2015 年度セキュリティ委員会成果報告 2016 年 2 月 26 日セキュリティ委員会委員長西田慎一郎 ( 島津製作所 ) 1
2015 年度活動内容 1)ISO/TC215 WG4( セキュリティ & プライバシ ) で検討されている国際標準への対応を行った 2) 厚生労働省 医療情報システムの安全管理に関するガイドライン に対して ベンダの立場で取り組みを行った 3) 医療機器におけるサイバーセキュリティへの対応を行った 4) リモートサービスセキュリティ ガイドラインの改訂および 製造業者による医療情報セキュリティ開示書 ガイドの普及活動を行った 2
1) ISO/TC215 WG4( セキュリティ & プライバシ ) で検討されている国際標準への対応 年 2 回開催されている会議へ 2 名のエキスパートを派遣 2015 年 4 月米国 サンフランシスコ 2015 年 10 月スイス ベルン 2016 年 5 月オランダ アムステルダム ( 予定 ) 規格検討への積極的な取り組み 新規作業項目へエキスパートとして登録 ドラフトの内容検討 JIRA としての意見集約 JIRA の主張のドラフトへの反映 日本から規格提案 リモートサービスセキュリティ WG で作成したガイドラインがベースである TR11633 Information security management for remote maintenance of medical devices and medical information systems の 改訂提案 3
ISO/TC215 WG4 で検討中の主な国際標準 DIS27799 Information security management in health using ISO/IEC 27002 (27002 を利用したヘルス分野における情報セキュリティマネジメント ) DIS25237 Psudonymisation ( 仮名化 ) PWI20429 Priciples and guidelines for protection of personal health information( 個人健康情報保護の原則とガイドライン ) PWI Cloud computing security and privacy requrements for Health Information System ( クラウド コンピューティングにおけるセキュリティとプライバシー要件 ) IS17090-4:PKI-Digital signatures for healthcare documents (PKI を利用したヘルスケア文書への電子署名 ) 4
ISO/TC215 WG4 日本からの提案 IS17090-5 PKI - Authentication using Healthcare PKI credentials (PKI 資格情報を利用した認証 ) 日本からの提案 JAHIS 標準の JAHIS HPKI 電子認証ガイドライン V1.1 とほぼ同じ内容 ドラフトの作成中 5
ISO/TC215 WG4 日本からの提案 TS11633-1 Information security management for remote maintenance of medical devices and medical information systems ( 医療機器と医療情報システムのリモート保守における情報セキュリティマネジメント ) 日本からの提案 JESRA の リモートサービスセキュリティガイドライン とほぼ同じ内容 引用規格の IS27001, 27002 が改訂されたため それを反映させる改定案を出し 承認された 元は TR( 技術レポート ) であったが リスクアセスメントの実施を必須要件とし TS( 技術仕様 ) となる予定 6
2) 厚生労働省 安全管理ガイドライン に対するベンダとしての取り組み 厚生労働省 医療情報システムの安全管理に関するガイドライン第 4.3 版 に対しての取り組み 改訂を行う作業班へ 2 名参加 来年度公開見込み 以下の項目が改訂される見込み ( 変更の可能性あり ) 代行承認の自動確定に関しての言及 製造業者による医療情報セキュリティ開示書 ガイドへの言及個人持ちタブレット等のBYODの運用についての記載標的型メール攻撃への対応電子処方箋ガイドライン ( 移行期用 ) 発出に伴う改訂 7
2) 厚生労働省 安全管理ガイドライン に対するベンダとしての取り組み 製造業者による 医療情報セキュリティ開示書 ガイド Ver2.0 医療情報システムの製造業者向けに 利用者への開示を目的とした 安全管理ガイドライン への適応性のチェックリスト的な文書 略称 MDS(Manufacturer Disclosure Statement for Medical Information Security) 安全管理ガイドライン の第 6~8 章の技術的対策の要求事項を適用範囲 顧客より開示を求められている情報システムのセキュリティに関する資料の書式や粒度 ( どこまで記述すれば十分か ) などに対する標準的なテンプレートとしての利用を想定 製造業者にとっては 自社の製品の 安全管理ガイドライン への適合性の確認に利用できる JIRA-HP で公開中 http://www.jira-net.or.jp/commission/system/index.html 8
製造業者による医療情報セキュリティ開示説明書 (MDS) 9
製造業者による医療情報セキュリティ開示説明書 (MDS) 10
製造業者による医療情報セキュリティ開示説明書 (MDS) JIRA 製作所 2012/2/17 JIRA 画像管理システム 1.0 1 2 3 11
想定される活用シナリオ 1 製造事業者が自社の製品のセキュリティ関連機能について MDS 書式で開示説明書を作成する 2 医療機関からの要求により製造事業者が提出 あるいは 製造業者が自身のホームページで公開 3 医療機関は受け取った開示説明書を元にリスクアセスメントを行い 適切な運用が行われるように対応する 製造事業者 2 提示 医療機関 3 リスク分析 1 作成 MDS 製品 12
3) 医療機器におけるサイバーセキュリティへの対応 厚生労働省通知 医療機器におけるサイバーセキュリティの確保について (2015 年 4 月発出 ) 医療機器製造販売業者に対して リスクマネジメントにより 医療機器へのサイバーリスクの適切な対応を要求 具体的な対応として以下を要求 1 他の機器 ネットワーク等と接続して使用する又は他からの不正なアクセス等が想定される医療機器については 当該医療機器で想定されるネットワーク使用環境等を踏まえてサイバーリスクを含む危険性を評価 除去し 防護するリスクマネジメントを行い 使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこと 21の必要なサイバーセキュリティの確保がなされていない医療機器については 使用者に対してその旨を明示し 他との接続を行わない又は接続できない設定とするよう必要な注意喚起を行うこと 3 医療情報システムの安全管理に関するガイドライン を踏まえ 医療機関における不正ソフトウェア対策やネットワーク上からの不正アクセス対策等のサイバーセキュリティの確保が適切に実施されるよう 医療機関に対し 必要な情報提供を行うとともに 必要な連携を図ること 13
3) 医療機器におけるサイバーセキュリティへの対応 通知内容を具体的に説明したガイダンスを作成 3J(JAHIS JEITA JIRA) のメンバでドラフト作成中 メインの執筆者は JIRA 法規安全部会の古川部会長 医機連を通して AMED 研究班から今年度成果物として厚労省に出していただく予定 内容は以下の通り 対象機器の明確化 使用環境の特定 ネットワーク接続時の注意点 ( 無線 LAN サービスポート等への対応 ) リスクマネジメント時のサイバーリスクの考え方 サイバーセキュリティにおける製造販売業者 使用者の対応 市販後の安全確保について 参考資料 使用者への情報提供 14
4) リモートサービスセキュリティへの対応 リモートサービスセキュリティガイドライン Ver.3.0 への改訂作業 医療機関内の情報機器 システムを遠隔保守するケースのモデル化を行い そのモデルに対して ISMS(Information Security Management System) の手法に従ったリスクマネジメントの実施例を提示 最新版の ISO27000 シリーズに対応 経産省ガイドライン改定 JIPDEC ISMS ユーザガイド最新版への対応 附属のリスクアセスメント表の改訂 15
4)MDS の普及活動 WG を JAHIS との合同 WG とし JESRA と同じ内容の MDS 書式を JAHIS 標準とした 普及活動 JSRT 学会誌の JIRA Topics に紹介記事を掲載した ITEM2015 で 冊子を配布した HEASNET 情報交換会で紹介を行った 3 月 4 日 ( 金 ) に JAHIS 会議室で書き方セミナーを開催予定 16
ご清聴ありがとうございました 17