Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@secubot5

【セキュリティニュース解説】医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(1.1版)

Last updated at Posted at 2024-04-14

Bom dia:flag_br:

前回の「医療情報システムの安全管理に関するガイドライン」に引き続き、3省2ガイドラインの医療情報ガイドラインの1つである「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」について解説します。

想定読者

  • サイバーセキュリティ専門家
  • 医療情報システム・サービスを提供する事業者(ITベンダー)にお勤めの方

業界特化系であるがゆえに、本ガイドラインを初めて知る(名前くらいなら知っている)方が多いと思います。
そのため、

  • 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」って何?と聞かれたとき、答えられるようになりたい
  • 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の位置づけを知りたい
  • 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」へ対応しなければならないけど何をしていいのかさっぱりわからない
  • サイバーセキュリティの知見を広げたい

という方向けにもぜひ読んでいただきたいです。

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」って何なの?

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは、
医療機関等及び事業者の役割及び責任を明確にし、事業者が担う安全管理上の責任をリスクマネジメントプロセス及び法令等の制度に則して定義した文書
と理解いただければgoodです:thumbsup_tone2:
サイバー攻撃の高度化及び多様化により、様々な環境で動作する医療システムやサービスを一律に定めた要求事項へまとめあげるのは非合理的であるという考えの基に本ガイドラインは改定されているそうです。
つまり、明確に要求事項が定義されていないのです:joy:
そのため、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義したうえで自社のリスク分析を実施する必要があるため、セキュリティ専門家の支援を要するケースが多いのです。

  • 他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの遵守と同等の安全管理水準が確保されるようにする
  • 医療情報システム等の特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義する
  • セキュリティ対策の妥当性と限界について正しい共通理解と明示的な合意のもと医療情報システム等を運用するために、リスクコミュニケーションを重視する
  • 医療情報システム等に関連する法令の求めに対して対策の抜け漏れを防止するために、医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする
    ※「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」本編P4より抜粋

また、ここで重要なのは、医療機関等は当該ガイドラインへの対応有無によって取引する事業者を選定する可能性があることです。
”医療”という業界特性上守らなければならない法令等が多いため、このようなガイドラインへの対応有無が医療機関等からみてわかりやすい指標となるんですね。

本ガイドラインの対象は?

医療機関等との契約等に基づいて医療情報システムやサービス(以下、医療情報システム等とする)を提供する事業者
が主な対象となります。

スクリーンショット 2024-04-14 101028.png
※「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要P4より抜粋

本ガイドラインの構成は?

目次レベルで構成をざっくりまとめてみました。
スライド2.JPG
※「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要P2を引用

通常のガイドラインと構成は変わらないですが、要求事項が明確にあるわけではないので、
自社の状況に応じて検討する(専門家としての目線が)必要があります。

「医療情報システムの安全管理に関するガイドライン」との関係性は?

違いを簡単にまとめます。
医療情報システムの安全管理に関するガイドライン:
 ・発行元:厚生労働省が発行
 ・ガイドラインの対象:医療機関等及び事業者
 ・罰則の明示:あり(e-文書法)
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン:
 ・発行元:経済産業省及び総務省(本ガイドラインは2省庁の別ガイドラインを統合したもの)
 ・ガイドラインの対象:事業者のみ
 ・罰則の明示:なし
となります。
※これらを合わせて、3省2ガイドライン(医療情報ガイドライン)と呼ぶそうです。

また、「医療情報システムの安全管理に関するガイドライン」における対象が事業者となっている要求事項と本ガイドラインの要求事項レベルとの比較がされています。
あれ???今回のガイドラインは一律の要求事項が存在しないのになぜ??:scream:
と考えた方がいると思います。結論として、本別紙は過去のガイドライン(統合前)における要求事項を基に比較がされています。
そのため、比較した資料「別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」により、本ガイドラインと医療情報安全管理ガイドライン6.0版とを項目レベルで比較することも可能です。

スライド1.JPG
※別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表を引用

私見

セキュリティ専門家としての仕事が増える余地のあるガイドラインが発行されましたね。
リスクマネジメントプロセスは全セキュリティ専門家が通る道だと思うので、本ガイドラインをベースとして学習されるのも良いと思いました。
セキュリティ専門家の方は技術に特化する方が多いので、本ガイドライン等に苦手意識を持つ方が多いと思います。私のブログがそのような方の理解の一助になればうれしいです。
今後も投稿を続けていきますので、応援よろしくお願いします!

Obrigado:flag_br:

参考

1
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?