医療のICT 化は医事会計システム、部門システム、オーダエントリシステム、電子カルテシステムの順に整備され、電子化された医療情報は、施設間連携などの医療行為のなかでやりとりされるだけでなく、ネットワークを介して交換されるようになりました。　
　医療機器の保守においても、医療機関と医療機器ベンダとをネットワークで結び、安全にかつ効率的に行うようになってきました。そのためには、扱う患者データ等の個人情報の持ち出しやシステムの運用妨害などのリスクを漏れなく把握し、医療機関と医療機器ベンダ双方がセキュリティ対策を講じていかなければなりません。
　JAHISセキュリティ委員会ではJIRA（一般社団法人 日本画像医療システム工業会）セキュリティ委員会と共同でリモートサービスセキュリティWG を発足させ、医療分野における遠隔保守（リモートサービス）のあり方と、情報セキュリティマネジメントと個人情報保護の視点からリモートサービスのリスクアセスメントを研究し、医療機関と医療機器ベンダがそれぞれどのようなセキュリティ対策を取るべきかの検討を行ってきました。
　その成果として、2004 年度にJAHIS標準「リモートサービスセキュリティガイド」（04-101）を、2006年度により踏み込んだ内容のJAHIS標準「リモートサービスセキュリティガイドライン」（06-001）を制定し、リモートサービスを安全に行うための実践的なガイドラインを示しました。
　上記の2つの文書で示されたリモートサービスにおけるセキュリティマネジメントの考え方は、国内に限らずどこでも参考になることから、本WGでは2008年度に、これらの記述から日本固有の法令、制度等に係る部分を取り除いたものを国際標準とすることを考え、ISO/TC215に提案し、ISO参加各国の賛同を受け、同作業会議における審議と修正を経て、「ISO TR 11633 Part 1&2」として2009年度に出版されました。またその際に施された修正や新たに加えられた記述に、再度国内での固有の法令、制度等に関する記述を加え直し、従来のガイド（04-101）とガイドライン（06-001）をガイドラインVer.2.0（09-002）として統合しました。
　Ver3.0（2016年）では引用規格であるJIS Q 27001:2014(ISO/IEC 27001:2013)及びJIS Q 27002:2014(ISO/IEC 27002:2013)の改定に伴い、その反映を中心に、同じく引用している経済産業省ガイドライン（改定版）、JIPDECのISMS最新ユーザガイドとあわせる等見直しを行いました。
　今回の改定では、本ガイドラインが参照しているガイドライン等の改定や廃止に伴い、当該箇所の修正を行い、「医療情報システムの安全管理に関するガイドライン 5.2版（以下、安全管理ガイドラインとする。）」の内容に沿うよう見直しを行いました。
　本ガイドラインが、医療情報システムにおける安全なリモート保守の普及・推進に多少とも貢献できれば幸いです

２０２２年１０月
一般社団法人 保健医療福祉情報システム工業会
医療システム部会 セキュリティ委員会
JAHIS/JIRA合同リモートサービスセキュリティ作成WG
 

目　次