セキュリティ委員会活動報告

2015 年度セキュリティ委員会成果報告 2016 年 2 月 26 日セキュリティ委員会委員長西田慎一郎 ( 島津製作所 ) 1

2015 年度活動内容 1)ISO/TC215 WG4( セキュリティ & プライバシ ) で検討されている国際標準への対応を行った 2) 厚生労働省医療情報システムの安全管理に関するガイドラインに対してベンダの立場で取り組みを行った 3) 医療機器におけるサイバーセキュリティへの対応を行った 4) リモートサービスセキュリティガイドラインの改訂および製造業者による医療情報セキュリティ開示書ガイドの普及活動を行った 2

1) ISO/TC215 WG4( セキュリティ & プライバシ ) で検討されている国際標準への対応年 2 回開催されている会議へ 2 名のエキスパートを派遣 2015 年 4 月米国サンフランシスコ 2015 年 10 月スイスベルン 2016 年 5 月オランダアムステルダム ( 予定 ) 規格検討への積極的な取り組み新規作業項目へエキスパートとして登録ドラフトの内容検討 JIRA としての意見集約 JIRA の主張のドラフトへの反映日本から規格提案リモートサービスセキュリティ WG で作成したガイドラインがベースである TR11633 Information security management for remote maintenance of medical devices and medical information systems の改訂提案 3

ISO/TC215 WG4 で検討中の主な国際標準 DIS27799 Information security management in health using ISO/IEC 27002 (27002 を利用したヘルス分野における情報セキュリティマネジメント ) DIS25237 Psudonymisation ( 仮名化 ) PWI20429 Priciples and guidelines for protection of personal health information( 個人健康情報保護の原則とガイドライン ) PWI Cloud computing security and privacy requrements for Health Information System ( クラウドコンピューティングにおけるセキュリティとプライバシー要件 ) IS17090-4:PKI-Digital signatures for healthcare documents (PKI を利用したヘルスケア文書への電子署名 ) 4

ISO/TC215 WG4 日本からの提案 IS17090-5 PKI - Authentication using Healthcare PKI credentials (PKI 資格情報を利用した認証 ) 日本からの提案 JAHIS 標準の JAHIS HPKI 電子認証ガイドライン V1.1 とほぼ同じ内容ドラフトの作成中 5

ISO/TC215 WG4 日本からの提案 TS11633-1 Information security management for remote maintenance of medical devices and medical information systems ( 医療機器と医療情報システムのリモート保守における情報セキュリティマネジメント ) 日本からの提案 JESRA のリモートサービスセキュリティガイドラインとほぼ同じ内容引用規格の IS27001, 27002 が改訂されたためそれを反映させる改定案を出し承認された元は TR( 技術レポート ) であったがリスクアセスメントの実施を必須要件とし TS( 技術仕様 ) となる予定 6

2) 厚生労働省安全管理ガイドラインに対するベンダとしての取り組み厚生労働省医療情報システムの安全管理に関するガイドライン第 4.3 版に対しての取り組み改訂を行う作業班へ 2 名参加来年度公開見込み以下の項目が改訂される見込み ( 変更の可能性あり ) 代行承認の自動確定に関しての言及製造業者による医療情報セキュリティ開示書ガイドへの言及個人持ちタブレット等のBYODの運用についての記載標的型メール攻撃への対応電子処方箋ガイドライン ( 移行期用 ) 発出に伴う改訂 7

2) 厚生労働省安全管理ガイドラインに対するベンダとしての取り組み製造業者による医療情報セキュリティ開示書ガイド Ver2.0 医療情報システムの製造業者向けに利用者への開示を目的とした安全管理ガイドラインへの適応性のチェックリスト的な文書略称 MDS(Manufacturer Disclosure Statement for Medical Information Security) 安全管理ガイドラインの第 6~8 章の技術的対策の要求事項を適用範囲顧客より開示を求められている情報システムのセキュリティに関する資料の書式や粒度 ( どこまで記述すれば十分か ) などに対する標準的なテンプレートとしての利用を想定製造業者にとっては自社の製品の安全管理ガイドラインへの適合性の確認に利用できる JIRA-HP で公開中 http://www.jira-net.or.jp/commission/system/index.html 8

製造業者による医療情報セキュリティ開示説明書 (MDS) 9

製造業者による医療情報セキュリティ開示説明書 (MDS) 10

製造業者による医療情報セキュリティ開示説明書 (MDS) JIRA 製作所 2012/2/17 JIRA 画像管理システム 1.0 1 2 3 11

想定される活用シナリオ 1 製造事業者が自社の製品のセキュリティ関連機能について MDS 書式で開示説明書を作成する 2 医療機関からの要求により製造事業者が提出あるいは製造業者が自身のホームページで公開 3 医療機関は受け取った開示説明書を元にリスクアセスメントを行い適切な運用が行われるように対応する製造事業者 2 提示医療機関 3 リスク分析 1 作成 MDS 製品 12

3) 医療機器におけるサイバーセキュリティへの対応厚生労働省通知医療機器におけるサイバーセキュリティの確保について (2015 年 4 月発出 ) 医療機器製造販売業者に対してリスクマネジメントにより医療機器へのサイバーリスクの適切な対応を要求具体的な対応として以下を要求 1 他の機器ネットワーク等と接続して使用する又は他からの不正なアクセス等が想定される医療機器については当該医療機器で想定されるネットワーク使用環境等を踏まえてサイバーリスクを含む危険性を評価除去し防護するリスクマネジメントを行い使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこと 21の必要なサイバーセキュリティの確保がなされていない医療機器については使用者に対してその旨を明示し他との接続を行わない又は接続できない設定とするよう必要な注意喚起を行うこと 3 医療情報システムの安全管理に関するガイドラインを踏まえ医療機関における不正ソフトウェア対策やネットワーク上からの不正アクセス対策等のサイバーセキュリティの確保が適切に実施されるよう医療機関に対し必要な情報提供を行うとともに必要な連携を図ること 13

3) 医療機器におけるサイバーセキュリティへの対応通知内容を具体的に説明したガイダンスを作成 3J(JAHIS JEITA JIRA) のメンバでドラフト作成中メインの執筆者は JIRA 法規安全部会の古川部会長医機連を通して AMED 研究班から今年度成果物として厚労省に出していただく予定内容は以下の通り対象機器の明確化使用環境の特定ネットワーク接続時の注意点 ( 無線 LAN サービスポート等への対応 ) リスクマネジメント時のサイバーリスクの考え方サイバーセキュリティにおける製造販売業者使用者の対応市販後の安全確保について参考資料使用者への情報提供 14

4) リモートサービスセキュリティへの対応リモートサービスセキュリティガイドライン Ver.3.0 への改訂作業医療機関内の情報機器システムを遠隔保守するケースのモデル化を行いそのモデルに対して ISMS(Information Security Management System) の手法に従ったリスクマネジメントの実施例を提示最新版の ISO27000 シリーズに対応経産省ガイドライン改定 JIPDEC ISMS ユーザガイド最新版への対応附属のリスクアセスメント表の改訂 15

4)MDS の普及活動 WG を JAHIS との合同 WG とし JESRA と同じ内容の MDS 書式を JAHIS 標準とした普及活動 JSRT 学会誌の JIRA Topics に紹介記事を掲載した ITEM2015 で冊子を配布した HEASNET 情報交換会で紹介を行った 3 月 4 日 ( 金 ) に JAHIS 会議室で書き方セミナーを開催予定 16

ご清聴ありがとうございました 17