合 1 専用線で接続されている場合高品質だが高コスト 2 公衆網で接続されている場合大量のデータ送信に不向き 3 閉域 IP 通信網で接続されている場合複数のネットワークで構成される場合に留意が必要オープンなネットワークで接続されている場合医療機関はリスクについて十分な検討対策が必要業者に委託する場合責任分界点の明確化が必須モバイル端末等を使って医療機関等の外部から接続する場等合 37

38 7 電子保存の要求事項について真正性の確保について虚偽入力書換え消去及び混同を防止すること消去及作成の責任の所在を明確にすること作成責任者の識別及び認証記録の確定識別情報の記録更新履歴の保存見読性の確保について電子媒体に保存された内容を権限保有者からの診療患者への説明監査訴訟等の要求に応じてそれぞれの目的に対し支障のない応答時間やスループットと操作方法で肉眼で見読可能な状態にできること何らかのシステム障害が発生した場合においても診療に重大な支障が無い最低限の見読性を確保するための対策も考慮に含める必要保存性の確保について記録された情報が法令等で定められた期間に渡って真正性を保ち見読可能にできる状態で保存されること 38

39 参考資料 ( ベンダの対応に関して ) 保存が義務付けられた診療録等の電子保存ガイドライン第 3 版 ( 社 ) 保健医療福祉情報システム工業会 (JAHIS) 各要件を実際のシステムの機能を反映した機能要件や機能要件やその機能を補完する内容を含む運用要件を整理したより具体的で実装寄りのガイドライン技術的にどの範囲まで担保することが望ましいかまた技術的に対応しにくい要件を運用でどのように担保することが期待されるかを具体的に示す 39

40 総務省 GL 経産省 GL との関連 40

41 8 診療録及び診療諸記録を外部に保存する際の基準 8.1 電子媒体による外部保存をネットワークを通じて行う場合外部保存を受託する機関の選定基準及び情報の取り扱いに関する基準データセンター等の情報処理関連事業者が経済産業省が定めた医療情報を受託管理する情報処理事業者向けガイドラインや総務省が定めた ASP SaaS における情報セキュリティ対策ガイドライン及び ASP SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドラインの要求事項を満たしていることを確認の上契約等でその遵守状況を明らかにしなくてはならない 41

42 経産省ガイドライン医療情報を受託管理する情報処理事業者向けガイドライン平成 20 年 7 月制定医療機関等から医療情報を受託する事業者となる立場の情報処理事業者等 ( 以下医療情報受託者という ) が行う個人情報の適正な取扱いの確保に関する活動を支援する具体的な指針 2. 医療情報を受託管理する情報処理事業者における安全管理上の要求事項に記載されている項目についてはそれに従わなかった場合経済産業大臣により法の規定違反と判断され得る 42

43 総務省ガイドライン (1) ASP SaaS における情報セキュリティ対策ガイドライン平成 20 年 1 月制定 ASP SaaS サービスの利用が企業等の生産性向上の健全な基盤となるよう ASP SaaS 事業者における情報セキュリティ対策の促進に資するため ASP SaaS 事業者が実施すべき情報セキュリティ対策を取りまとめたもの 43

44 総務省ガイドライン (2) ASP SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン 1.1 版平成 22 年 12 月制定 ASP SaaS 事業者が医療情報を取り扱う際に求められる責任等 ASP SaaS 事業者への要求事項等合意形成の考え方等を示す 44

45 SaaSサービス利用者と提供者の間の合意各ガイドラインの関係 SaaS 向けSLAガイドライン ( 経産省 ) 医療情報システムの安全管理に関するガイドライン第 4.1 版 ( 厚生労働省 ) 医療情報受託サービス提供者のガイドライン医療情報を受託管理する情報処理事業者向けガイドライン ( 経産省 ) ASP SaaSにおける情報セキュリティ対策ガイドライン ASP SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン SLA 参考例 ( 総務省 ) ASP SaaS 事業者のガイドライン医療機関の情報システム管理者のガイドライン 45

Ⅰ バイタルリンク利用申込書 ( 様式 1-1)( 様式 ) の手続バイタルリンクを利用する者 ( 以下システム利用者という ) は小松島市医師会長宛にあらかじめ次の手順による手続きが必要になります新規登録手続の手順 1 <システム利用者 ( 医療介護事業者 )>

Ⅰ バイタルリンク利用申込書 ( 様式 1-1)( 様式 ) の手続バイタルリンクを利用する者 ( 以下システム利用者という ) は小松島市医師会長宛にあらかじめ次の手順による手続きが必要になります新規登録手続の手順 1 <システム利用者 ( 医療介護事業者 )> 医療介護連携情報ネットワークバイタルリンク利用における個人情報の適切な取扱いの手引き平成 29 年月日版一般社団法人小松島市医師会 Ⅰ バイタルリンク利用申込書 ( 様式 1-1)( 様式 2-1 2-2) の手続バイタルリンクを利用する者 ( 以下システム利用者という ) は小松島市医師会長宛にあらかじめ次の手順による手続きが必要になります新規登録手続の手順 1