リモートサービス セキュリティガイドラインVer.5.0

JAHIS標準25-003

リモートサービスセキュリティガイドラインVer.5.0

全文ダウンロード
 （１）「ISMS準拠リモートサービスリスクアセスメント表（使用方法）」
（２）「 ISMS準拠リモートサービスリスクアセスメント表（見本）」
（３）「ISMS準拠リスクアセスメント（テンプレート）」
（４）「リモート保守サービスSLAサンプルVer.1.0」
（５）「リモート保守サービスSLAサンプル解説付き」
（６）「RSS_SDS_チェックリスト（SDS Ver.4.1）Rev.3.1」

まえがき

　医療のICT 化は医事会計システム、部門システム、オーダエントリシステム、電子カルテシステムの順に整備され、電子化された医療情報は、施設間連携などの医療行為のなかでやりとりされるだけでなく、ネットワークを介して交換されるようになりました。
　医療機器の保守においても、医療機関と医療機器ベンダとをネットワークで結び、安全にかつ効率的に行うようになってきました。そのためには、扱う患者データ等の個人情報の持ち出しやシステムの運用妨害などのリスクを漏れなく把握し、医療機関と医療機器ベンダ双方がセキュリティ対策を講じていかなければなりません。
JAHISセキュリティ委員会ではJIRA（一般社団法人日本画像医療システム工業会）セキュリティ委員会と共同でリモートサービスセキュリティWG を発足させ、医療分野におけるリモートサービスの代表例であるリモートメンテナンスのあり方と、情報セキュリティマネジメントと個人情報保護の視点からリモートサービスのリスクアセスメントを研究し、医療機関と医療機器ベンダがそれぞれどのようなセキュリティ対策を取るべきかの検討を行ってきました。
　その成果として、2004 年度にJAHIS標準「リモートサービスセキュリティガイド」（04-101）を、2006年度により踏み込んだ内容のJAHIS標準「リモートサービスセキュリティガイドライン」（06-001）を制定し、リモートサービスを安全に行うための実践的なガイドラインを示しました。
　上記の2つの文書で示されたリモートサービスにおけるセキュリティマネジメントの考え方は、国内に限らずどこでも参考になることから、本WGでは2008年度に、これらの記述から日本固有の法令、制度等に係る部分を取り除いたものを国際標準とすることを考え、ISO/TC215に提案し、ISO参加各国の賛同を受け、同作業会議における審議と修正を経て、「ISO TR 11633 Part 1&2」として2009年度に出版されました。またその際に施された修正や新たに加えられた記述に、再度国内での固有の法令、制度等に関する記述を加え直し、従来のガイド（04-101）とガイドライン（06-001）をガイドラインVer.2.0（09-002）として統合しました。Ver.3.0（2016年）では引用規格であるJIS Q 27001:2014(ISO/IEC 27001:2013)及びJIS Q 27002:2014(ISO/IEC 27002:2013)の改定に伴い、その反映を中心に、同じく引用している経済産業省ガイドライン（改定版）、JIPDECのISMS最新ユーザガイドとあわせる等見直しを行いました。Ver.3.1a（2022年）では、本ガイドラインが参照しているガイドライン等の改定や廃止に伴い、当該箇所の修正を行い、「医療情報システムの安全管理に関するガイドライン 5.1版（以下、安全管理ガイドラインとする。）」の内容に沿うよう見直しを行いました。Ver.4.0(2024)では、JIS Q 27001:2023(ISO/IEC 27001:2022)及びJIS Q27002:2024(ISO/IEC 27002:2022)の改定に伴い、その反映を中心に、安全管理ガイドライン 6.0版の内容に沿うよう見直しを行いました。
　今回の改定では、本ガイドラインが参照している経済産業省および総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」が改定されたことに伴い、リモートサービスのライフサイクルに関する記載等を追加しました。
　本ガイドラインが、医療情報システムにおける安全なリモートサービスの普及・推進に多少とも貢献できれば幸いです。

２０２６年２月
一般社団法人保健医療福祉情報システム工業会
医療システム部会セキュリティ委員会
JAHIS/JIRA合同リモートサービスセキュリティ作成WG

目　次

1.   適用範囲   1
2.   引用規格・引用文献   1
3.   用語の定義   3
4.   記号及び略語   4
5.   リモートサービスセキュリティ   5
　5.1.   リモートサービスセキュリティ   5
　5.2.   法的適合性   8
　5.3.   契約・合意事項   10
　5.4.   リモートサービスのライフサイクルにおける義務と責任   12
6.   リモートサービスへのISMSの適用   15
　6.1.   セキュリティ要件   15
　6.2.   リモートサービスにおける情報セキュリティ方針   23
　6.3.   標準的事例におけるリスクの評価   23
　6.4.   標準的事例における管理すべきリスク   25
　6.5.   本ガイドラインに記載のないリスクの識別   25
　6.6.   リスク対応   26
　6.7.   セキュリティ監査と外部監査の推奨   28
7.   運用モデル   29
　7.1.   運用モデル   29
　7.2.   故障時の対応   31
　7.3.   定期保守・定期監視   35
　7.4.   ソフトウェアの改訂   37
8.   リスク分析とセキュリティ対策   39
　8.1.   リスク分析   39
　8.2.   セキュリティ対策方針の決定(安全管理措置の例)   40
　8.3.   セキュリティ対策   46
9.   技術的・制度的変化への対応   52

附属書 A リスクアセスメント表（附属書B）の使い方   53
附属書 B　ISMS準拠リモートサービスリスクアセスメント表   71
付録-１.　参考文献   82
付録-２.　作成者名簿   83