2020年10月07日 12:45
厚生労働省はこのほど、医療情報システムの安全管理に関するガイドライン第5.1版の案を公表した。第5版(2017年5月)を改定したもので、「リスク分析」の項目に「組織が管理しない機器やソフトウェア、サービスの利用を禁止することが求められる」と追記している。【新井哉】
「リスク分析」の項目では、想定される脅威として、▽医療情報システムに格納されている電子データ▽入力の際に用いたメモ・原稿・検査データ等▽個人情報等のデータを格納したノートパソコン等の情報端末▽データを格納した可搬媒体等▽参照表示した端末画面等▽データを印刷した紙やフィルム等▽災害による IT 障害-などを挙げており、今回の改定案では、データを格納した可搬媒体等の具体的な事例として、新たに「可搬媒体接続によるマルウェア感染」が盛り込まれている。
「外部と個人情報を含む医療情報を交換する場合の安全管理」の項目でも、オープンネットワークを通じて外部から情報を取り込む際に、取り込む情報の安全性を確認する必要性があることを追記。「例えば取り込むデータ等についての無害化を図るなど、標的型攻撃等によるリスクを減少する対応を図ることが求められる」と記載している。
「リスク分析」の項目では、想定される脅威として、▽医療情報システムに格納されている電子データ▽入力の際に用いたメモ・原稿・検査データ等▽個人情報等のデータを格納したノートパソコン等の情報端末▽データを格納した可搬媒体等▽参照表示した端末画面等▽データを印刷した紙やフィルム等▽災害による IT 障害-などを挙げており、今回の改定案では、データを格納した可搬媒体等の具体的な事例として、新たに「可搬媒体接続によるマルウェア感染」が盛り込まれている。
「外部と個人情報を含む医療情報を交換する場合の安全管理」の項目でも、オープンネットワークを通じて外部から情報を取り込む際に、取り込む情報の安全性を確認する必要性があることを追記。「例えば取り込むデータ等についての無害化を図るなど、標的型攻撃等によるリスクを減少する対応を図ることが求められる」と記載している。