|
会員ログイン |
JAHIS技術文書04-101
医療分野のIT化が、ネットワークを介した医療情報のやりとりを可能にし、シームレスな医療環境が実現できるようになりました。例えば、医療施設間連携であり、医療機関の内部に保存されている診療情報を外部の医療機関で参照し、継続的な診療を実現するものです。遠隔医療もこの一種です。
また、医療機関外とのネットワーク化により、医療機関内の機器やシステムと保守サービスベンダとをネットワークで結び、保守管理サービスを遠隔で行うことも可能となりました。この遠隔保守(以下「リモートサービス」)により医療機関における機器およびシステムは、故障時などのダウンタイム短縮など、より円滑な運用が可能となります。
ただし、ネットワーク化で利便性が高まるとともに、外部の悪意を持った存在による個人情報の大量持出しや、医療システムの運用妨害などのリスクも高まりました。これらのリスクから個人情報や機器を保護することがネットワークセキュリティです。個人情報保護法も成立し、医療機関、ベンダともネットワークセキュリティに関する関心が向上しています。
本ガイドは、以上のような状況を踏まえ、保健医療福祉情報システム工業会(JAHIS)および(社)日本画像医療システム工業会(JIRA)の各セキュリティ委員会有志で構成したリモートサービスセキュリティWG(RSS-WG)メンバにて、ネットワークを介したリモートサービスを題材に、医療機関の機器およびシステム内に有する個人情報を保護するためのリスク分析・管理手法の説明、そして技術的および運用的セキュリティ対策について以下の内容をまとめました。
1)医療分野におけるリモートサービスの概要、セキュリティ対策の必要性
2)一般的なリモートサービスの運用モデルの提示と、それに基づいたリスク分析
3)それらのリスクに対する技術的および運用的セキュリティ対策例の紹介
4)リモートサービスに関するセキュリティ運用・マネジメントのポイント
本ガイドは、単にリモートサービス導入の際に留まらず、医療機関、ベンダそれぞれにおけるセキュリティ対策立案時に参考として頂くことを目的としています。少しでもお役に立てば幸いです。
はじめに
第1章 医療分野におけるリモートサービス
1-1. リモートサービスの概要
1-2. リモートサービスの必要性
1-3. 本ガイドの対象範囲
1-4. 略語集
第2章 リモートサービスセキュリティの課題
2-1. 個人情報保護とリモートサービス
2-2. リモートサービスにおけるセキュリティの現状
2-3. セキュリティ対策の現状における問題
2-4. 国際的な標準化に向けて
第3章 リモートサービスにおけるリスク分析
3-1. リモートサービスの運用モデル
3-1-1. 故障時の対応
3-1-2. 定期保守・定期監視
3-1-3. ソフトウェアの改訂
3-2.リスク分析
3-2-1. リスク分析の考え方と基準
3-2-2. モートサービスにおけるリスク分析
3-3. セキュリティ対策
3-3-1. RSC機器における対策
3-3-2. RSC内部ネットワークにおける対策
3-3-3. 外部ネットワークにおける対策
3-3-4. HCF内部ネットワークにおける対策
3-3-5. HCF保守対象機器における対策
第4章 日本におけるリモートサービスのあり方
4-1. 医療機関とベンダの役割分担
4-2. SPCにおける合意事項
第5章 キュリティ対策の策定
5-1. 全体的な方針
5-2. セキュリティポリシ
5-3. セキュリティ対策標準
5-4. セキュリティポリシのマッピング
5-5. ソリューションの選定
5-6. 運用実施規定
5-7. セキュリティ監査基準
5-8. セキュリティ監査と監査証跡
第6章 リモートサービスセキュリティの実際の運用
第7章 第三者機関を利用した公的監査の推進
第8章 本ガイドの技術的・制度的変化への対応
付録1 リスク分析
付録2 情報セキュリティ監査規程作成時の留意点
付録3 リモートサービスセキュリティWG 委員名簿
リモートサービス セキュリティガイド
はじめに
医療分野のIT化が、ネットワークを介した医療情報のやりとりを可能にし、シームレスな医療環境が実現できるようになりました。例えば、医療施設間連携であり、医療機関の内部に保存されている診療情報を外部の医療機関で参照し、継続的な診療を実現するものです。遠隔医療もこの一種です。
また、医療機関外とのネットワーク化により、医療機関内の機器やシステムと保守サービスベンダとをネットワークで結び、保守管理サービスを遠隔で行うことも可能となりました。この遠隔保守(以下「リモートサービス」)により医療機関における機器およびシステムは、故障時などのダウンタイム短縮など、より円滑な運用が可能となります。
ただし、ネットワーク化で利便性が高まるとともに、外部の悪意を持った存在による個人情報の大量持出しや、医療システムの運用妨害などのリスクも高まりました。これらのリスクから個人情報や機器を保護することがネットワークセキュリティです。個人情報保護法も成立し、医療機関、ベンダともネットワークセキュリティに関する関心が向上しています。
本ガイドは、以上のような状況を踏まえ、保健医療福祉情報システム工業会(JAHIS)および(社)日本画像医療システム工業会(JIRA)の各セキュリティ委員会有志で構成したリモートサービスセキュリティWG(RSS-WG)メンバにて、ネットワークを介したリモートサービスを題材に、医療機関の機器およびシステム内に有する個人情報を保護するためのリスク分析・管理手法の説明、そして技術的および運用的セキュリティ対策について以下の内容をまとめました。
1)医療分野におけるリモートサービスの概要、セキュリティ対策の必要性
2)一般的なリモートサービスの運用モデルの提示と、それに基づいたリスク分析
3)それらのリスクに対する技術的および運用的セキュリティ対策例の紹介
4)リモートサービスに関するセキュリティ運用・マネジメントのポイント
本ガイドは、単にリモートサービス導入の際に留まらず、医療機関、ベンダそれぞれにおけるセキュリティ対策立案時に参考として頂くことを目的としています。少しでもお役に立てば幸いです。
目 次
はじめに
第1章 医療分野におけるリモートサービス
1-1. リモートサービスの概要
1-2. リモートサービスの必要性
1-3. 本ガイドの対象範囲
1-4. 略語集
第2章 リモートサービスセキュリティの課題
2-1. 個人情報保護とリモートサービス
2-2. リモートサービスにおけるセキュリティの現状
2-3. セキュリティ対策の現状における問題
2-4. 国際的な標準化に向けて
第3章 リモートサービスにおけるリスク分析
3-1. リモートサービスの運用モデル
3-1-1. 故障時の対応
3-1-2. 定期保守・定期監視
3-1-3. ソフトウェアの改訂
3-2.リスク分析
3-2-1. リスク分析の考え方と基準
3-2-2. モートサービスにおけるリスク分析
3-3. セキュリティ対策
3-3-1. RSC機器における対策
3-3-2. RSC内部ネットワークにおける対策
3-3-3. 外部ネットワークにおける対策
3-3-4. HCF内部ネットワークにおける対策
3-3-5. HCF保守対象機器における対策
第4章 日本におけるリモートサービスのあり方
4-1. 医療機関とベンダの役割分担
4-2. SPCにおける合意事項
第5章 キュリティ対策の策定
5-1. 全体的な方針
5-2. セキュリティポリシ
5-3. セキュリティ対策標準
5-4. セキュリティポリシのマッピング
5-5. ソリューションの選定
5-6. 運用実施規定
5-7. セキュリティ監査基準
5-8. セキュリティ監査と監査証跡
第6章 リモートサービスセキュリティの実際の運用
第7章 第三者機関を利用した公的監査の推進
第8章 本ガイドの技術的・制度的変化への対応
付録1 リスク分析
付録2 情報セキュリティ監査規程作成時の留意点
付録3 リモートサービスセキュリティWG 委員名簿