3 省 2 ガイドライン説明資料
3 省 2 ガイドラインの概要 2
3 省ガイドラインの統合 / 集約 従来までのガイドラインの構成 (3 省 3 ガイドライン ) 現在のガイドラインの構成 (3 省 2 ガイドライン ) 医療機関が遵守すべきガイドライン 厚生労働省 医療情報システムの安全管理に関するガイドライン ( 平成 29 年 : 第 5 版 ) 一部加筆 修正 厚生労働省 医療情報システムの安全管理に関するガイドライン (2021 年 1 月 : 第 5.1 版 ) 経済産業省 医療情報システム サービス事業者が遵守すべきガイドライン 医療情報を受託管理する情報処理事業者向けガイドライン ( 平成 24 年 2 月 : 第 2 版 ) 総務省 クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン ( 平成 30 年 7 月 : 第 1 版 ) 統合 経済産業省 / 総務省 医療情報を取り扱う情報システム サービスの提供事業者における安全管理ガイドライン (2020 年 8 月 : 第 1 版 ) 3
3 省ガイドライン適用対象組織 厚生労働省ガイドライン 経済産業ガイドライン / 総務省ガイドライン 医療に関わる電子的な医療情報を取り扱う医療機関等 例 病院 一般診療所 歯科診療所 助産所 薬局 訪問看護ステーション 介護事業者 医療情報連携ネットワーク運営事業者等 医療情報システム サービスの利用組織向け 医療情報の処理を行う情報システム サービスを提供する情報処理事業者 / クラウドサービス事業者 医療機関等と直接的な契約関係になくても 医療機関等に提供する情報システム サービスに必要な資源を担う事業者 (PaaS/IaaS 事業者等 ) 病院 一般診療所 歯科診療所 助産所 介護事業者 医療情報連携組織体等へ 医療情報を電子的に取り扱う情報システム サービス 及び当該システム サービスを可能とするシステム資源を提供する全ての事業者が該当 医療情報システム サービスの提供組織向け 4
3 省ガイドライン適用範囲の概念図 厚労省安全管理ガイドラインの対象範囲 経済産業省 総務省安全管理ガイドラインの対象範囲 医療機関等 利用 医療情報システム ( オンプレミス ) 開発 運用業務提供 情報システム事業者 医療情報サービス Internet を介したサービス提供 ( 間接 / 直接問わず ) 情報サービス事業者 5
3 省ガイドラインの基本要件 医療機関等の外部に 法令上の保存義務が定められる医療 介護文書を電子的に保存するに際して 医療機関等 / 情報システム サービス提供事業者それぞれの責任のもとで 該当文書に個人情報が含まれることの配慮とともに 実施すべき要件を整理したもの 主だった関連法令や通知等 外部保存 電子保存 個人情報保護 診療録等の外部保存に関するガイドライン 厚労省通知 : 診療録等を保存する場所について の一部改正について ( 外部保存改正通知 ) 電子媒体の保存によるガイドライン 電子署名法 e- 文書法 個人情報保護法 医療 介護関係事業者における個人情報の適切な取扱いのためのガイダンス 3 省ガイドラインとは単なるセキュリティ要件でなく 法令 ( コンプライアンス ) 要件でもある 6
基本要件に該当する各ガイドラインの対象章 ユーザ向けガイドライン事業者向けガイドライン根拠となる主要法令等対応方針 厚生労働省安全管理ガイドライン 経済産業省 / 総務省安全管理ガイドライン 第 6 章情報システムの基本的な安全管理 ( 1) 第 5 章安全管理のためのリスクマネジメントプロセス 個人情報保護法 リスクベース対応が 原則 可能 第 7 章て 電子保存の要求事項につい 第 6 章制度上の要求事項 e 文書法 リスクベース対応不可 ( ルールベース対応が必 要 ) 第 8 章診療録および診療諸記録を外部に保存する際の基準 外部保存改正通知 第 9 章診療記録をスキャナ等により電子化して保存する場合について e 文書法 1: 電子署名法に係る範囲 (6.12) はルールベースが前提 7
適用対象となる文書 3 省ガイドラインが適用される電子情報 ( 文書 ) は 基本的に 医療に関する患者情報 ( 個人識別情報 ) を含む情報 全てが該当します さらに e 文書法省令や外部保存改正通知の適用対象となる文書は具体的に指定が行われています 個人情報保護法の適用対象文書 ( 非法定保存文書を含む ) e 文書法の適用対象文書 ( 法定保存義務のある文書 ) 外部保存改正通知の適用対象文書 ( 法定保存義務のある文書 ) 個人情報保護法 e 文書法省令 及び外部保存改正通知の全てが適用される文書 8
e 文書法省令 ( 電子保存の 3 原則 ) の適用対象となる医療関連文書 医師法 ( 昭和 23 年法律第 201 号 ) 第 24 条の診療録 歯科医師法 ( 昭和 23 年法律第 202 号 ) 第 23 条の診療録 保健師助産師看護師法 ( 昭和 23 年法律第 203 号 ) 第 42 条の助産録 医療法 ( 昭和 23 年法律第 205 号 ) 第 51 条の 2 第 1 項及び第 2 項の規定による事業報告書等及び監事の監査報告書の備置き 歯科技工士法 ( 昭和 30 年法律第 168 号 ) 第 19 条の指示書 薬剤師法 ( 昭和 35 年法律第 146 号 ) 第 28 条の調剤録 外国医師又は外国歯科医師が行う臨床修練に係る医師法第 17 条及び歯科医師法第 17 条の特例等に関する法律 ( 昭和 62 年法律第 29 号 ) 第 11 条の診療録 救急救命士法 ( 平成 3 年法律第 36 号 ) 第 46 条の救急救命処置録 医療法施行規則 ( 昭和 23 年厚生省令第 50 号 ) 第 30 条の 23 第 1 項及び第 2 項の帳簿 保険医療機関及び保険医療養担当規則 ( 昭和 32 年厚生省令第 15 号 ) 第 9 条の診療録等 ( 作成については 同規則第 22 条 ) 保険薬局及び保険薬剤師療養担当規則 ( 昭和 32 年厚生省令第 16 号 ) 第 6 条の調剤録 ( 作成については 同規則第 5 条 ) 臨床検査技師等に関する法律施行規則 ( 昭和 33 年厚生省令第 24 号 ) 第 12 条の 3 の書類 ( 作成については 同規則第 12 条第 14 号及び第 15 号 ) 医療法 ( 昭和 23 年法律第 205 号 ) 第 21 条第 1 項の記録 ( 同項第 9 号に規定する診療に関する諸記録のうち医療法施行規則第 20 条第 10 号に規定する処方せんに限る ) ( 以下中略 ) 薬剤師法 ( 昭和 35 年法律第 146 号 ) 第 26 条 第 27 条の処方せん 保険薬局及び保険薬剤師療養担当規則 ( 昭和 32 年厚生省令第 16 号 ) 第 6 条の処方せん 医療法 ( 昭和 23 年法律第 205 号 ) 第 21 条第 1 項の記録 ( 医療法施行規則第 20 条第 10 号に規定する処方せんを除く ) ( 以下中略 ) 麻薬及び向精神薬取締法 ( 昭和 28 年法律第 14 号 ) 第 27 条第 6 項の処方せん 歯科衛生士法施行規則 ( 平成元年厚生省令第 46 号 ) 第 18 条の歯科衛生士の業務記録 医師法 ( 昭和 23 年法律第 201 号 ) 第 22 条の処方せん 歯科医師法 ( 昭和 23 年法律第 202 号 ) 第 21 条の処方せん 保険医療機関及び保険医療養担当規則 ( 昭和 32 年厚生省令第 15 号 ) 第 23 条第 1 項の処方せん 診療放射線技師法 ( 昭和 26 年法律第 226 号 ) 第 28 条第 1 項の規定による照射録 9
e 文書法省令 ( 電子保存の 3 原則 ) の適用対象となる介護関連文書 指定居宅サービス等の事業の人員 設備及び運営に関する基準 ( 平成 11 年厚生省令第 37 号 ) 第 73 条の 2 第 2 項の規定による訪問看護計画書及び訪問看護報告書 指定居宅サービス等の事業の人員 設備及び運営に関する基準 ( 平成 11 年厚生省令第 37 号 ) 第 154 条の 2 第 2 項 ( 第 155 条の 12 において準用する場合を含む ) の規定による短期入所療養介護計画 指定居宅サービス等の事業の人員 設備及び運営に関する基準 ( 平成 11 年厚生省令第 37 号 ) 第 191 条の 2 第 2 項及び第 192 条の 11 第 2 項の規定による特定施設サービス計画 指定介護老人福祉施設の人員 設備及び運営に関する基準 ( 平成 11 年厚生省令第 39 号 ) 第 37 条第 2 項の規定による施設サービス計画 介護老人保健施設の人員 施設及び設備並びに運営に関する基準 ( 平成 11 年厚生省令第 40 号 ) 第 38 条第 2 項の規定による施設サービス計画 指定訪問看護の事業の人員及び運営に関する基準 ( 平成 12 年厚生省令第 80 号 ) 第 30 条第 2 項の規定による訪問看護指示書 特別訪問看護指示書 精神科訪問看護指示書 精神科特別訪問看護指示書及び在宅患者訪問点滴注射指示書 指定介護予防サービス等の事業の人員 設備及び運営並びに指定介護予防サービス等に係る介護予防のための効果的な支援の方法に関する基準 ( 平成 18 年厚生労働省令第 35 号 ) 第 73 条第 2 項の規定による介護予防訪問看護計画書及び介護予防訪問看護報告書 指定介護予防サービス等の事業の人員 設備及び運営並びに指定介護予防サービス等に係る介護予防のための効果的な支援の方法に関する基準 ( 平成 18 年厚生労働省令第 35 号 ) 第 194 条第 2 項 ( 第 210 条において準用する場合を含む ) の規定による介護予防短期入所療養介護計画 指定介護予防サービス等の事業の人員 設備及び運営並びに指定介護予防サービス等に係る介護予防のための効果的な支援の方法に関する基準 ( 平成 18 年厚生労働省令第 35 号 ) 第 244 条第 2 項及び第 261 条第 2 項の規定による介護予防特定施設サービス計画 指定地域密着型サービスの事業の人員 設備及び運営に関する基準 ( 平成 18 年厚生労働省令第 34 号 ) 第 3 条の 40 第 2 項の規定による定期巡回 随時対応型訪問介護看護計画及び訪問看護報告書 指定地域密着型サービスの事業の人員 設備及び運営に関する基準 ( 平成 18 年厚生労働省令第 34 号 ) 第 40 条の 15 第 2 項の規定による療養通所介護計画 指定地域密着型サービスの事業の人員 設備及び運営に関する基準 ( 平成 18 年厚生労働省令第 34 号 ) 第 128 条第 2 項の規定による地域密着型特定施設サービス計画 指定地域密着型サービスの事業の人員 設備及び運営に関する基準 ( 平成 18 年厚生労働省令第 34 号 ) 第 156 条第 2 項 ( 第 169 条において準用する場合を含む ) の規定による地域密着型施設サービス計画 指定地域密着型サービスの事業の人員 設備及び運営に関する基準 ( 平成 18 年厚生労働省令第 34 号 ) 第 181 条第 2 項の規定による居宅サービス計画 看護小規模多機能型居宅介護計画及び看護小規模多機能型居宅介護報告書 10
外部保存改正通知の適用対象文書 下記外部保存改正通知の適用対象文書は以下の通りです なお 下線付きの文書は e 文書法省令の適用対象文書にも該当しています 医師法 ( 昭和 23 年法律第 201 号 ) 第 24 条に規定されている診療録 歯科医師法 ( 昭和 23 年法律第 202 号 ) 第 23 条に規定されている診療録 保健師助産師看護師法 ( 昭和 23 年法律 203 号 ) 第 42 条に規定されている助産録 医療法 ( 昭和 23 年法律第 205 号 ) 第 46 条第 2 項に規定されている財産目録 同法第 51 条の 2 第 1 項に規定されている事業報告書等 監事の監査報告書及び定款又は寄附行為 同条第 2 項に規定されている書類及び公認会計士等の監査報告書並びに同法第 54 条の 7 において読み替えて準用する会社法 ( 平成 17 年法律第 86 号 ) 第 684 条第 1 項に規定されている社会医療法人債原簿及び同法第 731 条第 2 項に規定されている議事録 医療法 ( 昭和 23 年法律第 205 号 ) 第 21 条 第 22 条及び第 22 条の 2 に規定されている診療に関する諸記録及び同法第 22 条及び第 22 条の 2 に規定されている病院の管理及び運営に関する諸記録 診療放射線技師法 ( 昭和 26 年法律第 226 号 ) 第 28 条に規定されている照射録 歯科技工士法 ( 昭和 30 年法律第 168 号 ) 第 19 条に規定されている指示書 薬剤師法 ( 昭和 35 年法律第 146 号 ) 第 27 条に規定されている調剤済みの処方せん 薬剤師法第 28 条に規定されている調剤録 外国医師等が行う臨床修練に係る医師法第 17 条等の特例等に関する法律 ( 昭和 62 年法律第 29 号 ) 第 11 条に規定されている診療録 救急救命士法 ( 平成 3 年法律第 36 号 ) 第 46 条に規定されている救急救命処置録 医療法施行規則 ( 昭和 23 年厚生省令第 50 号 ) 第 30 条の 23 第 1 項及び第 2 項に規定されている帳簿 保険医療機関及び保険医療養担当規則 ( 昭和 32 年厚生省令第 15 号 ) 第 9 条に規定されている診療録等 保険薬局及び保険薬剤師療養担当規則 ( 昭和 32 年厚生省令第 16 号 ) 第 6 条に規定されている調剤済みの処方せん及び調剤録 臨床検査技師等に関する法律施行規則 ( 昭和 33 年厚生省令第 24 号 ) 第 12 条の 3 に規定されている書類 歯科衛生士法施行規則 ( 平成元年厚生省令第 46 号 ) 第 18 条に規定されている歯科衛生士の業務記録 高齢者の医療の確保に関する法律の規定による療養の給付の取扱い及び担当に関する基準 ( 昭和 58 年厚生省告示第 14 号 ) 第 9 条に規定されている診療録等 高齢者の医療の確保に関する法律の規定による療養の給付の取扱い及び担当に関する基準第 28 条に規定されている調剤済みの処方せん及び調剤録 11
適用対象となるデータについて (1/2) 3 省ガイドラインは 医療従事者が患者診療 処置 検査等 医学的な目的でアクセスする 医療法等が定める法定保存文書を電子的に処理 保存する情報システム サービスが適用範囲となります 医療従事者が患者診療の目的でアクセス ガイドライン適用データ範囲 法定保存文書を電子的に処理 保存 12
適用対象となるデータについて (2/2) 3 省ガイドラインの適用対象文書はいわゆる 文書類 のみでなく それらを構成する電子的なデータにも適用される点には留意が必要です 例えば 医療機器からネットワークを介して収集した電子的な患者の生体データに基づき 医師が診療録 ( カルテ ) を作成する場合 診療録等作成時に医師が利用したデータにもガイドラインは適用されます ( 利用したデータ自体の信頼性が担保されていなければ 診療録の信頼性も担保されないため ) GL 適用対象範囲 患者 アウトプット 患者に関する電子データ 利用 医師 アウトプット GL 適用対象範囲 診療録等 ( 法定保存義務のある文書 ) 医療機器 ( ネットワーク通信機能を有する IoT 型機器 ) 医療従事者による医学上の専門的判断の根拠を構成する電子データは適用範囲となる 医療情報システムの安全管理に関するガイドライン第 5.1 版に関する Q&A Q41 Q47 Q49 等を参照 13
法的な位置付け (1/2) 医療情報システムの安全管理に関するガイドライン第 5.1 版 に関する Q&A( 令和 3 年 1 月 ) より抜粋 Q-6 このガイドラインに従いシステム構築をしていたにも関わらず起こった事故について 責任のあり方をどのように考えるべきか A このガイドラインは 医療情報システムの安全管理及びe- 文書法への適切な対応に関し 厚生労働大臣が法を執行する際の基準となるものの一つです 技術的なことだけではなく 運用を含めた安全対策を示したものであり ガイドラインを順守していたと認められる状況下で起こった事故については一定の法的責任を果たしていたということが可能だと考えられます Q-9 1 このガイドラインに違反した場合の罰則等はあるのか 2 ガイドラインを遵守しなかった場合 e- 文書法以外に抵触する法令はあるのか 3 ガイドラインの C. 最低限のガイドライン を実施しなかった場合 具体的な罰則規定があるのか A 本ガイドラインは e- 文書法が医療分野において執行される際の指針となります ガイドライン自体に罰則はありませんが ガイドラインに違背した状態は 法令を遵守していないとみなされる可能性が十分にあります ガイドラインの C. 最低限のガイドライン には 法令により要求されている事項が列挙されています したがって これに違背することにより e- 文書法に求められる要件を満たすことができていないと認められる場合には 医療に関係する多くの法令等に違反したとみなされ その罰則が適用されるおそれがあります 3 省ガイドラインの未遵守は法令違反 その事実が発覚した場合は 罰則が適用される可能性あり 14
法的な位置付け (2/2) 地方厚生局による医療機関等 ( 医科 歯科 保険薬局 ) への個別指導においても ガイドライン未遵守であることは医療機関等への改善対応指導の対象となります https://kouseikyoku.mhlw.go.jp/kantoshinetsu/gyomu/gyomu/hoken_kikan/30ika.pdf 15
診療報酬算定要件としての位置付け ~ 医療機関等の目線から 厚生労働省 : 医療情報システムの安全管理に関するガイドライン の遵守は 医療機関等が報酬算定を行うための施設基準の一部にも含まれています よって 該当する施設基準を申請しながら 安全管理 GL が準拠できていない医療機関等は不正請求のリスクを孕んでいます 診療録管理体制加算 中央病歴管理室が設置されており 医療情報システムの安全管理に関するガイドライン に準拠した体制であること 医師事務作業補助体制加算 GL に準拠し 電子カルテ等が作業補助者の 成りすまし を防ぐ仕様になっている もしくはそのように運用されていること 外部との情報の送受信 ( 地域医療連携 ) に関するもの 個人情報を画面上で取り扱う場合はGLに準じること 医療情報システムと共通のネットワーク上の端末においてカンファレンスを実施する場合にはGLに対応していること 等 例 ) 感染防止対策加算 服薬情報等提供料 退院時共同指導加算 在宅患者訪問看護 指導料 脳卒中ケアユニット入院医療管理料 脳波検査判断料 オンライン診療 等 16
診療報酬算定要件としての位置付け ~ 事業者の目線から 厚生労働省ガイドラインにて 医療機関等には情報システム サービス提供事業者が経産省 / 総務省ガイドラインに遵守していることを管理監督し 定期的に報告を受ける義務が求められています よって 医療機関等へ報告可能な態勢を事業者として有さない状況は 1: 事業者が遵守すべきコンプライアンス違反リスク ( 医療機関等との契約違反を含む可能性あり ) 2: ユーザ ( 医療機関等 ) の報酬算定要件を潜在的に侵害し 不正請求リスクをユーザに抱えさせるリスク ( さらには未遵守発覚後のレピュテーションリスク ユーザ離れリスク等 ) を意味します 厚生労働省安全管理ガイドラインの第 8 章 :8-1-2-C: 最低限のガイドライン -2-(3) ( 医療機関等 ) は 総務省 経済産業省の定めた 医療情報を取り扱う情報システム サービスの提供事業者における安全管理ガイドライン を遵守することを契約等で明確に定め 少なくとも定期的に報告を受ける等で確認をすること 厚労省安全管理ガイドラインが医療機関等に求める法令要件 一部報酬算定 前提 医療機関等 情報システム / サービス事業者 経済産業省 総務省ガイドライン GL 遵守状況の報告 遵守 契約締結 管理監督 2 のリスクエリア 1 のリスクエリア 17
よくある誤解 ~ 事業者は 3 省 2 ガイドラインに準拠できるのか 当社の医療機関等向け製品は 3 省 2 ガイドラインを遵守しているので 医療機関等は安心安全に利用できます! 医療情報システム サービス提供事業者は 3 省 2 ガイドラインのうち 経産省 総務省ガイドラインのみ遵守可能 厚労省ガイドラインは医療機関等のみが遵守できるもの 自社製品を 3 省 2 ガイドラインに遵守していると公言する事業者はかえって 3 省 2 ガイドラインのコンセプトを理解していないことを証示していることと同義 医療情報システムの安全管理に関するガイドライン第 5.1 版に関する Q&A Q-61 を参照 18
よくある質問 1 ~3 省 GL を遵守しないとどうなるの? 3 省 GL って法律じゃないでしょ 守らないと何か罰則でもあるの? 3 省ガイドラインは個人情報保護法や e- 文書法等に裏付けされたソフトロー インシデント発生時に未遵守であることが発覚すると 罰則の対象になる ( 自動車運転時の免許証のようなもの ) 医療機関が診療報酬を請求する際の施設基準にも一部含まれているため 未遵守のまま該当基準に基づく報酬請求をした場合 不正請求リスクにもつながる 19
よくある質問 2 ~ 医療機器は 3 省 GL を遵守する必要はないか? 3 省 GL は医療情報システムを提供する事業者に適用されるもので 医療機器の製造事業者には関係ないでしょ 医学上の専門的判断の根拠を構成する電子データを外部へ output する医療機器 (SaMD) は 3 省ガイドラインの適用範囲となる 外部へのデータ output がなく 機器自体で完結した機能を有する場合は適用外とみなせる 20
Microsoft サービスにおける経産省 総務省 GL への対応情報の提供方針について 21
Microsoft に適用されるガイドライン Microsoft が提供するサービスを最終的に医療機関等に提供することから Microsoft は経産省 総務省ガイドラインの対応が必要となります Microsoft 医療情報システム等の提供者 (ITベンダ等) Microsoftが提供するサービス事 ( 本資料における適用対象となるもの ) 業 Microsoftが提供するサービスを用いて 医療情者報システム サービスを開発 運用する事業者 に提供 IT ベンダ等により開発 / 保守 / 運用される医療情報システム サービス 1IT ベンダ等が提供しこれを医療機関が利用 に医提療供機関等 医療情報システム等の利用者 ( 医療機関等 ) 1IT ベンダ等が開発した医療情報システム サービスを用いる 2Microsoft のサービスを直接用いる 2 医療機関が開発等し これを利用 医療機関により開発 / 保守 / 運用される医療情報システム サービス 22
経産省 総務省ガイドラインで求められること リスクマネジメントとリスクコミュニケーションという二つの要素が求められています リスクマネジメント : ガイドラインの適用対象者が システム サービスの開発 / 運用 / 保守におけるリスクについて 情報流を基に洗い出し 適切な対策を講じること リスクコミュニケーション : リスクマネジメントの結果についての共通理解を図り その上で利用者が安全にシステム サービスを利用できるようにコミュニケーションを行うこと リスクマネジメント リスクコミュニケーション データの流れを把握 データの流れに潜むリスクを識別 事業者が講じているリスク対策や残存リスクを利用者に対して示し 利用者との間で共通的な理解を図る 識別したリスクへの対策を講じる 残存するリスクを把握する Microsoft として適切な安全管理策を講じることが必要 利用者が求める情報を開示することが必要 23
ガイドライン対応情報提供の考え方 (1/3) 利用者自身もそれぞれガイドラインに対応することが求められます そのため 1Microsoft のサービス自体が安全に管理されていることに加え 2Microsoft サービスを利用する上で GL 準拠に効果的な製品 機能は何かという情報を Microsoft が提供すること ( リスクコミュニケーション ) が重要となります Microsoft のサービスが安全に管理されていること GL 遵守のために利用者が利用可能な製品と機能 組織的 人的な安全管理 サービス 製品 機能 Azure Active Directory Azure Active Directory 認証 物理的な安全管理 Azure AD Multi-Factor Authentication Azure AD Privileged Identity Management 認証管理 技術的な安全管理 Azure SQL Database データの暗号化データの検出と分類 データ保護 医療情報システム等の提供者 利用者が利用する Microsoft のサービスが安全に管理されていることを把握できる 医療情報システム等の提供者 利用者が構築するシステム等を安全に管理するために利用可能な製品 機能の情報を把握することができる 24
ガイドライン対応情報提供の考え方 (2/3) Microsoft は利用者へ様々なサービスを提供しています 利用者は個々のニーズに応じてそれらを組み合わせ 柔軟かつコストメリットのあるリスク管理策を講じたシステム開発 運用が可能です 事業者 A が Azure を使って構築する場合 事業者 B が Microsoft 365 を使って構築する場合 利用可能な機能 : Azure Active Directory によるアクセス制御が可能 Cloud App Security Microsoft の対策 : データセンタに対する厳格な入退管理を実施している 利用可能な機能 : Azure SQL Database によりデータ暗号化が可能 利用可能な機能 : Cloud App Security によりアプリの条件付きアクセス制御が可能 Microsoft の対策 : Microsoft はお客様のデータを無許可で閲覧することはない 25
ガイドライン対応情報提供の考え方 (3/3) Microsoft が講じる安全管理措置の内容や 利用者が GL 遵守のために利用可能な機能等に関する情報については 一般的に想定されるリスクや対策と紐づける形で情報の提供を行います Microsoft が講じる安全管理措置の内容 利用者が GL 遵守のために利用可能な機能等 一般的リスク 1 一般的対策 1 MS の対策 1 一般的リスク 1 MS が提供する製品 機能 A MS が提供する製品 機能 A 一般的対策 4 一般的対策 2 一般的対策 3 MS の対策 2 MS の対策 3 MS が提供する製品 機能 F MS が提供する製品 機能 A 一般的対策 6 一般的対策 3 一般的リスク 2 一般的対策 4 一般的対策 5 MS の対策 4 MS の対策 5 一般的リスク 2 ー 一般的リスク 3 MS が提供する製品 機能 D MS が提供する製品 機能 A 一般的対策 1 一般的対策 6 一般的リスク 3 一般的対策 6 MS の対策 6 MS が提供する製品 機能 C MS が提供する製品 機能 A 一般的対策 2 26
利用者 ( 情報受領者 ) にとってのメリット こうした情報提供方針を通して 利用者が医療情報システム等に関するリスク対応を行う上で必要となる Microsoft の安全管理措置の状況 利用可能な機能の情報について リスクや対応策に紐づいて効率的に把握することを可能とします Azure を使ってシステムを構成しよう 事業者 A Microsoft の担当者が勝手にデータにアクセスするリスクがあるな Microsoft が講じる安全管理措置 Microsoft は 従業員の不正アクセスを防止する為に 自社の運用者が不正に情報を閲覧してしまうリスクがあるな 利用可能な Microsoft サービスの製品 機能 不正閲覧リスク : Azure RBAC の利用が効果的 27
Microsoft が講じる安全管理措置の概要 28
Microsoft の情報提供 (1Microsoft が講じる安全管理措置 ) 経産省 総務省 GL の 別紙 2 1 では 一般的に想定されるリスク及びその対応策が列挙されています 一般的に実施すべき対応策について Microsoft の対応状況を整理しました 総務省 経産省 GL の別紙 2 に記載されている 人的 組織的 物理的 技術的 の 3 つの対策の観点毎に 大項目ベースで Microsoft が講じている管理措置の概略を記載する ( 次ページ以降参照 ) 別紙 2 1 一般的リスク1 一般的対策 1 一般的対策 2 一般的対策 3 MS の対策 1 MS の対策 2 MS の対策 3 1 別紙 2 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表 https://www.meti.go.jp/press/2020/08/20200821002/20200821002-5.pdf 29
Microsoftが講じる安全管理措置の概要 1/15 1. 人 組織的安全管理措置の概要 1/4 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 1.1. 規程 手順の策定 アクセス管理規定 情報の廃棄対応 情報や機器の組織外への持出に対する対策 持ち出した機器や媒体の管理手順 機器 ソフトウェアの品質管理に係る手順に ついて 必要なルールおよび手順は策定 整備されています 1.2. 個人情報を含まないテストデータの利用 Microsoftの担当者に 顧客データに対する既定のアクセス権が与えられることは なく 必要なときにのみ 管理者の監視下でアクセス権が付与されます 1.3. 守秘義務に係る契約 Microsoftの従業員はセキュリティ トレーニング プログラムに参加し 定期的な セキュリティ意識向上に関する最新情報を受け取ります また Microsoftは 従 業員との契約に機密保持条項を含めています 1.4. 教育訓練の実施 Microsoft内の該当するすべての従業員は Microsoft Azure が開催するセキュリ ティトレーニングプログラムに参加し 該当する場合は定期的なセキュリティ意 識向上に関する最新情報を受け取ります セキュリティ教育は継続的なプロセス であり リスクを最小限に抑えるために定期的に行われます 30
Microsoftが講じる安全管理措置の概要 2/15 1. 人 組織的安全管理措置の概要 2/4 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 1.5. 運用状況のモニタリング セキュリティ等のインシデントの発生時に プライバシー 法務 または経営管 理者に通知するエスカレーションおよびコミュニケーション計画が確立されてい ます 1.6. 物理的に情報を搬送する場合の対策 個人情報を格納する機器を物理的に搬送することが起こりえない 機器を搬送す る前にデータが完全に削除される 運用としています 1.7. 解析及び第三者提供の制限 運用システムに対して意図しないアクセスや変更または承認されていないアクセ スや変更が行われるリスクを最小限に抑えるため 必要最小限の権限となるよう 職務が分離されています 1.8. 情報の破棄に係る記録の提出 Microsoftはベストプラクティスの手順と NIST 800-88 準拠の消去ソリュー ションを使用しています データを消去できないハードドライブの場合は 壊し (つまり切断する) 情報の回復を不可能にする (分解 切断 粉砕 焼却など) 破 壊処理を使用します 31
Microsoftが講じる安全管理措置の概要 3/15 1. 人 組織的安全管理措置の概要 3/4 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 1.9. 再委託を行う場合の再委託先の管理 Microsoftではオンラインサービス部門は外部委託に当たって Microsoftとお客 様の契約と同等のセキュリティ事項を含む契約によって外部委託を行っています 1.10. 非常時に備えた対応 BCPチームは さまざまな損失シナリオに対して定義されたテストスケジュール に従って サービスに対するビジネス継続性および災害復旧計画のテストを実施 しております 1.11. サイバー攻撃等による障害発生時の対 応 1.12. ネットワーク上の責任範囲 役割の合 意 Microsoftのエンタープライズ向けクラウドサービスは 外部の第三者および内部 の専門チームにより定期的にセキュリティ診断を受けています また利用者は システムを構成する Azure の各サービスに対する稼働状態 操作 やイベントのログを保存 確認することができます 対象外 本項目については Microsoftのサービス利用者がMicrosoftより提供される資料 を確認した上で 医療機関等とコミュニケーションを行うことを求めているもの となるため Microsoftが講じる管理措置は不要となります 32
Microsoftが講じる安全管理措置の概要 4/15 1. 人 組織的安全管理措置の概要 4/4 経産省 総務省GL 別紙2 要求事項 大項目 1.13. 機器 ソフトウェアの品質管理 1.14. 変化に伴う医療機関等への影響の最小 化 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 サービスの提供に使用される資産 (資産の定義にはデータとハードウェアを含む) に関して記録を残しています 主要な変更の実装を制御するためのソフトウェア開発およびリリース管理プロセ スが確立されています データ保持のポリシーと手順は 規制 法律 契約 またはビジネス上の要件に 従って定義および維持されています インフラストラクチャデータのバックアップおよび冗長性プログラムは 年に 1 度レビューと検証が行われます 33
Microsoftが講じる安全管理措置の概要 5/15 2. 物理的安全管理措置の概要 1/3 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 2.1. 入退管理 Microsoftのデータセンターの施設へのアクセスおよびセンター内の重要なシステ ムが設置されている部屋へのアクセスは 以下のようなセキュリティメカニズム によって制限されます 電子カードによるアクセスコントロール キーによるロック 共連れ防止機能 生体認証デバイス 2.2. 施錠管理 鍵管理 2.1.入退管理 を参照 2.3. 不正な侵入の監視 データセンター内のビデオカメラでは施設周辺や建物の玄関 すべてのサーバー ラックの前方と後方を監視しています データセンターの各階を退出するときに 再び全身の金属検査によるスクリーニングを通過する必要があります 34
Microsoftが講じる安全管理措置の概要 6/15 2. 物理的安全管理措置の概要 2/3 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 2.4. バックアップ施設における対策 Microsoftクラウドサービスにはレプリケーション機能が含まれており Microsoftデータセンター内で障害が発生した場合にお客様のデータが損失するの を防ぐことができます 2.5. 個人所有物の持ち込み制限 可搬型記憶装置等については通常の運用プロセスでは使用しません 例外的に可 搬型記憶装置を使用する場合には 追加の承認プロセスをとることを契約書 OST に記載しています 入館者は 全身の金属検査によるスクリーニングに合格する必要があります 未 承認のデータが把握されないままデータセンターを入退館するリスクを低減する ために データセンターの各階には 承認されたデバイスしか持ち込みできませ ん 2.6. 機器の盗難への対策 重要な機器は カードリーダ マントラップ ケージや施錠されたキャビネット への物理的アクセスのメカニズムが適用されており権限をもつ利用者しか機器へ アクセスできないようになっています 35
Microsoftが講じる安全管理措置の概要 7/15 2. 物理的安全管理措置の概要 3/3 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 2.7. 覗き見への対策 アクセスは職務によって制限されるため 必要な担当者だけにお客様のアプリ ケーションやサービスを管理する権限が与えられます 物理的なアクセス権限では 以下の複数の認証とセキュリティのプロセスを利用 します バッジとスマートカード 生体スキャナー 継続的なビデオ監視 データ センター環境への物理アクセスの際の 2 要素認証 2.8. 災害等への対策 サービス提供に関連する機器は 盗難や 火事 煙 水 ほこり 振動 地震 電子的な干渉などの環境的なリスクから保護された環境に配置されています データ センターを保護するために 以下を含む環境の管理を実施しています 温度管理 冷暖房 換気 および空調 (HVAC) 火災検知および抑制システム 電力管理システム 36
Microsoftが講じる安全管理措置の概要 8/15 3. 技術的安全管理措置の概要 1/8 経産省 総務省GL 別紙2 要求事項 大項目 3.1. 利用者認証の実装 3.2. アクセス権限の管理 3.3. ID パスワードの管理 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 Microsoft開発者および運用者によるアクセスには ワンタイムパスワードあるい は電子証明書による二要素認証を実施しています また 特権の利用は記録され 監査されています 運用システムに対して意図しないアクセスや変更または承認されていないアクセ スや変更が行われるリスクを最小限に抑えるため 必要最小限の権限となるよう 職務が分離されています 医療情報とそれ以外の情報を区分し アクセス制御が可能であり 医療情報を許 可なく閲覧できないようにするための権限設定等の対策が規定されています 開発者および 運用担当者はMicrosoftアカウントおよび自己署名付き証明書によ り認証を行い 不正なアクセスの使用防止 アクセス権限確認を講じています パスワードについては以下の管理措置を講じています パスワードが有効である間はそれらが判読できなくなるような方法で保存 パスワードの定期更新 8 文字以上のパスワードの設定 無効または有効期限の切れた ID を他の個人が使用できない 等 37
Microsoftが講じる安全管理措置の概要 9/15 3. 技術的安全管理措置の概要 2/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.4. ログの取得と検証 Microsoftでは 利用者の活動 機器で発生したイベント システム障害 システ ム使用状況等を記録したログを作成することが規定されています サービスに対する利用者の行った操作に関してのアクティビティログを提供し 利用者はそれを確認することができます システム保守などに従事する者のアカウントで行った作業等は アクセスした個 人情報が特定できる形でログ等により記録されます 3.5. 不正プログラムへの対策 定期的に最新の脅威についての情報収集に努め 導入している不正プログラム対 策ソフトウェアの対応範囲を確認し 対策漏れが無いことを確認しています 悪意のあるアクティビティやサービスへの不正侵入を検出し ログを検証するた めの不正プログラムへの対策が行われています 3.6. 端末やサーバの堅牢化 ウェブブラウザの接続するサーバは業務上必要なサーバに限定されています サーバ機器等への同時ログオンユーザ数 OS アカウント等 に適切な上限を設 けています 業務上不必要なアプリケーションをインストールしないように定められています 38
Microsoftが講じる安全管理措置の概要 10/15 3. 技術的安全管理措置の概要 3/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.7. 機器 ソフトウェアの脆弱性への対応 手配するソフトウェアおよびハードウェアについては セキュリティに妥協する ことのない機能を持ったものであることを確認することが 社内規定で決められ ています オペレーティングシステムのアップグレード セキュリティパッチの適用を行う 場合 医療情報システム等に対する影響を評価し 試験結果を確認してから必要 な処置を行うよう定められています 3.8. ネットワーク上のアクセス制御 外部からの不正アクセス等の対応として ファイアウォール パケットフィルタ リングにより 偽装トラフィックや不適切なブロードキャスティングなどはでき ないようになっています 外部からの不正アクセス対策として 複数の手段による多層的な予防措置を行っ ているほか 検出 抑制 回復手段を合わせて使用しています 3.9. 不正な通信の検知や遮断 接続ネットワーク境界にはネットワーク上の不正なイベントの検出 あるいは不 正なトラフィックを遮断する制御が実施されています 悪意のある活動や サービスの信頼境界を超えた侵入を監視する監視システムが 機能しています 39
Microsoftが講じる安全管理措置の概要 11/15 3. 技術的安全管理措置の概要 4/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.10. 外部へ持ち出す機器や情報の管理 Microsoftのエンタープライズ向けクラウドサービスで使用する記憶装置は Microsoftデータセンター内で厳重な管理下に置かれて運用されています 記憶装置の故障 利用年数の経過などの理由によりセキュリティ管理領域外に記 憶装置を移動する場合 記憶装置の状態に合わせて破棄あるいは消去を行います 3.11. 仮想デスクトップやMDM MAMによ る情報漏洩への対策 Microsoftでは 従業員を対象としたポリシートレーニングと定期的なセキュリ ティアップデートを含む 情報セキュリティ教育及び意識向上プログラムが確立 されております 3.12. 未登録の電子媒体の接続制限 本番環境へのアクセスは 適切な資格情報を使用した認証を必要とする定義済み のインターフェースを介して制御されています 40
Microsoftが講じる安全管理措置の概要 12/15 3. 技術的安全管理措置の概要 5/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.13. 暗号化 電子署名の利用 顧客情報が送受信される内部通信は SSLとTLSを使用して保護されております 利用者が使用する管理クライアント機器と Microsoftクラウドサービスの管理シ ステム間の通信は全てTLS 1.2 により暗号化されます 3.14. リモートメンテナンスのアクセス管理 ネットワークレベルのコンポーネントへのアクセスには 2 要素認証 (RSA SecurID) が必要であり Microsoft企業ネットワークにリモートで接続するユー ザーは 2 要素認証によってセットアップされる直接アクセスを使用します 3.15. 電子署名を利用する場合の管理 対象外 文書 診療録等の文書 に対する電子署名 医師等の記名/押印に代わる機能 については Microsoftが提供している機能がないため対象外とします 41
Microsoftが講じる安全管理措置の概要 13/15 3. 技術的安全管理措置の概要 6/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.16. 改竄防止 検知策の実装 開発者 運用者のソース コード ライブラリへのアクセスは 権限が与えられた スタッフおよび 契約業者のスタッフに制限されています 権限が与えられたス タッフおよび 契約業者のスタッフは 自身の業務の遂行のためにアクセスする必 要があるワークスペースにのみ アクセス権限が与えられます ソース コードライブラリに対する変更の詳細を記録した監査ログが保持され 定 期的な監査中に確認されます 3.17. 患者ごとの情報の管理 各オンラインサービスの顧客データは 論理的または物理的に他のオンライン サービス顧客のデータから分離されております 3.18. 利用目的に応じた応答時間の確保 対象外 本項目については Microsoftのサービス利用者がセキュリティリファレンス等の 資料を確認した上で 医療機関等とコミュニケーションを行うことを求めている ものとなるため Microsoftが講じる管理措置は不要となります 42
Microsoftが講じる安全管理措置の概要 14/15 3. 技術的安全管理措置の概要 7/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.19. 冗長化による障害対策 各装置における障害対応として以下を実施しております 利用者が冗長構成を取ることを可能にするサービス 可用性セット 可用 性ゾーン Azure Site Recovery を提供 ハードウェア死活監視および障害時自動切替 オペレーティングシステム死活監視および障害時再起動 ネットワーク死活監視および障害時冗長経路へ自動切替 プロセス監視および障害時再起動 3.20. システム障害時の措置 重要なコンポーネントは冗長性を備えて設計されています ハードウェアおよびシステムの障害を検出した場合 顧客サービスを自動的に復 元いたします セキュリティや可用性に影響を与える可能性のある潜在的な変更や事象を管理し 顧客に通知しております 43
Microsoftが講じる安全管理措置の概要 15/15 3. 技術的安全管理措置の概要 8/8 経産省 総務省GL 別紙2 要求事項 大項目 Microsoftが講じる安全管理措置 Microsoftが講じる管理措置 概要 3.21. バックアップ及びリストアの管理 Microsoftでは データバックアップを含む データ処理およびストレージの地理 的領域はお客様にて決定することができます さらに 遠隔地へのバックアップ は資産管理のために追跡および管理されております 3.22. システム更改に備えた互換性確保 AES-256 をはじめとする幅広い種類の暗号化機能が用意されており 利用者は自 分のニーズに最適なソリューションを選択できます 44
Microsoft サービスの利用者が GL へ効率的 効果的に対応するために利活用可能な製品 機能の情報提供について 45
Microsoft の情報提供 (2 想定されるリスクとリスクに対応するための製品 機能 ) 経産省 総務省 GL の 別紙 2 1 で列挙されているリスクに対して Microsoft サービス 2 の利用者が効果的且つ効率的に対応するために利活用可能な製品及びその機能を各サービス毎に整理しています これにより 各製品 機能を利用することで どのように GL に効果的に対応できるのかを把握することが可能となります 別紙 2 1 総務省 経産省 GL の別紙 2 に記載されている 対策項目で対応できるリスクシナリオ例 に対して 利用することで効率的にリスク対応が可能となる製品 機能を列挙 各機能毎の目線から 各機能を利用することによりどのように GL 対応が可能となるかを整理 一般的リスク 1 MS が提供する製品 機能 A MS が提供する製品 機能 A 一般的対策 4 1 別紙 2 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表 https://www.meti.go.jp/press/2020/08/20200821002/20200821002-5.pdf 2 Microsoft Azure, Microsoft 365, Microsoft Dynamics 365, Microsoft Power Platform の 4 サービスが該当 MS が提供する製品 機能 F MS が提供する製品 機能 A 一般的対策 6 一般的対策 3 46
資料の構成 (2 想定されるリスクとリスクに対応するための製品 機能 ) 資料の構成とその内容 利用可能な Microsoft サービスの製品 機能 シート シートに含まれる内容 リスクシナリオと対応する製品 機能 大項目 / 小項目 / 別紙 2 で記載されているリスクシナリオ例 リスクに対応可能な製品 機能 一般的に想定される対策やリスクとして 別紙 2 1 で例示されている対策群 及びリスクを一覧化 各リスクに対応する上で 医療情報システム等の提供者あるいは医療機関等が用いることが有益となる製品 機能について 各サービス毎に一覧化 製品 / 製品概要 / 製品リンク / 提供機能名 / 提供機能概要 / 参考リンク 各リスクに対応するための製品 サービス及び機能を一覧化し その概要を記載 サービス別詳細 要求事項に対する各機能の利用意義 該当する機能を利用することで 経産省 総務省 GL や厚労省 GL に対してどのように対応することができるのかを記載 対応する項目 機能を利用することで遵守することに寄与する別紙 2 1 又は厚労省 GL の項目を列挙 1 別紙 2 旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表 https://www.meti.go.jp/press/2020/08/20200821002/20200821002-5.pdf 47