|
|
会員ログイン |
JAHIS標準06-001
2006年6月
日本画像医療システム工業会 セキュリティ委員会
保健医療福祉情報システム工業会 セキュリティ委員会
はじめに
第1章 リモートサービスセキュリティガイドラインの必要性
1-1.背景
1-2.目的
1-3.対象範囲
1-4.リモートサービスの運用モデル
1-4-1.故障時の対応
1-4-2.定期保守・定期監視
1-4-3.ソフトウェアの改訂
1-4-4.リスクアセスメント実施時の条件
1-5.略語集
第2章 リモートサービスセキュリティの要件
2-1.リモートサービスにおけるセキュリティの現状
2-2.個人情報保護とリモートサービス
2-3.電子保存三原則とリモートサービス
2-4.情報セキュリティマネジメントとリモートサービス
第3章 リモートサービスへのISMSの適用
3-1.本ガイドラインにおけるISMSの適用範囲
3-2.RSSでのセキュリティ基本方針
3-3.標準的事例におけるリスク評価
3-4.標準的事例における管理すべきリスク
3-5.本ガイドラインに記載のないリスクの識別
3-6.リスク対応
第4章 管理目的と管理策の選択
4-1.リモートサービスの安全管理措置に関する全体的な方針
4-2.リモートサービスにおける安全管理措置
4-2-1.リモートサービスにおける組織的安全管理措置
4-2-2.リモートサービスにおける物理的安全管理措置
4-2-3.リモートサービスにおける技術的安全管理措置
4-2-4.リモートサービスにおける人的安全管理措置
第5章 残存リスクの承認
第6章 セキュリティ監査のガイドライン
6-1.リモートサービスにおけるセキュリティ監査
6-2.第三者機関によるセキュリティ監査の推奨
第7章 本ガイドラインの技術的・制度的変化への対応
参照規格および法規
付録1 ISMS準拠リモートサービスリスクアセスメント表
付録2 リモートサービスセキュリティWG 委員名簿
ま え が き
医療のIT化は医事会計システム、部門システム、オーダエントリシステム、電子カルテの順に整備され、今後、電子化された医療情報は、施設間連携などの医療行為のなかでやりとりされるだけでなく、ネットワークを介してシームレスに流通することが考えられます。特に医療機関と医療機器ベンダとをネットワークで結び、医療機器の保守を安全にかつ効率的に行うためには、扱う患者データ等の個人情報の持ち出しやシステムの運用妨害などのリスクを漏れなく把握し、医療機関と医療機器ベンダ双方がセキュリティ対策を講じていかなければなりません。
このような背景の中、JAHISセキュリティ委員会ではJIRA(社団法人 日本画像医療システム工業会)セキュリティ委員会と共同でリモートサービスセキュリティWGを発足させ、医療分野における遠隔保守(リモートサービス)のあり方と、情報セキュリティマネジメントと個人情報保護の視点からリモートサービスのリスクアセスメントを研究し、医療機関と医療機器ベンダがそれぞれどのようなセキュリティ対策を取るべきかの検討を行ってきました。2003年度にはJAHIS技術文書「リモートサービスセキュリティガイド」を完成させました。ガイド作成当時は、医療分野における情報セキュリティの対策や個人情報保護に対する指針が明確になっていなかった為に、JAHIS標準となるガイドラインを作成することが難しく、セキュリティの啓蒙普及活動等を目的としたガイドを作成することとなりました。しかしながら現在では、情報セキュリティ及び個人情報保護に関する法律、指針・ガイドラインが明確となり、リモートサービスセキュリティの基準として、より踏み込んだ記載を行うことが可能となりました。そこで、当リモートサービスセキュリティWGでは、リモートサービスを安全に行うための実践的なガイドラインを作成し、医療機器およびシステム内に流通する個人情報を保護するための管理手法・リスク分析と、ISMS(情報セキュリティマネジメントシステム)という考え方におけるリモートサービスのセキュリティ対策のあり方についてまとめた「リモートサービスセキュリティガイドラインを作成しました。
ガイドラインでは下記の事項について説明しています。
1)医療分野におけるリモートサービスのリスクマネジメントの必要性と範囲
2)リモートサービスにおけるセキュリティ要件とセキュリティの基本方針
3)一般的なリモートサービスの運用モデルにおけるリスク評価と残存リスク、リスク対応
4)リモートサービスにおけるリスクコントロールの目的と管理策
5)リモートサービスにおけるセキュリティ監査のあり方
本ガイドラインは、ネットワークを介したリモートサービスを題材とし、ISMSの最新動向を加味して、医療機器ベンダがリモートサービスを実施する際の基準を示すことを目的としています。本ガイドラインは、JAHIS標準のガイドラインであり、厚生労働省から出されている安全管理ガイドラインの内容にも従っている為、記載されているセキュリティ対策の医療機関に対する説得性も高く、本ガイドラインの内容に従ったセキュリティ対策を施すことがより望ましいといえます。本ガイドラインが普及することによって、セキュリティ対策に対しての医療機器ベンダと医療機関の間での取り決めの際の拠り所となる基準ができ、これが医療ベンダと医療機関の双方に利益をもたらすこととなれば幸いです。
このような背景の中、JAHISセキュリティ委員会ではJIRA(社団法人 日本画像医療システム工業会)セキュリティ委員会と共同でリモートサービスセキュリティWGを発足させ、医療分野における遠隔保守(リモートサービス)のあり方と、情報セキュリティマネジメントと個人情報保護の視点からリモートサービスのリスクアセスメントを研究し、医療機関と医療機器ベンダがそれぞれどのようなセキュリティ対策を取るべきかの検討を行ってきました。2003年度にはJAHIS技術文書「リモートサービスセキュリティガイド」を完成させました。ガイド作成当時は、医療分野における情報セキュリティの対策や個人情報保護に対する指針が明確になっていなかった為に、JAHIS標準となるガイドラインを作成することが難しく、セキュリティの啓蒙普及活動等を目的としたガイドを作成することとなりました。しかしながら現在では、情報セキュリティ及び個人情報保護に関する法律、指針・ガイドラインが明確となり、リモートサービスセキュリティの基準として、より踏み込んだ記載を行うことが可能となりました。そこで、当リモートサービスセキュリティWGでは、リモートサービスを安全に行うための実践的なガイドラインを作成し、医療機器およびシステム内に流通する個人情報を保護するための管理手法・リスク分析と、ISMS(情報セキュリティマネジメントシステム)という考え方におけるリモートサービスのセキュリティ対策のあり方についてまとめた「リモートサービスセキュリティガイドラインを作成しました。
ガイドラインでは下記の事項について説明しています。
1)医療分野におけるリモートサービスのリスクマネジメントの必要性と範囲
2)リモートサービスにおけるセキュリティ要件とセキュリティの基本方針
3)一般的なリモートサービスの運用モデルにおけるリスク評価と残存リスク、リスク対応
4)リモートサービスにおけるリスクコントロールの目的と管理策
5)リモートサービスにおけるセキュリティ監査のあり方
本ガイドラインは、ネットワークを介したリモートサービスを題材とし、ISMSの最新動向を加味して、医療機器ベンダがリモートサービスを実施する際の基準を示すことを目的としています。本ガイドラインは、JAHIS標準のガイドラインであり、厚生労働省から出されている安全管理ガイドラインの内容にも従っている為、記載されているセキュリティ対策の医療機関に対する説得性も高く、本ガイドラインの内容に従ったセキュリティ対策を施すことがより望ましいといえます。本ガイドラインが普及することによって、セキュリティ対策に対しての医療機器ベンダと医療機関の間での取り決めの際の拠り所となる基準ができ、これが医療ベンダと医療機関の双方に利益をもたらすこととなれば幸いです。
2006年6月
日本画像医療システム工業会 セキュリティ委員会
保健医療福祉情報システム工業会 セキュリティ委員会
目 次
はじめに
第1章 リモートサービスセキュリティガイドラインの必要性
1-1.背景
1-2.目的
1-3.対象範囲
1-4.リモートサービスの運用モデル
1-4-1.故障時の対応
1-4-2.定期保守・定期監視
1-4-3.ソフトウェアの改訂
1-4-4.リスクアセスメント実施時の条件
1-5.略語集
第2章 リモートサービスセキュリティの要件
2-1.リモートサービスにおけるセキュリティの現状
2-2.個人情報保護とリモートサービス
2-3.電子保存三原則とリモートサービス
2-4.情報セキュリティマネジメントとリモートサービス
第3章 リモートサービスへのISMSの適用
3-1.本ガイドラインにおけるISMSの適用範囲
3-2.RSSでのセキュリティ基本方針
3-3.標準的事例におけるリスク評価
3-4.標準的事例における管理すべきリスク
3-5.本ガイドラインに記載のないリスクの識別
3-6.リスク対応
第4章 管理目的と管理策の選択
4-1.リモートサービスの安全管理措置に関する全体的な方針
4-2.リモートサービスにおける安全管理措置
4-2-1.リモートサービスにおける組織的安全管理措置
4-2-2.リモートサービスにおける物理的安全管理措置
4-2-3.リモートサービスにおける技術的安全管理措置
4-2-4.リモートサービスにおける人的安全管理措置
第5章 残存リスクの承認
第6章 セキュリティ監査のガイドライン
6-1.リモートサービスにおけるセキュリティ監査
6-2.第三者機関によるセキュリティ監査の推奨
第7章 本ガイドラインの技術的・制度的変化への対応
参照規格および法規
付録1 ISMS準拠リモートサービスリスクアセスメント表
付録2 リモートサービスセキュリティWG 委員名簿