厚生労働省「医療情報システムの安全管理に 関するガイドライン4.2版」のガイダンス ~ 医療情報システムの基本的な安全管理をシステム担当者が 遂行するための手引き~ 第1.0版 平成27年7月 メディカル IT セキュリティフォーラム 本ガイダンス公表の経緯 厚生労働省の医療情報システムの安全管理に関するガイドラインは、平成11 年4月の「法令に 保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関する通知」、及び 平成14年3月通知「診療録等の保存を行う場所について」に基づき作成された各ガイドラインを統 合して作成された、平成17年3月の第1版が嚆矢となる。 その後IT技術の進化と普及、社会的な情勢の変化に応じて、平成25年10月公表の第4.2版ま で改訂を重ねてきた。 この間、総務省、経済産業省からも関連するガイドラインが数次にわたり公表・改訂されており、さ らに保健医療福祉情報システム工業界(JAHIS)からは、メーカーの立場から、厚生労働省・総務 省・経済産業省のガイドラインを統合したガイドラインが公表されている。 もとより厚生労働省のガイドラインは厚生労働大臣が個人情報保護法およびe文書法を執行する に当たり、規制や罰則を行う際の基準となるものであり、医療機関のユーザの立場では、「何をす べきか」、「何をしてはいけないのか」、「どのような状態で放置しておくと、どのような問題が発生す るのか」等の、実際に行うべき管理項目単位の指針が望まれるところである。 上述のJAHISのガイドラインは上記三省のガイドラインを効率的に統合して示しているが、あくま で「メーカーの立場でどのようなシステムを提供すべきか」を示すものであり、ユーザ側からの直接 の要望に応えるものではない。 メディカルITセキュリティフォーラムは、医療系ユーザの立場にたって情報セキュリティに関する正 確な情報提供を基盤とした啓発活動を行う非営利的な任意団体であり、厚生労働省、警察庁の指 導のもと、JAHISの加盟企業を含む多くの関係機関の支援のもとに活動を行ってきた。しかし、上記 のような状況を鑑み、ユーザの立場にたったわかりやすいガイダンスを公表すべきであると考え、 有志メンバーで検討を重ね、一定の形式を整えた段階で0.9版として公表し、皆様からのご批判・ ご意見を仰ぐこととした。そして、今般、沢山の方々から頂いたご批判・ご意見を慎重に吟味し、内 部検討した結果を反映した上で、本ガイダンスを第1.0版として公表することとした。 折しも2015年は、個人情報保護法の10年ぶりの改訂、医療ID制度(マイナンバー)の導入、人 を対象とした医学系研究に関する倫理指針(文部科学省・厚生労働省)の実施等、医療における 情報の取り扱いに関して大きな過渡期に当たる節目とも言える。 本ガイダンスが医療に携わるユーザの実務においてコンプライアンスを遵守しつつ、よりよい医療 の推進に少しでも貢献することを期待する。 1 目次 1.はじめに .............................................................................................................................. 3 2.本ガイダンスの読み方 ......................................................................................................... 4 3.ガイダンス............................................................................................................................ 5 I. 前提 ................................................................................................................................. 5 II. MHLW ガイドラインとの対応表 ......................................................................................... 6 III. 管理活動の単位 ............................................................................................................. 7 IV. 管理活動の具体的な内容 .............................................................................................. 8 <1.リスク評価> ............................................................................................................. 9 <2.アカウント/権限の管理> ........................................................................................ 15 <3.パスワード管理>.................................................................................................... 20 <4.ログの点検管理> ................................................................................................... 26 <5.媒体・機器管理> ................................................................................................... 30 <6.入退室管理> ........................................................................................................ 33 <7.外部委託先管理> ................................................................................................. 35 <8.無線 LAN 管理>.................................................................................................... 39 <9.廃棄データ管理> .................................................................................................. 41 <10.システム保守管理> ............................................................................................. 43 <11.事業継続管理> ................................................................................................... 44 <12.契約管理> .......................................................................................................... 46 <13.電子署名管理> ................................................................................................... 48 4.付表 .................................................................................................................................. 50 I. MHLW ガイドラインの関連項目一覧表 II. 自己点検チェックリスト III. 医療分野で使用される機器・システムのセキュリティに関する保守ポリシーについ ての質問票 2 1.はじめに 本ガイダンスは、厚生労働省の「医療情報システムの安全管理の関するガイドライン4.2版」(以 下、『MHLW ガイドライン』と記載)をユーザの立場から、実施すべき管理作業毎に分類し、「どのよ うなリスクが存在するのか」、「それらのリスクを放置するとどのような問題を生じるのか」、「リスクを低 減するために何を行うべきか」等、実際にユーザが情報システムを管理する際に行うべき管理項目 毎の指標を示したものである。 従って原本として参照すべきはあくまで上記 MHLW ガイドラインであり、本ガイダンスは法的な強 制力を持つものではなく、また本ガイダンスを遵守することにより、法的措置から確実に免罪される ものではない。 本ガイダンスでは、病院、診療所、薬局、助産所等(以下「医療機関等」という。)における診療録 等の電子保存に係る責任者を対象とし、理解のしやすさを考慮して、現状で選択可能な技術にも 具体的に言及した。従って、本ガイダンスは技術的な記載の陳腐化を避けるために定期的に内容 を見直す予定である。本ガイダンスを利用する場合は最新の版であることに十分留意されたい。 また、本ガイダンスは「医療・介護関係事業者における個人情報の適切な取扱いのためのガイド ライン」と対になるものであるが、個人情報保護は決して情報システムに関わる対策だけで達成さ れるものではない。従って、本ガイダンスを使用する場合、情報システムだけの担当者であっても、 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」を十分理解し、 情報システムにかかわらない部分でも個人情報保護に関する対策が達成されていることを確認す ることが必要である。 3 2.本ガイダンスの読み方 本ガイダンスは次のような構成になっている。医療機関等の責任者、情報システム管理者、また システム導入業者が、それぞれ関連する個所を理解した上で、個々の対策を実施することを期待 する。 なお、本ガイダンスでは「情報」「データ」「システム」という用語を用いているが、これは医療に関 する患者情報(個人識別情報)を含む情報及びその情報を扱うシステムという意味で用いている。 各章の記載に際しては、MHLW ガイドラインの該当する記載部位をできる限り明示しているので、 原本である MHLW ガイドラインも都度参照して理解を深めることを期待する。 【Ⅰ.前提】 本ガイダンスの前提を記載している 【Ⅱ. MHLWガイドラインとの対応表】 本ガイダンスが記述対象としている、厚生労働省「医療情報システムの安全管理に関するガイド ライン」の項番について記載している 【Ⅲ.管理活動の単位】 Ⅱで記述対象とした範囲について、ユーザが実施すべき管理活動(統制活動)という単位 で分類した内容を記載している。 【Ⅳ.管理活動の具体的な内容】 Ⅲで分類した各管理活動(統制活動)について解説を行っている。 4 3.ガイダンス I. 前提 MHLW ガイドラインの第 6 章:【情報システムの基本的な安全管理】には、患者の個人情報を含む データを取り扱う医療機関が参照・管理すべき最低限の実施事項、および推奨事項(以下、『遵守 事項』と記載)が定義されている。 本ガイダンスでは、MHLW ガイドラインにおける遵守事項について、管理すべき想定リスクをどの ようにコントロールするか(統制活動を行うか)という観点より、実施すべき事項を「管理活動」という 単位に分類し、各事項の輪郭を体系的に整理することで、MHLW ガイドラインが求める遵守事項 への取組を効率的且つ効果的に行えるよう支援することを目指している。 また、一般社団法人 保健医療福祉情報システム工業会所管の「保存が義務付けられた診療録 等の電子保存ガイドライン」(以下、『JAHIS ガイドライン』と記載)では、MHLW ガイドラインについて、 システム導入を担う IT ベンダーの観点より、管理責任・説明責任を担う技術的対策、及び運用的 対策を整理している。そのため、IT ベンダーとの責任分界に基づき、現場ユーザが担うべき遵守事 項を整理するに際しては、JAHIS ガイドラインを活用している。 5 II. MHLW ガイドラインとの対応表 MHLW ガイドラインの第 6 章:【情報システムの基本的な安全管理】に記載された各項番について、 本ガイダンスの記述対象範囲は以下の通り。 MHLW ガイドライン 対象 第 6 章:【情報システムの基本的な安全管理】 6-1:方針の制定と公表 6-2:医療機関における情報セキュリティマネジメントシステム(ISMS)の実践 〇 6-3:組織的安全管理対策 6-4:物理的管理対策 〇 6-5:技術的安全管理対策 〇 6-6-:人的安全管理対策 〇 6-7:情報の廃棄 〇 6-8:情報システムの改造と保守 〇 6-9:情報および情報機器の持ち出しについて 〇 6-10:災害時の非常時対応 〇 6-11:外部と個人情報を含む医療情報を交換する場合の安全管理 6-12:法令で定められた記名・押印を電子署名で行うことについて 〇 6-1:方針の制定と公表については、個人情報保護方針の策定、及び当該情報を取り扱う情報シ ステムの安全管理方針という、基本方針の整備に係る管理活動だが、内容面も明確なため、 MHLW ガイドラインの直接査読を推奨し、本版では省略する。 6-3:組織的な安全管理対策は、個人情報を含むデータを取り扱う情報システムの管理に際する 各種規程の整備を求める内容が中心であるが、本ガイダンスでは、後述する各種内容を取りまとめ、 組織的な安全管理対策に資する運用管理規程として文書化することを読者に求める構成としてい る。そのため、本版で取り扱う「管理活動」という単位からは外れるものであることから、本版では省 略し、今後の版にて内容を整理したうえで解説する予定である。 6-11 については、医療機関間でのデータ送受信をはじめ、介護事業体、調剤薬局、診療所との データ送受信から、スマートフォン・タブレット端末等を介した院内ネットワークへのアクセス、外部 業者によるリモートシステムメンテナンス等、外部ネットワークを介したデータ送受信に係る多岐に 亘る内容であり、今後の版にて内容をより深く精査したうえで解説する予定である。そのため、本版 では省略する。 6 III. 管理活動の単位 MHLW ガイドラインの第 6 章:【情報システムの基本的な安全管理】の各種内容を、「管理活動」と いう単位に基づき、以下の 13 区分に分類した。 No 管理活動 1 リスク評価 2 アカウント/権限の管理 3 パスワード管理 4 ログの点検管理 5 媒体・機器管理 6 入退室管理 7 外部委託先管理 8 無線 LAN 管理 9 廃棄データ管理 10 システム保守管理 11 事業継続管理 12 契約管理 13 電子証明書管理 当該分類結果に基づき、最低限の実施事項、および推奨事項の内容を体系的に整理することで、 上記管理活動を遂行するに際して、実施内容を統一的に理解できるようにしている。 7 IV. 管理活動の具体的な内容 以下、【3.管理活動の単位】で示した 13 区分について、以下の観点より解説を行う。 ①目的 対象管理活動の目的を記載 ②想定リスク 対象管理活動がどのようなリスクを想定した取組であるかについて記載 ③考え方 管理活動を行うに際して前提となる考え方を記載 ④実施例 ③:管理活動の考え方に基づき、MHLW ガイドラインの内容における、最低限実施すべき事項、 及び推奨すべき事項に係る実施例を記載 ⑤MHLW ガイドラインの関連項目 対象管理活動が MHLW ガイドラインで示される最低限の必要事項、または推奨される事項のい ずれと関連するかを記載 8 <1.リスク評価> ① 目的 リスク評価という活動は、個人情報を含むデータを取り扱う業務・システムを網羅的に洗い出し、そ こで取り扱われる業務・システムの重要度を分類し、管理対策を整備するとともに、内外環境の変 化に応じて適時に対策の見直しを図ることを目的としている。 この評価結果に基づき、重要度に応じた管理対策が検討・実行されるため、全ての管理活動に おける起点となる重要な活動である。 ② 想定リスク リスク評価に係る活動が想定するリスクは、その他の活動とは異なる。前述のとおり、この評価結果 に基づき、重要度に応じた管理対策が検討・実行された上で、実行した結果に基づき、管理対策 の妥当性が再検討されるという PDCA(Plan-Do-Check-Act)サイクルが回ることになるため、これ は全ての活動における起点となる重要な活動である。 そのため、想定リスクは、管理対策の実効性・効率性が十分に担保されなくなるリスクとなる。 ③ 考え方 MHLW ガイドライ:6-2:医療機関における情報セキュリティマネジメントシステム(ISMS)の実践で は、リスク評価対象範囲として、医療情報システムに格納されたデータを含め、様々な電子的な 資産、及び紙媒体に係る脅威を列挙している。 これらの脅威をマネージするためには、(1):情報資産の洗い出し、(2):重要度の評価、(3): 重要度に応じた管理対策の策定、(4):定期的な見直しという 4 つの作業を順番に行っていく必 要がある。 (1):情報資産の洗い出し 重要度の評価に際しては、業務上利用される情報資産を漏れなく洗い出し、一覧化することが 必要となる。 情報資産とは、サーバ、PC端末、USB メモリ、フロッピーディスク、CD/DVD ディスク等の情報 機器から、紙を刷り出すコピー機器、紙を電子化するためのスキャナー機器、ひいては業務外 の目的で利用される機器(私物として携行されるスマートフォン端末、タブレット端末等)、もしく は電子化される前・後の紙カルテ等も含まれる。 9 ここで重要なことは、「どのような情報資産(What)が、どのような局面(When/Where)で、どのよう な目的(Why)で、誰(Who)に利用されているか」という観点を踏まえ、情報資産を網羅的に洗い 出し、一覧化することである。ここで洗い出された情報資産は、重要度の評価に向けたインプット となるため、網羅的な洗い出し・抽出が必要である。 (2):重要度の評価 電子・紙を問わず、個人情報を含むデータ、あるいはそれらを取り扱うシステムの情報セキュリ ティリスクを評価するに際しては、情報セキュリティの三大基本、つまり、機密性、完全性、可用 性を用いて、これら三つの管理要件から、当該システムが各要件をどの程度求められるかという 観点で、分類を行うことが効率的である。それぞれの定義は以下のとおりである。 表1:情報セキュリティの三大基本 区分 定義 機密性 情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を 確保すること 完全性 情報が破壊、改ざん又は消去されていない状態を確保すること 可用性 情報へのアクセスを認められた者が、必要時に中断することなく、情報及び 関連資産にアクセスできる状態を確保すること (a)機密性 機密性は、アクセスを認められた者だけが、その情報にアクセスできる状態を確保することであ り、脅威としては、情報漏洩、第三者によるなりすましが挙げられる。この管理要件が満たされな い場合、不適切な情報の閲覧・参照等のリスク事象を招く。以下、リスク事象の一例を挙げる。 表2:機密性に係るリスク事象の一例 情報漏洩・ 情報へのアクセスを認められない第三者が、セキュリティを突破し、内部の情 流出 報を外部に持ち出すこと なりすまし 情報へのアクセスを認められない第三者が、アクセス権限を有する人間のふ りをして、情報にアクセスすること 例えば、患者の診療歴を扱うシステムについては、そこで取り扱われるデータの漏洩は勿論の こと、第三者によるなりすまし利用も禁じられるべきであるため、患者情報へのアクセスは一部の 人間にのみ限定され、高い機密性が求められる。医療機関における情報システムは患者の個人 情報を何らかのかたちで取り扱うものが多いため、多くのシステムにおいて機密性の要件は高く 10 なる傾向がある。 そのような場合、データの種類・内容に着目することで、機密性の管理水準をより詳細化するこ とも可能である。例えば、日医総研の「在宅医療と介護の連携における個人情報保護の在り方」 に係る検討案に基づき、医療情報の機微性の程度を、医療・介護連携に向けた必要な情報とい う観点に基づき、以下のような In-Box/Out-Box という区分に分類すること等が考えられる。 表3:「在宅医療と介護の連携における個人情報保護の在り方」における機微性の検討案 In-BOX 詳しい病名、予後等、細かな症状、家族関係、収入・財 (機微性の高い医療情報) 産、本人が知られたくない情報など Out-Box 主病名、血圧、体温、体重、食欲、外見的な状態、服薬情 (機微性の低い医療情報、健康 報(お薬手帳)、禁忌薬など 情報) 上記のような In-Box 型の機密性の高い医療データを取り扱うシステムである場合、管理対策も より手厚く講じられる必要がある。例えば、アカウント/権限管理、パスワード管理、ログ履歴管理 等は、機密性との紐付きの高い管理活動であるため、これら管理活動に係るルールを明確化し、 そのルールに基づく記録管理の運用が求められる。 (b)完全性 完全性とは、情報が破壊、改ざん又は消去されていない状態を確保することであり、脅威として は、不正なデータ改ざん、システム・プログラムの誤作動によるデータの毀損等が挙げられる。こ の管理要件が満たされない場合、データの正確性・一貫性が損なわれ、誤った情報の伝搬とい うリスク事象を招く。 例えば、患者の診療データの正確性・一貫性が損なわれた場合、病状に応じた患者に対する 診療行為の正確性・一貫性が損なわれる可能性がある。特に、医師・看護師・薬剤師・コメディカ ル等、複数の関係者により患者を全方位的に支援することの重要性が謳われる昨今、患者に係 るデータの完全性を維持する仕組みの重要度を増している。 (c)可用性 可用性とは、情報へのアクセスが必要時に中断することなく可能となる状態を確保することであ り、脅威としては、システムパフォーマンスの低下、自然災害によるシステム・利用不可、外部か 11 らのサービス停止攻撃等、期待通りにシステムが利用できなくなるリスク事象が挙げられる。 例えば、患者の診療データを集約管理する電子カルテ・オーダリングシステムが突然利用でき なくなった場合、診療行為の継続性が損なわれる可能性がある。現在、カルテ・オーダーを電子 化している医療機関の数は非常に多く、且つ、昔のようなカルテ・オーダーを紙で管理する経験 のない年次の若い研修医等が勤務する環境下では、システムが利用できなくなるインパクトは非 常に大きくなる。 (3):重要度に応じた管理対策の策定 本来は、全てのシステム・データに対して、機密性・完全性・可用性の高い管理対策を適用す ることが望ましいが、費用の負担や運用コストを考慮した場合、現実的ではない。よって、重要と なるアプローチがリスク評価である。 リスク評価を通して、各システム、及びデータの管理要件として、どの程度の機密性・完全性・ 可用性がそれぞれ求められるのかという観点より、管理リソースを重点的に投入すべきハイリスク なシステム(重要性の高いシステム)を識別し、高度な管理対策を講じる一方、ロウリスクなシステ ムに対しては簡便な管理対策を適用する等、リソースの効率配分に向けた緩急・メリハリのある 管理対策の展開が可能となる。 なお、勘違いしやすいが、ハイリスクなシステムにおいて、常に高度な管理対策をゼロベースで 新たに講じる必要はない。既に存在している管理活動を踏まえた上で、当該エリアにおけるリス クを十分に低減するための活動の導入要否を判断することが重要である。 例えば、ハイリスクと識別されたシステムにログインするために、生体認証による厳格な入退室 管理の仕組(物理的なセキュリティ)が既に存在しているような場合、入室後の PC 端末管理に係 る論理的なセキュリティ(ID・パスワード管理等)の必要性は相対的に低いといえる。これは、PC 端末管理の論理的なセキュリティが不十分であったとしても、入退室に係る生体認証の強固な 仕組により、認められた人間しか当該端末にアクセスできず、且つ、誰がいつ入室したかという 記録も取得可能になっているためである。こうした状況下において、PC 端末の利用に際した同 様の仕組を改めて設定することは、管理リソースの二重投与となってしまい、効率性の観点から 有益ではない。このように現時点で存在する管理活動の内容が、リスクをどの程度まで低減でき ているのかという観点に立ち、追加的な活動の要否を判断することが、効率的且つ効果的な管 理に向けて重要となる点は留意すべきである。 また、もう 1 点補足すれば、管理対策は、システムに係る技術的な観点に限らず、ルールに基 づく対策の運用という観点からも検討することが好ましい。技術的な制限をシステムに施すことに 12 より、障害・パフォーマンス劣化が発生し、現行のシステムの可用性が損なわれるような場合は、 技術的な制限措置を代替する運用上の対策を検討すべきである。 例えば、重要性の高いデータを取り扱うシステム(ハイリスクなシステム)に、USB ポートの利用 制限が施されておらず、USB 接続型の可搬型媒体があれば誰もがデータを抜き取ることができ る場合があるとしよう。この場合、USB ポートを技術的に無効化することが最も分かりやすい対策 ではある。しかし、そうした技術措置を図ることが、システムにどのような影響をもたらすかが誰も 分からないような状況下では、無理に技術措置を講じず、例えば、USB ポートを物理的に塞ぎ、 施錠した上で、利用に際した鍵の貸与記録の管理を行うといった代替的な手法を取ることが現 実的な解となるであろう。 このように、技術的に対応できないからと言って放置するのではなく、識別したリスクを受容可 能な水準にまで低減できる現実的な対応策を何らかのかたちであれ実施することが重要であ る。 (4):定期的な見直し (1)~(3)の内容は、内部のシステム導入・稼働状況、あるいは外部の技術的な変化・動向を 踏まえ、適宜、実態に即するかたちで定期的に見直し(再実施)を行う必要がある。見直しの契 機となるものは、例えば、新しいシステムの導入、業務のありようを変える新しい技術インフラの導 入(タブレット活用、スマートフォンの業務利用)等、既存の内部のシステム利用状況に変更が発 生した場合等が想定される。また、新種のウィルス・ワーム、サイバー攻撃等、外部のセキュリティ リスクの変化に応じた観点からの見直しも必要である。 (参考:「機密性」に係る管理アプローチの補足) 医療機関等では機密性の高い情報を管理するためのアプローチに苦慮することが多いと思われ る。そのような場合、機密性の管理態勢の向上に向けて、上記のリスク評価とともに実施することが 推奨される方法の一つに、システムへのデータ入出力を軸に、データがどのように医療機関にお ける各システム、各職員、各部門間(あるいは外部の医療機関等)で利用されているかという観点を 明確にするためのデータフローの作成である。 医師による外来診察・入院診察結果に基づき端末入力された、患者個人に係る検査オーダや処 方オーダは、オーダリング情報として看護師、薬剤師等へ連携される一方、会計事務のために医 事課・会計課へ連携される。さらに、看護師によるナースステーション勤務や病棟看護で収集され たデータは、電子カルテ端末あるいはタブレット等を介して入力処理され、医師による診察のため に出力・利用される。または、医師は論文作成のために患者データを出力・利用する。 13 このように、患者に係る個人情報を含む諸データは、多数の職種・居面にて業務横断的に利用さ れている。そのため、機密性に係る管理対策を検討する際には、データの「入口」と「出口」を明確 に押さえた上で、データの入力処理方法(どこのフロアのどの端末、どの無線LANエリアからアク セスしたタブレットか等)、出力処理方法(画面表示、印刷、USB メモリ等の外部記憶媒体によるコ ピー等)を識別しておくことが重要である。データの入口・出口をマッピングしたフローチャートを整 理した場合、想定される不正・不適切なアクセスのパターンを網羅的に把握し、管理対策を検討す ることができるようになる。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> 情報資産を網羅的に洗い出し、一覧化すること 一覧化した情報資産群に対して、重要度の観点から評価・分類を行うこと 重要度に基づく観点から、重要度の高い情報資産(ハイリスクなシステム等)に対しては厳格 な管理対策を講じる一方で、重要度が相対的に低い情報資産(ロウリスクなシステム等)に対 しては簡便な管理対策を実施すること 情報資産の一覧、重要度分類、及びそれらに基づく管理対策の内容は、定期的に見直すこ と <推奨すべき事項> N/A ⑤ MHLW ガイドラインの関連項目 6-2-C-1、C-2、C-3、C-4 6-2-D-1 6-7-C-1 6-9-C-1 14 <2.アカウント/権限の管理> ① 目的 アカウント管理という活動とは、システムへアクセスできるユーザを必要最小限化する(Need to Know の原則)とともに、本来の利用目的・用途からの逸脱を発見・是正することを目的としている。 ② 想定リスク アカウント管理に係る活動が想定するリスクは以下の通りである。 下記のとおり、アカウント管理という活動が有効に機能しない場合、不正なデータ閲覧・操作が可 能となり、情報の漏洩・改ざんを招く可能性がある。 アカウントの登録・変更が適切に行われないことにより、本来アクセス権限を有さない利用者に よる不正なデータ閲覧・操作が行われるリスク アカウントの削除が適時に行われないことにより、既にアクセスすべできない利用者による不 適切なデータの閲覧・操作が行われるリスク アカウントの棚卸しが行われないことにより、アカウント・権限登録状況の誤謬・不適切が検出 できず、上記のリスクに対して適時の対応が図れなくなるリスク 共有アカウントが適切な管理が行われず、複数人で利用されることにより、利用記録の追跡可 能性が損なわれ、インシデント発生等に際した原因調査等が適切に行えなくなるリスク ③ 考え方 (Ⅰ):アカウント種別の整理 アカウント/権限管理に際しては、まず、データへアクセスできるアカウント(アクセス権限)の種 別を、業務分掌、職務内容に応じて体系的に整理・分類し、アカウントを付与・管理する対象者 の範囲を事前に定義することが重要となる。 ■権限に着目した観点 対象者の業務・職務に応じて、各アカウントはデータを入力・削除する権限、データを参照する のみの権限、あるいはこれらの権限自体の登録・削除が可能なアカウント管理者権限、また管理 者権限に準ずるシステム保守用権限等を付与されることになるが、各業務・職務にどのようなデ ータアクセス権限を付与するかという観点からの整理がまず求められる。 例えば、MHLW ガイドラインを前提として、データへのアクセスを行うアカウント(アクセス権限) の種別を、特権性の有無という観点より分類した場合、以下のようなパターンが考えられる。 15 表4:アカウント種別の分類 種別 内容 特権性有無 データ参照アカウント データ参照のみが可能 なし データ入力・登録アカウント データ入力・登録が可能 なし 特権アカウント データ参照・入力、及び各アカウントに係る あり 権限の登録・変更・削除、システムの設定内 容の変更が可能(フル権限) システム保守用権限 システム保守に際して、外部ベンダーに貸 あり 与するアカウント。特権アカウント同様の権 限を有する。 非常時用アカウント権限 災害時等の非常事態に備えた特権的な緊 あり 急用アカウント 特権性が有りと分類したアカウントのうち、「特権アカウント」は、システムインストール時に自動作 成される初期設定型のアカウント等をイメージしている。当該アカウントは、主に各種アカウントの 登録・削除を行う際に使用されるものである。 また、システム保守用権限は、システムを外部委託するITベンダーがシステムの改造・保守に 際して使用する必要のあるアカウントであり、作業上、システムの設定内容・パラメータ等を変更 する必要から、データ・プログラム等、システム上の諸内容へ制限なくアクセスできる高権限を有 する必要がある。 非常時用アカウント権限は、非常時のシステム運用を円滑化するため、通常時にて想定してい る権限分離によるデータアクセス制限を一時的に開放し、制限なくデータへアクセスできる設計 とする必要がある。(いわゆる「ブレークグラス」) これは、特権アカウントの時限式の共同利用といった機能によっても、代替可能となる。 特権性が有るアカウントは、システムへ無制限にアクセス可能であり、悪用された場合、重大な セキュリティインシデント等に繋がるリスクがある。そのため、システム管理担当者が管理責任を 持ち、一部の人間にのみ利用を限定する等、誰がどのような理由あれば利用可能なのかという 点を事前に明確化する必要がある。 特権性のあるアカウントは上記のとおりだが、特権性の無いアカウントについても、業務・職務 内容の観点から付与対象範囲を事前に整理することが同様に必要である。 16 ■利用方法に着目した観点 特権性の有無という観点に加え、アカウントの利用方法に着目した場合、個人利用と共同利用 の二種類が存在する。 複数人が共同利用するアカウント(共有アカウント)については、アカウントの一意性(個体識別 性)に影響を及ぼし、仮にリスク事象が発覚した場合、アクセスログを点検しても、誰が当該アカ ウントを利用したのかというトレーサビリティが十分に担保されない可能性がある。 よって、特権性のあるアカウントは可能なかぎり共同利用を避けること、あるいは共同利用せざ るを得ない場合は、利用者の明確な限定、及び台帳管理等により、誰がいつどのアカウントをど のような理由で利用したのかを明確にすることが求められる。利用履歴の管理については、 【(4):ログの履歴管理】にて後述する。 以上より、アカウント/権限の種別を整理する際には、業務・職務内容に応じた付与対象者の範 囲、及びアカウント共同利用者の明確化を行うことが必要となる。 (Ⅱ):管理活動の種別 アカウント種別の整理により、付与対象範囲を整理した上で、アカウント管理のプロセスを設計 するに際しては、予防的な活動と発見的な活動が求められる。予防的な活動とは、リスクが顕在 化することを未然予防することに目的を置き、一方、発見的な活動とは、リスクが顕在化したこと を適時に発見・是正することが目的である。 アカウント/権限管理に係る各管理活動を整理すると、以下のとおりである。 表5:管理活動区分 管理活動区分 実施手続 予防的活動 アカウントの登録・変更手続 アカウントの削除手続 発見的活動 アカウントの棚卸し手続 ■予防的な活動 アカウント(あるいはアクセス権限)の登録・変更・削除申請内容が不適切でないかを事前検証 し、管理者が承認・登録するという手続、異動・退職に伴い不要となったアカウント(あるいはアク セス権限)を適時に削除する手続については、本来システムにアクセスすべきでない人物に権 限を保有させてしまうリスクを事前に低減するための予防的な活動である。 17 また、複数人の担当者が共同利用するアカウント(共有アカウント)については、アカウントの 一意性(個体識別性)に影響を及ぼし、誰が共有アカウントを利用したかというトレーサビリティを 損なうリスクがあるため、こうしたリスクを管理する観点より利用手続きを策定することが望ましい。 ■発見的な活動 定期的に不要・不適切なアカウントがシステム上に登録されたままになっていないかを点検し、 当該アカウント(あるいはアクセス権限)を削除する棚卸し手続については、本来付与すべきで ない対象者(あるいは既に付与すべきでなくなった対象者)に対して、その時点で不適切なアカ ウントが付与されていないか否かを事後的に発見するための発見的な活動となる。 ④ 実施例 アカウント管理においては、管理すべきリスクの重要度を勘案し、未然防止に係る予防的活動 と(被害の)拡大防止に係る発見的活動を適切に組み合わせ実施することが重要となる。 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> アカウントの登録申請がある場合、またはアカウントの権限が業務種別に適さなくなる場合、利 用者は自ら申請書を起票し、自部門の管理責任者による承認を受けること。管理責任者によ り承認された当該申請書に基づき、システム担当がアカウントの登録・変更・削除処理を実行 した上で、利用者へ処理完了報告を行うこと。 利用者の異動・退職等に伴い、アカウントが不要となる場合、利用者は申請書を起票し、自部 門の管理責任者による承認を受けること。管理責任者により承認された当該申請書に基づき、 システム担当がアカウントの削除処理を実行した上で、利用者へ処理完了報告を行うこと。削 除申請のタイミングは、アカウントを用いた業務終了までの期間において行うこと。 なお、異動・退職に際して、アカウントが不要になった場合の削除申請は、異動・退職日後に 速やかにアカウントが削除されるようにすること。 各アカウントの登録・変更・削除申請手続、及び承認手続を遂行する責任主体(責任部署)を 明確に定め、手続に基づく運用を徹底させること システム担当者は、定期的にシステムからアカウント一覧を出力し、各アカウント利用部署の 管理責任者へ送付する。管理責任者は自身の部門内アカウントの登録状況について、各担 当者の異動・退職、あるいは業務変更を踏まえた観点より、「アカウント一覧」の点検を行い、 現在の実状と異なるアカウント登録内容に係る変更依頼を、点検結果とともにシステム担当へ 連携する。システム担当は各部門からの点検結果、及び依頼内容に基づき、アカウントの変 18 更・削除を行い、その結果を各管理責任者へ通知すること。 上記手続は、月次、四半期等、定期的に実施することが望ましい。 <推奨すべき事項> N/A ⑤ MHLW ガイドラインの関連項目 6-3-C-3、C-5 6-5-C-1、C-5、D-1 6-8-C-2、C-3、C-4 6-10-C-3 19 <3.パスワード管理> ① 目的 パスワード管理という活動は、システム上のアカウントを用いた本人認証に際して要求されるパス ワードの機密性を維持することで、アカウント認証の個体識別性を維持することを目的としている。 ② 想定リスク パスワード管理に係る活動が想定するリスクは以下の通りである。 ・パスワードを本人以外が把握することで、本人のみが利用可能であるアカウント・権限を、本来 利用すべきでない第三者に利用されるリスク ③ 考え方 パスワード管理において重要な観点は、パスワードは本人のみが把握し、第三者には知られない ようにするという予防的な活動である。 パスワードの機密性を維持することは、アカウントによる本人認証の有効性(アカウント=付与対 象者)を維持することでもあるため、当該活動は【(2):アカウント/権限管理】とセットで講じられる必 要があることに留意すべきである。 上記の観点を踏まえ、JAHIS ガイドラインのうち、パスワード管理に係る技術・運用要件を実施しな い場合に想定される事態を整理すると、以下のとおり、基本的に、第三者によるアカウント・権限の 悪用(本人認証性の毀損)が中心的な懸念事項であることが分かる。 表6:JAHS ガイドライン:パスワード管理に係る技術・運用要件に係る想定リスク事象 リスク リスクが顕在化した場合の状況 初期パスワード交付時の変更を行わない 初期パスワードは一般的に同一のものが用いら リスク れる傾向が高いため、他のシステム利用者にな りすまされる可能性がある パスワードの定期変更を行わないことに パスワードを利用するなかで第三者が当該パス よるリスク ワードを把握する可能性は潜在する。よって、パ スワードが定期的に変更されない場合、どこか のタイミングで把握されたパスワードを用いて、 第三者にアカウントが悪用される可能性がある。 パスワード失念、アカウント無効化、イン パスワードが第三者の手に渡る等の事態におい シデント発生等が発生した場合の問い合 て、迅速にパスワード変更(あるいはアカウントの 20 リスク リスクが顕在化した場合の状況 わせ先(ヘルプデスク)が明確でないこと 無効化)が行えない場合、その第三者により悪 によるリスク 用される可能性がある、 パスワードの本人認証性を維持するため パスワードを容易(あるいはある程度考えれば) の教育・周知が行われないことによるリス 推測可能なもの、あるいは誰もが把握できる状 ク 態に置くことで、見ず知らずの他人にアカウント (メモを貼らない、他人に推測されにくい が悪用される可能性がある。 複雑性の確保、過去複数回と異なるパス ワードを使用しない等) パスワード試行回数の設定が行われない パスワードの試行回数(ロックアウトまでの回 ことによるリスク 数)、または認証失敗時に再入力可能になるま での時間が設定されない場合、第三者が「総当 パスワード認証失敗時の再入力可能時 たり攻撃」等を用いて、短時間でパスワードロッ 間の設定が行われないことによるリスク クを解除し、アカウントが悪用される可能性があ る。 離席時のログオフ・ログオフが行われな 離席時にパソコン端末をログオフして、パスワー いことによるリスク ド入力しないと利用できないようにしない場合、 第三者が勝手に自分のアカウントを悪用する可 能性がある。 生体情報等の認証キー等の盗難・流出 指紋、静脈、光彩等の生体情報を用いて、本人 に備えた暗号化技術が整備されないこと 認証を行う場合、当該情報が盗難・流出され、 によるリスク 第三者により悪用された場合、本人認証性が損 なわれ、且つ、悪用される可能性がある。 認証強度の向上(二要素認証や生体認 パスワード認証以外の仕組が存在しない場合、 証等)が図られないことによるリスク 不正なログインが行われる可能性が相対的に高 くなる。 上記のとおり、パスワードを本人以外が把握することで、本人のみが利用可能であるアカウント・権 限を、本来利用すべきでない第三者が利用できる事態(なりすまし)を予防することがパスワード管 理の要点となる。 上記想定リスクが顕在化することを防止するため、ユーザが行うべき実施内容は以下の4種類とな る、 (ⅰ):パスワードの機密性・本人認証性を維持するための仕組 (ⅱ):パスワード管理に係る遵守事項をシステム設定することで、システム利用者に技術的に強 制する活動(自動化されたシステム設定) 21 (ⅲ):(ⅱ)以外の、システム設計の制約上、システム設定することができない遵守事項を利用者 へ周知し、その遵守を求める運用上の対策 (ⅳ):運用上の遵守を支援・サポートする窓口担当(ヘルプデスク)の設置。 (ⅰ):パスワードの機密性・本人認証性を維持する仕組 パスワード管理の前提として、パスワードファイルの暗号化等、本人以外の第三者(システム管理 者であっても)が、他人のパスワードを知りえることを不可能にする仕組の導入が必要である。こうし た 仕 組 み は WindowsOS で あ れ ば 標 準 搭 載 さ れ て い る た め 特 に 意 識 す る こ と は な い が 、 UNIX/Linux 等の OS であれば、標準機能を用いて選択的に有効化する(パスワードのシャドー化) 必要がある。 また、Web ベースのアプリケーションシステムでは、アカウントとパスワードがデータベースの特定 テーブルに保管される設計等が採用されることも多いが、これらのテーブルの内容が確実に暗号 化される設計となっていることが求められる。この仕組みが有効であって初めて、後続する活動も 有効に機能する。 (ⅱ):自動統制の設定 昨今のシステムはパスワード管理の遵守事項を技術的に実装しているものが多い。そのため、パ スワード管理手続を効率的に行うためには、まずはシステム上に技術的に設定可能なパスワード 管理上の遵守事項を識別し、該当するものはシステム化させる必要がある。 以下は、JAHIS ガイドラインのうち、パスワード管理に係る技術・運用要件を整理した上で、「パス ワードは本人しか知りえない状態を保つ対策」という観点からの MHLW ガイドラインとの紐付けを示 したものである。 表7:JAHIS/MHLW ガイドラインのマッピング結果 遵守事項 遵守事項を実現するシステム機能 MHLW ガイドライン:最低限/ 推奨区分との紐付け 初期パスワード発行時の 初期パスワードを用いてログインした システム管理者にもパスワード 変更 際に、利用者にパスワードを強制変 を把握させない仕組として、最 更させる機能 低限の実施事項に該当する パスワード入力試行回数 パスワードを一定回数誤入力した場 パスワード誤入力に係る事項 制限 合、アカウントが利用不可となる機能 のため、推奨事項に分類でき る 22 遵守事項 遵守事項を実現するシステム機能 MHLW ガイドライン:最低限/ 推奨区分との紐付け パスワードを他人に推測さ パスワードに、英数、大文字・小文 れにくくする 字、記号等、一定の文字列の組合 最低限の実施事項に該当する せ、あるいは同一文字の使用禁止等 を求めることで、パスワードの複雑性 を高めさせる機能 パスワード履歴・世代管理 過去複数世代前と同一のパスワード 「パスワードを他人に推測され の利用を禁じる機能 にくくする」と期待される効果が 同質のため、最低限の実施事 項に分類できる。但し、英数字 混在、パスワード桁数と組み合 わされた場合、それらで代替可 能と考えられる パスワード変更の警告 パスワード有効期限が近付くと、変 記載は特になく、且つ、ユーザ 更の必要を告知する機能 ビリティーの観点で設けられる ため、最低限/推奨いずれにも 非該当 パスワードの定期変更 パスワードが有効期限を超えると、ロ 最低限の実施事項(変更頻 グイン時に強制的にパスワードの変 度:最低 2 か月)に該当する 更を求める機能 認証エラー時のパスワード パスワードを連続して誤入力すると、 再入力制限 次回入力までに一定時間の経過が 推奨事項に該当する 求められる機能 上記事項のうち、システム機能として実装されていない事項について、システムの利用者に別途 周知・教育を図るという手続を踏むことで、利用者側がパスワード利用に際して個別に留意すべき 事項の量を軽減可能とすることができるようになる。 (ⅲ):遵守事項の周知・教育 利用者に周知・教育すべき遵守事項はおおむね二種類に分類可能である。 一つは、システム機能として実装されないため、利用者に別途周知する必要のある事項だが、もう 一つは例えば、「パスワードをメモ書きしてパソコンに貼らない」、「パスワードを他人に教えない」等、 技術的にコントロールできない、利用者のリテラシー・モラルに係る事項である。 これらを、システム利用マニュアル等、利用者がシステムを利用・操作する際のマニュアル・手順 23 書に取りまとめ、パスワード管理に際しての注意事項として記述した上で、当該マニュアル・手順書 を手渡す際に各利用者へ注意喚起を図ることが必要となる。 なお、既に自動化されたシステム設定であるため、利用者が特に留意しなくとも機能する活動内 容についても、これらのマニュアル・手順書にあわせて文書化しておくことが望まれる。 (ⅳ):ヘルプデスクの設置 ヘルプデスクの目的は、パスワード管理の観点からは、パスワードの有効期限切れ、パスワード誤 入力回数が上限を超えたため、利用不可となったパスワードを再有効化することにある。 ただし、そのような役割のみに特化すること自体、非効率的ではあるため、【(2)アカウント/権限の 管理】に記載した各種実施手続における、システム担当の役割を兼ねさせる等することも一案であ る。 なお、認証要素としてパスワード認証(本人が知るもの)に加えて、その他の認証方式(本人が持 つもの=USBトークン等、本人自体=生体認証)を採用している場合は、当該認証情報が、本人 以外の第三者の手に渡り、悪用されないような仕組み(暗号化)を講じる必要がある。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> パスワードが本人以外の第三者に把握されないよう、機密性が維持できるシステム設計を講じ ること。なお、この場合の第三者には ID・パスワードを発行するシステム管理者をも含む。 少なくとも、以下のパスワードルールをシステム実装するか、または運用上の実施事項として 周知すること 1. 初回パスワード、あるいは再発行時パスワードを強制変更させること 2. パスワードを短くとも 2 か月に一度は変更させること 3. パスワードは英数字混在、且つ、8 文字以上とすること。もしくは、過去と同一のパスワー ドの再利用は一定期間禁止させること 一定時間の無操作が発生した場合は、端末、あるいはシステムを自動ログオフするシステム 設定を施すこと <推奨すべき事項> パスワードの誤入力に係る以下の機能をシステム上に実装すること 1. パスワード誤入力から再入力までの間に一定の経過時間を求める設定とすること 2. パスワード誤入力回数が一定以上を超えた場合は、次のパスワード入力には一定以上 の経過時間を求める設定とすること。あるいは、当該パスワードをロックし、利用不可とす 24 ること。 パスワード認証(本人が知るもの)に加え、本人が持つもの、または本人自体等、複数の要素 認証を組合せ、認証強度を高めること ⑤ MHLW ガイドラインの関連項目 6-5-C-2、C-3、C-10, 6-5-D-2、D-4、D-5 6-4-C-5 25 <4.ログの点検管理> ① 目的 ログの点検管理という活動は、システムへのアクセス記録を取得し、当該ログの内容を確認するこ とで、当該システムへのアクセスが本来の目的・用途から逸脱していないか、利用に際した事前申 請内容から逸脱していないかを確認し、そのような事態を事後的に発見するための活動である。 つまり、システムへのアクセスが本来認められた目的・用途に基づき適切に行われていることを担 保することを目的としている。 ② 想定リスク ログの点検管理に係る活動が想定するリスクは以下の通りである。 本来認められていない不適切なアクセスが発生した場合、それらを事後的に発見できる仕 組みが存在しないことにより、当該アクセスに伴う事件・事故の影響範囲が識別できなくなる リスク ③ 考え方 ログの点検管理において重要な論点は、不適切なログイン・アクセスが発生した場合、それを事 後的に発見できる仕組が存在するか否かという点である。 システムへのアクセス権を付与した対象者について、【(2):アカウント/権限の管理】、【(3):パス ワード管理】で記載した活動が十分に行われない可能性は常に考慮に入れる必要がある。例えば、 本来、システムにアクセスすべきでない第三者が、ログインパスワードを何かのきっかけで把握し、 システムに不正にアクセスするケースを考えてみよう。具体的なデータ破壊等が行われていれば、 パスワードを悪用された本人も自身のアカウントが乗っ取られていることを把握することは可能であ るが、情報漏洩・流出という事件・事故に際しては、具体的な痕跡が本人に分かるかたちで残ること は稀である。このような事態は、実際のシステムアクセスログを点検しない限り判明しない。システム ログは自動的に取得される設定になっていることが一般的であるため、この足跡の記録をトレース することで、本人以外の第三者の利用有無を把握することが可能となる。 これは外部業者がシステム保守を行うとなった場合でも同様である。保守作業報告書に申請さ れた作業内容、作業時間が実際のシステムログと一致していない場合、本来認可していない不要・ 不適切な作業を行っているのではないかという観点から、点検する必要がある。 また、この場合、システム上のログの信頼性を保つことが重要となる。ログの信頼性とは、①:アク セスしたアカウント、アクセス日時等、ログからアクセス内容が把握できるという意味での「合目的 26 性」、②:アクセス日時を正しく記録しているという意味での「正確性」、③:ログが第三者(特に不適 切なアクセス者)によって改ざんされていないという意味での記録の「完全性」の 3 点から構成され る。これらの内容が十分担保される設定の下、ログの信頼性を担保することが必要となる。 特に、記録の完全性について、一般的にシステム管理者はログの内容を点検するとともに、内容 の修正・変更を行える特権的な管理者権限を保有していることが多い。システム管理者自身が不 正な操作を行い、そのログを削除できる立場にいることは、非常に大きなリスクである。そのため、ロ グの完全性を確保するため、システム管理者も操作できないログ管理ツール・システムを導入する ことで、管理者による不正を防ぐ必要もある。 なお、当然、アクセスログを取得する機能を持たないシステムも存在する。その場合、システムへ のアクセス記録を管理台帳等の形式で管理することが必要となる。 ④ 実施例 上記を踏まえた場合、以下の 3 つのパターンのログ点検管理が存在する。 (1) システム上のログ取得が可能なシステムであり、且つ、ログ管理ツールの導入が可能な場合 (2) システム上のログ取得が可能なシステムであり、且つ、ログ管理ツールの導入が不可能な場 合 (3) システム上のログ取得自体が不可能なシステムの場合 それぞれのパターンに基づき、最低限実施すべき事項を以下に記載する。 <最低限実施すべき事項> ≪(1)の場合≫ ①:ログの定期点検 システムへアクセスするアカウントについて、アカウント名、アクセス日時、ログイン後の操作内 容を記録(ログ)管理するシステム設定を施し、当該ログを定期的に点検すること。 なお、点検の観点は、アクセス権を持つ本人が悪意を持ってシステムへログインしていることを 想定したケース、および第三者が本人のログインアカウントを悪用しているケースを想定した観 点から取りまとめることが有効である。 具体的には、ログインの失敗回数(パスワードの誤入力回数)、明らかに不自然と思われる時 間帯におけるアクセス、特定症例患者に対する異常な頻度に及ぶアクセス等が考えられる。 このようなケースが検出された場合は、アカウント保有者本人に理由を確認することが要となる。 また、外部ベンダーによるシステム保守・改造に際しては、作業申請書に記載された時間とシス テム上のログの時間が一致しているかという観点からの確認を最低限実施することが求められ る。 27 また、定期点検の頻度は、システム・データの重要度に応じて設定することが好ましい。重要 度の高いシステムについては日次・週次等の短い間隔、重要度の低いシステムについては月 次・四半期等、緩急のメリハリを付けた管理資源の配分を検討することが求められる。重要なこと は、「定期的に点検を行うこと」及び「その事実を利用者に周知しておくこと」であり、その事実に より、不適切なアクセスの発見時間の短縮化に繋がると同時に、利用者への牽制の効果を見込 むこともできる。 ②:ログ管理ツールの管理 システム管理者自身がログの改ざんを行えないよう、外部ベンダー製のログ管理ツールの導 入を行うことが必要となる。 具体的には、システムのログ点検を行う管理者とログ管理ツールの管理者を分離し、前者はロ グ管理ツールの設定類を一切操作できない状況にすることが必要である。このように、担当者の 職務分離を行うことで、ログの記録の完全性を担保することが可能となる。 ≪(2)の場合≫ 「①:ログの定期点検」は(2)の場合でも同様に実施する必要があるが、ログ管理ツールを導 入費用の観点から導入できない場合は、保管されるログへのアクセス権限を、システム管理者に は付与しないというシステム設計が必要となる。システム管理者権限は全てにアクセスできること が前提となるため、この場合、システム管理者用の権限であると同時に、ログにはアクセスできな い権限を設計・付与する等の検討が必要となる。これは「2.権限/アカウントの管理」のなかで検 討することになる。 また、管理者がアクセスできない別のサーバ(ログ保管サーバ)へログを定期的に転送すると いう対策も一つの案として考えられる。 ≪(3)の場合≫ 既に稼働しているシステムの中には、ログの記録自体が取得できないシステムが存在するケ ースも考えられる。このような場合は、システムにアクセスする場合、誰がどの程度の時間をどの ような理由でアクセスしたのかという観点から、台帳記録を行うという運用が求められる。このよう な台帳記録による運用の場合、利用記録を付けずに無断でアクセスするケースへの対策を考え る必要があるため、(1)、または(2)よりも、厳格なアクセス管理が求められることになる。 また、この場合、利用者の自己承認のもと、システムへのアクセスが行われることで、台帳管理 の実効性が損なわれるリスクがある。そのため、システムにアクセスする利用者とその利用申請を 承認する権限者を職務分離する必要がある。 28 <推奨すべき事項> ※:(1)~(3)共通 ログの取得内容として、外部ベンダー等による保守作業のログを取得できるシステム設計を講 じること ログの内容は時系列、操作対象者、操作内容をソートして、ログ点検に資するよう簡便に表示 できるようなシステム設計を講じること ⑤ MHLW ガイドラインの関連項目 6-5-C-6、C-7、C-8 6-8-C-8 6-8-D-1、D-5 29 <5.媒体・機器管理> ① 目的 媒体・機器管理という活動は、データの持ち出し・持ち込み、あるいは運搬に際して、外部記憶媒 体、つまり USB メモリ、フロッピーディスク、CD/DVD、フラッシュメモリ等の可搬型媒体、またはノー ト PC やスマートフォン端末、タブレット端末の情報機器が利用されることに伴い、想定外の情報漏 洩・流出、またはデータの完全性を損なう事態に対する安全管理を目的としている。 ② 想定リスク 媒体・機器管理に係る活動が想定するリスクは以下の通りである。 十分な管理対策が実施されていない機器・媒体を用いて、データの持ち出し・持ち込み、 運搬等が許可なく行われることにより、本来行うべき情報セキュリティが担保されず、情報の 流出・漏洩が起こるリスク 十分な管理対策が実施されず、且つ、許可なく利用された媒体・機器によって、ウィルス・ワ ームによる他機器・媒体への感染が発生し、想定外のシステム利用状況への影響が発生 するリスク ③ 考え方 媒体・機器管理において重要な論点は、当該媒体・機器を用いてデータの利用が行われた場合、 どのように情報セキュリティを担保しうるかという点である。 十分に管理されていない機器・媒体の利用リスクは常に存在しており、近年では誰もがスマートフ ォン端末やタブレット端末を常時携行するなか、機器・媒体管理の重要性はより高まっている。 それではどのようにすべきか。まずは、【(1):リスク評価】で記載した通り、データの出入口となる 機器・媒体を網羅的に洗い出し、そのうえで、利用頻度が高く、業務上禁止することが現実的に難 しい機器・媒体に対して個別の管理対策を講ずるというアプローチが求められる。 また、私物の利用は施設内部の情報セキュリティの管轄外となってしまうため、原則禁止し、仮 に必要がある場合は別途利用申請を行う等、ワークフローの明確な整備が求められる。こうしたワ ークフローが存在しない場合、私物によるデータの持ち出し・持ち込みがどうしても必要な場合、ど のような手続を行えばいいのかが不明確となり、結果的に、管轄外の機器等が利用される土壌を 作ることになるだろう。 加えて、職員は基本的に施設内部貸与であろうがなかろうが、私物同様の緩い管理意識を持つ ことには留意すべきである。このような観点に基づき、業務上不要なアプリケーションのインストール 30 禁止、あるいは紛失・盗難に備えた「転ばぬ先の杖」的なセキュリティ設定の実装に向け、施設内 部の機器・媒体の管理手続を策定する必要がある。 また、上記のようなワークフローを設け、利用ルールを明確にしても、職員の自宅端末は施設内 の端末と同等のセキュリティ対策を講じているとは限らず、常にウィルスやワーム等の発生源になり うる。そのため、外部から持ち込まれた機器・媒体については必ずウィルススキャンにより不正プロ グラムが潜んでいないかを点検する手順を整備することは重要である。 仮に、全ての施設内端末にウィルス対策ソフトを導入できないのであれば、外部から持ち込まれ た機器・媒体は必ず特定の端末で検査する等、ファイアーウォール的な機能を持つ専用端末を用 意することが求められる。 加えて、近年は個人職員がスマートフォン、タブレットを携帯し、執務エリアへ知らず知らずのう ち持ち込まれている状況がありうる。このような事態に対して、一律、執務エリアへの端末持ち込み を制限することは、職員のモチベーション低下にも繋がり、簡単には実行できないであろう。 しかし、近年のスマートフォンに標準的に搭載されたカメラ機能、メール機能が悪用された場合、 どれほど施設内部の媒体・機器管理を厳格に行っていようが、簡単に情報の漏洩・流出は可能と なる。このようなジレンマのもとどのような解決策があるか。 この解決策がリスク評価になる。つまり、重要度の高い情報を取扱い、且つ、管理対策が相対的 に劣後する場所をハイリスクな場所とし、当該場所への持ち込みは禁じる一方、他の場所での持ち 込みは許可する等、施設内部におけるセキュリティ管理水準を踏まえた観点から、メリハリある対策 の展開を実施することが求められるのである。 また、同時に重要なポイントが職員教育である。いかに充実したルールを整備しようにも、それを 運用する人間の意識・モラルが低ければ、当該ルールは顧みられもしない。そのため、医療安全 管理の一環として実施される情報セキュリティ研修などのなかで、明示的に、利用者側のモラル・ 意識の啓発を行うことが重要となる。 このような充実したルールの整備と二つが組み合わさり、初めてスマートフォン・タブレット等の個 人所有型の私物機器に対する実効的な管理が発揮できるようになる。なお、これは、個人所有型 の私物機器に限定されず、機器・媒体管理という活動においても同様に当てはまるものであること は留意すべきである。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> 31 施設管理の媒体のみを利用可能とし、私物の利用は原則禁止とすること。但し、諸事情により 私物の利用を希望する場合は、施設内のワークフローに基づき、利用者、利用目的、利用期 間を少なくとも定めた利用申請書を準備し、当該申請の承認者の明確化を行い、且つ、利用 終了後の情報の消去手続も含めた取扱いを定めておくこと。また、盗難・紛失に備えたセキュ リティ設定として、媒体利用時のパスワードを個別設定できるタイプを採用すること。 ノートPC、スマートフォン・タブレット端末等の機器についても上記同様の手続を実施すること。 また、これらの機器には業務上不要なアプリケーションのインストールを禁止する、盗難・紛失 に備え、BIOSパスワード・ハードディスクパスワードを設定するといった論理的なセキュリティ 対策に加え、端末に覗き見防止フィルターをセットするといった物理的なセキュリティも交え、 当該事態における情報漏洩・流出リスクに対する対策を講じること 施設管理、あるいは私物の機器・媒体を用いて、施設外からデータを持ち込む場合は、必ず ウィルスキャンを行い、不正プログラム・ソフトウェアによる感染有無を確認すること。 私用のスマートフォン・タブレット端末などの、常時携帯を前提にした私用情報機器について、 執務エリアにおける利用・管理ルールを明確に定めること。 重要度の高い情報を取扱い、且つ、管理対策が相対的に十分でない場所をハイリスクなエリ アとし、手厚い管理対策を講じる等、リスクの程度に応じた管理対策の展開を行うこと。 機器・媒体管理が不徹底であることにより発生する情報漏洩・流出に係るリスクを、職員へ周 知徹底すること <推奨事項> 外部での覗き見防止のため、業務上利用するノート PC やスマートフォン・タブレット端末には、 物理的な覗き見防止フィルターを貼ること 私用のスマートフォン・タブレット端末の業務利用は原則認めないこと。例外的に認める場合 は、盗難・紛失に備えて一定回数パスコードの誤入力による強制初期化、あるいはロケーショ ン確認機能(GPS)を講じること 施設内で認められていない情報機器・端末を利用して、データの持ち出しを行うことができな い技術的な仕組を導入すること。例えば、Windows のドメインポリシーを用いて、許可された USB メモリのみを利用可能にする、あるいは CD/DVD へのデータ書出しを制限すること等。 ⑤ MHLW ガイドラインの関連項目 6-9-C-2、C-3、C-4、C-5、C-6、C-7、C-8、C-9、C-10 6-9-D-1、D-3、D-4 6-4-C-5 32 <6.入退室管理> ① 目的 入退室管理という活動は、本来認められていない不適切な第三者が、情報資産が保管されてい る室内へ入退室し、当該資産を不正に持ち出すこと、あるいはシステム・機器に不正な設定を施す ことに制限・牽制することを目的としている。 ② 想定リスク 入退室管理に係る活動が想定するリスクは以下の通りである。 情報資産の盗難、及び当該資産内部のデータ流出が発生するリスク 情報資産に不適切な設定・操作が施され、想定外のシステム不具合が発生するリスク 情報資産の破壊、盗み見が行われるリスク ③ 考え方 入退室管理において重要な論点は、不適切な第三者が勝手に施設・室内に侵入することを予防 すると同時に、あるいは本来適切な関係者が悪意をもって施設へ入退室した場合の管理記録を行 うことで、事件・事故発生時の原因究明に資する仕組みが存在するか否かという点である。 いつの時代でも窃盗・盗難という悪意は存在し、その例には枚挙に暇がない。このような悪意の 顕現を予防することは、ファシリティーセキュリティにとって自明となっているが、一方で、施設内部 の職員・関係者が不正を行うリスクに対して同様の重みをもって牽制・管理を行えているところは少 ない。 入退室管理が求める管理活動とは後者に該当する悪意を効果的に予防または発見することに ある。ここで重要なことは、常日頃から顔を合わせ、そのような悪事を働くはずがないと考えている 同僚・知人等が患者情報を悪用するもしれないという性悪説の想像力を持つこと、そしてその想像 力に基づく牽制・監視体制を作り上げることである。 これは外部ベンダー等、契約書のなかで情報管理に係る秘密保持契約を締結している相対組 織にも言えることである。実際の作業現場においては契約書や誓約書は単なる紙切れでしかなく、 仮に本人がそのような誓約を交わしていたとしても、本人が置かれている状況によっては簡単に不 正が発生してしまうという可能性に対しては敏感になる必要がある。本人の意識的な自己規定と実 際の具体的な言動の間にはしばしば乖離が発生するように、リスクマネージメントの世界では、誓 約はそれのみでは十分な制約にはならない点は銘記すべきである。 33 なお、入退室管理は物理的な管理対策、つまり物理セキュリティに係る管理活動である。物理セ キュリティをどれほど実施するかという点は、端末・機器・媒体に係る論理的なセキュリティ(権限/ア カウント管理、パスワード管理、ログ点検管理等)の実施状況を踏まえて総合的に判断する必要が ある。論理的なセキュリティが高い水準で実装されているようであれば、物理的なセキュリティリソー スは相対的に低くなることもあるが、これらは十分なリスク評価結果に基づいている必要がある。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。なお、物理的な入退室管理を講じることは 費用的な負担が大きいため、推奨事項についてはリスク評価結果に基づき、重要性の高いハイリ スクな場所に対して適用されることが費用対効果の面からも有効である。 <最低限実施すべき事項> システム、あるいは機器・媒体の設置場所への入退者は名札バッチ等、個人を分かりやすく 識別できるものを着用させること。 業務時間外については、施錠したエリアの鍵を有さない第三者・内部関係者による可搬型の 機器・媒体の持ち出し・盗難が出来ないよう、施錠管理すること。施錠管理できないノートPC などにはセキュリティワイヤーを付けること。 事件・事故発生に際して原因調査が行える水準の入退室管理記録を行うこと。また、定期的 に不自然な入退室がないかを点検すること。 <推奨事項> サーバ室に代表される、システム、あるいは機器・媒体の設置場所には監視カメラを取り付け る等、人の出入りが事後的に確認できる仕組を導入すること ⑤ MHLW ガイドラインの関連項目 6-4-C-1、C-2、C-3、C-4、C-5 6-4-D-1 6-6-(1)-D-1 34 <7.外部委託先管理> ① 目的 外部委託先管理とは、施設内の情報システム・機器の導入、保守メンテナンス業務、施設内部の 清掃業務、情報機器の廃棄業務等、施設内部の業務を外部委託している業者が、受託元の指 示・命令系統に基づき、当該業務の遂行を安全に行うようにさせるための活動である。 受託元として外部委託先に対する管理責任を担う業務に対して然るべき管理を行うとともに、委 託している活動内容に対する説明責任を果たすことを目的としている。 なお、この場合の外部委託先とは、受託元との契約関係にある外部委託業者(一次請け)が業務 の一部を切り出し委託する再委託先(二次請け)、あるいは再々委託先等、受託元が外部委託した 業務に係る外部委託先の職員全体を指していることに留意する必要がある。 ② 想定リスク 外部委託先管理に係る活動が想定するリスクは以下の通りである。 外部委託先の業務範囲・管理範囲が契約関係に基づき十分に合意されないことにより、受 託元が本来意図しない業務遂行が行われ、想定外の事件・事故を招くリスク 契約関係に基づき合意した外部委託先の業務範囲・管理範囲が、外部委託先業者による 業務遂行体制の整備不足によって十分に遵守されないことにより、受託元が想定外の事 件・事故を蒙るリスク 上述の通り、想定リスクの主眼は、「契約関係が十分でないことによるリスク」、及び「契約関係が 十分であっても、それが遵守されないリスク」の二点となる。 ③ 考え方 近年の医療機関等では医療サービスの提供体制の一部として情報システムの利用は不可欠とな っており、これらのシステムの運用・保守の多くが外部のITベンダーへ委託される形態がとられて いる。また、システムの運用・保守のみでなく、当該システムを利用して運営される施設内部の業務 の多くも外部委託される等、業務のアウトソース率が非常に高い状況である。 このように、施設内部の職員が業務を直接的に主管できない状況下では、外部に委託した業務 が、自施設内部の職員同様のセキュリティ意識・法令遵守意識のもと、本来求められる管理水準に て遂行されているか否かが間接的にしかコントロールできなくなる。 そのため、自施設内部の職員が業務を遂行する際に求めるべき管理要件より厳格な手続が必 要となってくる。この手続を失した場合、内部データの無断持ち出しや想定外の流出といった、不 35 正が明るみになり、対外的に説明責任が問われる事態を招くことになるだろう。では、こうした不正 はどのような条件下で発生する傾向が最も高くなるのだろうか。 例えば、クレッシー(Donald R. Cressey)は、不正が行われる要因を、①:不正を行おうとする機 会、②:不正を行おうとする動機、③:不正の正当化の 3 点から構成されているとし、これを不正のト ライアングルと述べている。 不正とは、まずもって、それを行える機会(例えば牽制・チェックが甘く、不正を行っても明るみに 出ないという業務運営体制)に起因するものであり、そのような機会に際して個々人の意識・モラル に頼ることは厳禁である。いかに個々人が日ごろ善人であろうと、本人の意識の深奥に何があるか は誰も把握できず、昨日まで不正の機会に際して誠実に振舞っていた者であろうと、本人を取り巻 く状況が変化すれば、明日には不正に手を染める動機が発生する可能性がある。 また、業務管理上、牽制・チェックが十分でなく、且つ、不正に手を染める動機のある者は、自身 が行った不正を色々な理由をこじつけて正当化し、繰り返すことになる。例えば、薄給激務のなか で働いているのだからこれぐらいはいいだろう、システム保守に際して事前の計画見積もりが甘く、 事前に提出した申請書には記載していない作業について、その後の運用に影響はほぼないからこ れぐらいは黙ってやってもいいだろう、今後の追加機能開発作業を迅速化するため、施設内部の 患者データがサンプルとして欲しいが、施設内の患者データを全部持ち出すことはさすがに契約 上不味いけれども、一部の患者データぐらいならいいだろう、など等、こうした「必要に応じてやって いるのだから、これぐらいなら咎められないだろう」という自己正当化が積み重なっていくことで、 後々大きなモラルハザードを招き、取り返しのつかない不正に至ることになる。 特に、現行の個人情報保護法下では、5000件以上の個人情報を取り扱う事業者は個人情報 取扱事業者であり、患者の情報という個人情報を取り扱う多くの医療機関等はこの類型に該当して いる。この場合、医療機関等は、業務を委託する外部委託先、また当該委託先による再委託先等 において、自施設所管の個人情報の利用に際する管理責任・説明責任が存在することは銘記す べき点である。 このように、不正の端緒は、悪意からではなく、むしろ善意や親切心から発生する場合もあるとい う点は銘記すべきである。不正とは、不正に手を染めることができる環境があれば、誰しもが行う可 能性があり、さらに言えば、日ごろは仕事熱心で真面目な性格の人間(自己抑制型の人間ほど、 ふとしたきっかけで不満が爆発しやすい)にこそ起きやすいと言える。 そのため、こうした不正は管理するためには、不正の機会を出来るだけ減少させる措置を図って いく不断の努力が必要となり、しかしながら、人に係る問題である限り、このような努力によっても撲 滅することは原理的に不可能である。 こうした不正の可能性は、常に顔を合わせている気心の知れた施設内部の同僚・職員にすら起 36 こりうるため、いわんや、外部業者である。そのため、外部委託先管理に際しては契約によって業 務・管理内容を明確化するとともに、その契約関係に基づく作業が確かに遂行されているかという 厳格なモニタリングが必要となる。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。なお、以下の実施例に加え、システム・デ ータへのメンテナンス業務に係る外部業者用アカウントの管理については、【(1)権限/アカウント の管理】に基づき実施すること。 <最低限実施すべき事項> システム・機器の保守業務を外部委託する外部業者とは以下の内容を含む契約書を締結す ること。 1. 守秘義務の徹底。これには、再委託先・再々委託先等、外部業者(一次請け)による委 託業務の遂行に業務請負・派遣として関与する企業に対する同様の守秘義務の徹底。 2. 外部業者職員が守秘義務を遵守しない場合における、委託元としての罰則規定の明確 化 3. 守秘義務が発生するデータ、またはシステムのメンテナンス業務の遂行に際しては、作 業実施前には、作業内容が事前に把握できる作業申請書、及び作業終了後は、実際に 行った作業結果を確認できる作業結果報告書の提出を義務付けること。 4. リモートメンテナンスによる作業における事前申請・事後報告を義務付けること。また、外 部業者側がリモートメンテナンスを行う場合の安全対策を明記させること。 5. 守秘義務が発生するデータを施設外へ持ち出すことが想定される場合の、申請・報告を 義務付けること。また、持ち出しに際して外部業者が遵守する安全対策を明記させるこ と。 外部業者によるシステム・データの保守作業が行われる場合には、事前の作業申請及び事後 の作業報告を行わせ、その内容を施設内部の責任者が逐一点検・承認すること。 この場合の作業には、機器の故障等に際した交換作業、室内の清掃・ゴミ廃棄、情報機器の 廃棄に伴うデータ消去等、守秘義務が発生するシステム・データ・機器に何らかのかたちで関 連する全ての範囲における作業が含まれる。 システム・データの保守作業報告の確認に際しては、【(4):ログの点検管理】で記載した、シ ステムへのアクセスログとの突合点検を行うことで、作業報告内容と実際の作業内容が一致し ていることを確認すること。 37 <推奨すべき事項> 外部業者の作業には施設内部の関係者が同席し、不必要な作業を行っていないかをチェッ クすること 外部業者が施設外にデータを持ち出した記録を施設内部でも管理し、いつ・誰が・どのような 目的で・どこへ・どのようなかたちで持ち出したかを把握できるようにしておくこと。 ⑤ MHLW ガイドラインの関連項目 6-6-(1)-1-C-1、C-2、C-3 6-6-(2)-2-C-1-①~④、C-2 6-7-C-3 6-8-C-5、C-6、C-7、C-8、C-9、 6-8-D-2、D-3、D-4、D-5 38 <8.無線 LAN 管理> ① 目的 無線 LAN 管理とは、利用者・利用機器が可視的に管理できる有線 LAN と比して、不特定多数の 利用が可能であり、且つ、利用者・利用機器が可視化することが難しいネットワーク機器を、施設内 部における他機器への電波干渉による不具合が発生しないよう、本来利用すべき人間のみが適切 且つ安全に利用できるようにマネージすることを目的としている。 ② 想定リスク 無線 LAN 管理に係る活動が想定するリスクは以下の通りである。 無線 LAN が本来認められていない第三者に利用されることで、無線 LAN からアクセス可能 なデータ・システムへの不正アクセスが発生し、情報漏洩・流出を招くリスク 無線 LAN の利用に伴う、施設内部の他機器への電波干渉が発生することで、想定外の機 器の不具合・故障が発生するリスク ③ 考え方 無線 LAN は、有線 LAN とは異なり、物理的ロケーションに関係なく、端末・機器をネットワークに 接続させることが可能なため、非常に利便性が高い。しかし、有線 LAN のように利用者・利用機器 が可視的に把握できないため、慎重なアクセスコントロールが必要となる。 今日の無線 LAN 機器市場の競争激化により、利用者の利便性に資すべく、当該機器は購入後 即座に利用できるような簡易設定機能が施されているのが一般的だが、利便性と安全性(セキュリ ティ)はトレードオフであるため、こうした簡易設定では十分なセキュリティを確保できず、不特定の 人間がアクセスできるような状況に放置されている機器も多い。 自動車でセキュリティの甘い無線 LAN のアクセスポイントを探し回るウォードライビングというクラ ッキング行為に代表されるように、このような機器を介して、アクセスポイントの踏み台とすること、あ るいはそこから院内ネットワークへの侵入を企む攻撃手法は既に一般化している。 よって、本来必要な人間のみが必要なデータ・システムにアクセスできるよう、無線 LAN 機器の システム設定を調整することは必須である。 また、有線 LAN とは異なり、無線 LAN は電波経由でのネットワーク接続という設計となるため、 施設内部の医療機器が発する電磁波との衝突・干渉が発生し、想定外の機器の不具合を招くとい う問題もあり、無線 LAN の設置に際しては、電波強度の調整等も同様に求められることになる。 39 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> 無線 LAN 機器について、総務省発行の「安心して無線 LAN を利用するために」を参考にした上で、 本来認められた利用者以外の利用が出来ないように、以下の設定をほどこすこと。 1. ANY 設定の解除、及びアクセス可能な端末・機器を MAC アドレス等で制限すること 2. ステルスモードの有効化 3. 標準のネットワーク ID を変更し、第三者が施設内での機器の利用を特定できない ID に すること (ネットワーク ID の多くは製品名や製品販売企業名が利用されており、特定機器を利用 していることを外部に公開することはセキュリティ上望ましくない) 4. 初期 SSID(ネットワークパスワード)の変更 (多くの無線 LAN 機器の SSID は、機器にシール添付されているため、簡単にアクセスパ スワードが把握可能となるため) 5. 利用するデータの重要度に応じた、暗号化強度の選択 (WPA2/AES 等、暗号化強度の相対的に高いものを使用し、WEP 等の強度の低いもの は利用しないこと) 無線 LAN 機器の電波が、施設内部の電子機器に影響を及ぼしていないか確認すること <推奨すべき事項> 複数の無線 LAN をアクセスポイントして利用する場合は、取り扱われるデータアクセスするシ ステムの重要度に応じて、電子証明書等、個別の追加的なセキュリティ対策を講じること ⑤ MHLW ガイドラインの関連項目 6-5-C-11 6-5-D-6 40 <9.廃棄データ管理> ① 目的 廃棄データ管理とは、データの利用終了後、当該データを廃棄する際の管理手続であり、対象 範囲は、システム・機器内部に残存するデータから、システム・機器の故障時の外部業者への修理 依頼、リース・レンタル終了に伴う引き渡し等、今まで利用してきたデータを完全消去することで、 情報の漏洩・流出を予防することを目的としている。 ② 想定リスク 廃棄データ管理に係る活動が想定するリスクは以下の通りである。 データの廃棄が確実に行われないことにより、不十分なデータ廃棄に伴う情報の漏洩・流 出が発生するリスク 不十分なデータ廃棄に伴う情報の漏洩・流出というアクシデントが発生した場合、廃棄結果 の確認が十分に行われていないことにより、データ廃棄結果に対する説明責任を十分に果 たせなくなるリスク ③ 考え方 機微情報の取り扱いに際しては、データを廃棄する際にも、厳格な管理手続が求められる。 一般的な電子データであればPC上のゴミ箱に廃棄すればそれで十分となるが、流出・漏洩に 対する管理責任を担うデータの廃棄に際して、同様の手続を採用することは許されない。何故な ら、PCのゴミ箱に廃棄したところで、然るべき手順を踏めば、たやすく復元することが可能だから であり、こうした体制では管理責任を果たしたとは言えない。 よって、データの廃棄に際しては、論理的な削除(ゴミ箱等に捨てる)のみでなく、より確実な 論理的な削除(特定ツールによる消去)、あるいは物理的な破壊(ハードディスクを再利用不可 な程度にまで破壊する)といった追加的な施策が必要となる。 患者の紙カルテを廃棄する際に、それを執務室のゴミ箱に捨てる人間はいないだろう。廃棄 に際しては、廃棄記録を取り、シュレッダーでバラバラに裁断する、あるいは機密保持契約を結 んだ専門の業者に廃棄を行わせ、その結果証明を確認する等、個別の追加施策を取ることが当 たり前であるが、電子データについても同様の厳格度が求められるということである。 この場合、ポイントとなるのが、全ての電子データをそのように取り扱うのかという点であるが、 これはデータの重要度に応じた手続を策定する必要がある。つまり、【(1):リスク評価】で説明し た「データの重要度」に応じて、重要度の高いデータは厳格な管理手続を、重要度の低いデー 41 タは簡便な手続きを採用するといった、管理資源の適正配分に向けた措置が必要となる。 また、PCや機器が故障した場合、そこに内蔵・保管されたデータをどのように取り扱うかという 観点も重要である。秘密保持契約を結ばず、データが残存したままのPC・機器を引き渡してしま えば、渡した情報が悪用されても何も言えないわけであり、こうした観点からの管理も廃棄データ 管理の活動範囲に含まれる。これは、レンタル・リース返却時のPCの取り扱いについても同様で ある。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> 情報機器の廃棄に際しては、専用ツールや物理的な破壊等、通常とは異なる追加施策を 実施し、読み取り・利用不可な状態にすること。 情報機器の廃棄を外部業者へ依頼する場合は、情報の取り扱いに係る秘密保持契約を結 んだ上で、且つ、確実な廃棄が行われたことを証明する資料の提出を義務付け、廃棄結果 を確認すること。また、データが内部保存された情報機器を業者へ引き渡す場合(レンタ ル・リース返却、故障時の業者引き渡しの場合)、秘密保持契約を結んだ上で、且つ、出来 る限り自施設で情報消去をした上で引き渡すこと。 <推奨すべき事項> N/A ⑤ MHLW ガイドラインの関連項目 6-7-C-2、C-3 42 <10.システム保守管理> システム保守管理は、施設内部の情報システムの改造・保守を安全に遂行することが目的である。 但し、医療機関における情報システムの多くは、医療機関職員が内製開発をするケースよりも、外 部業者との交渉の下、導入されるケースが多い。そのため、当節は【(7):外部委託先管理】に包摂 される内容とするため、詳述は省略する。 なお、自社内製におけるシステム保守業務においても重要な論点は、【(7):外部委託先管理】同 様、以下の 2 点といえる。 システム保守要員が勝手にシステム・データへアクセス・操作できないようにすること システム保守要員が作業を行う場合、作業結果が必要な範囲に収まっていることの確認を行 い、不適切なアクセス・操作を適時に発見すること 上記を実現するためには、【(2):権限/アカウント管理】に記載したアクセス権限の管理、【(4):ロ グの点検管理】に記載したログ点検の仕組が必要である。詳細は各節を参照のこと。 43 <11.事業継続管理> ① 目的 事業継続管理とは、大規模な自然災害やサイバー攻撃の被害を受けた場合等、施設内部の情報 システムを通常時とは異なる状態で利用せざるを得なくなる緊急事態において、求められる医療サ ー ビ スの管 理 ・提 供水 準を従 来通 り維持 する ことを目 的に 、業 務継 続計 画( BCP : Business continuity plan)の一環として検討することが求められるものである。 ② 想定リスク 事業継続管理に係る活動が想定するリスクは主に以下の通りである。 災害時やサイバー攻撃の被害等、緊急事態における情報システムの利用計画が明確に定 められ、必要に応じて態勢が整備されないことにより、緊急事態において業務混乱を招き、 想定されるサービスを適切に行えなくなるリスク ③ 考え方 MHLW ガイドラインに BCP に係る基本的な考え方(BCP に係る準備~実行~業務再開~業務 快復~全面復旧)は説明されているため、ここでは詳細は省く。 事業継続管理に求められる活動内容は、BCP の目的・目標、BCP の発動基準、発動時の体制、 具体的な行動手順等を整理した上で、関係職員に周知・教育を図り、有事に備えることができるよ うにすることである。それでは全ての情報システムにこうしたBCPを適用する必要があるのか?ここ で重要となるのが、BCP を定める上の前提となる、事業継続マネジメント(BCM:Business continuity management)という考えである。 BCM では、緊急事態においても提供すべき施設のサービス内容(医療サービスの目標)という 観点から、施設内の各種業務の重要度を特定し、重要度に応じて BCP の内容を策定するというア プローチが採られる。BCP を策定するに際しても、どの業務領域にどの程度の BCP リソースを配分 すべきかという悩みは誰にでも付きまとうであろうが、業務の重要度に応じて配分すべきソフトリソー ス(人的リソースの配置、訓練の頻度等)、及びハードリソース(文書の精度・代替システムの用意有 無等)を決定することで、効果的な BCP を実行することが可能となる。 本来は全ての情報システムに等しく高品質且つ十分な管理資源を投入することが望ましいが、 現実的には難しく、よってシステム、またはシステムが取り扱うデータの重要度に応じて管理対策を 講じることが必要であることは既に【(1):リスク評価】でも述べたが、同じ考えが事業継続計画にも 適用可能である。つまり、施設としての目標に鑑みて、非常事態が発生した場合、どの業務が最も 44 重要度が高いのかという観点から、BCP の内容の密度を検討し、重要な業務には手厚い計画を、 相対的に重要度の低い業務には簡便な計画を配するといった、緩急のメリハリあるリソース配分が ここでも求められる。 また、BCP 発動時には、情報システムへのアクセスコントロールを一時的に開放する等の、緊急 対応措置が採られることになるが、逆に言えば、この措置が平常時にこっそりと第三者に悪用され た場合、様々な管理対策が無効化されるというリスクがある。そのため、BCP 発動に伴って、情報シ ステムの機能(アクセスコントロールの機能)を一時開放する場合、その利用通知が管理者に届くよ うな、悪用に対する対策を同時に講じることも必要となる。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> 「非常事態」の定義、及び当該事態の判断者を明確に文書として定めること 「非常事態」が判断され、業務の全面復旧に至るまで手続を明確に文書として定め、関係 職員に周知・教育すること。 「非常事態」における情報システムに係る緊急機能が存在する場合は、それが悪用されな いための措置を講じておくこと 「非常事態」のうち、外部からのサイバー攻撃等、外部の第三者による悪意によって医療サ ービスの提供に支障が発生する場合は、監督官庁へ適時に連絡を行うこと <推奨すべき事項> N/A ⑤ MHLW ガイドラインの関連項目 6-11-C-2、C-3、C-4 45 <12.契約管理> ① 目的 契約管理とは、施設内部における職員、施設業務を外部委託する関係業者を対象として、契約 関係に基づき、施設において予め定められた、然るべき手順・手続に基づき業務を行うよう管理す ることを目的とする。 ② 想定リスク 契約管理に係る活動が想定するリスクは主に以下の通りである。 明示的な契約関係が成立しないことにより、本来、施設内部の職員、または外部業者によ る業務遂行上の遵守事項が明確化されず、遵守させるべき事項が遵守されないリスク ③ 考え方 契約管理という活動における論点は、施設内の業務に就かせるに際して、事前に遵守すべき事 項を明確にし、当該事項を遵守することを本人に同意させないかぎり、業務の実施を認めさせない 仕組があるかという点である。 特にこれは情報管理の観点で非常に重要である。職員は日々の業務の中で様々な機微情報に 接しており、業務の必要に応じて外部への持ち出しや運搬を行う必要もある。また、業務上知りえ た情報が、施設外に出ればリセットされることはなく、プライベートにおいてもこうした情報を第三者 に語ることもできる。こうした人の管理に際して重要なものが契約、あるいは誓約による本人同意で あり、外部業者に対しては契約書による明確な業務契約・秘密管理に係る誓約である。 また、特定時点において契約・誓約によって取り交わした内容が常に、その時点と同水準で人の 意識に維持される続けることは難しい。どれほど契約・誓約書によって禁止事項を周知したところで、 時間経過とともに、人の記憶は薄れていく。そのため、契約・誓約書によって取り交わした内容は定 期的に周知・教育を図ることで、各人に意識付けを計画的に図っていく必要がある。 なお、こうした定期的な意識付けの取組は内部職員のみでなく、外部事業者も含めた一斉研修と いうかたちで実施することが効率的且つ効果的である。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。なお、外部事業者との契約締結について の実施例は【(7):外部委託先管理】の内容と同一である。 46 <最低限実施すべき事項> (内部職員) 職員の採用に際しては、守秘義務・秘密情報の非開示契約を締結すること。契約書の条項 には就業中の期間に加え、退職後も当該契約が有効であること、及びそれに反した場合の 罰則規定を明示すること。 定期的に、守秘すべき秘密情報の取り扱いが発生する業務における情報管理の重要性を 周知・教育する研修を定期的に開催すること。 (外部事業者) 守秘義務に係る契約を締結すること。これには、再委託先・再々委託先等、外部業者(一 次請け)による委託業務の遂行に業務請負・派遣として関与する全ての企業に対する同様 の守秘義務を含む。 外部業者職員が守秘義務を遵守しない場合における、委託元としての罰則規定の明確化 を行うこと <推奨すべき事項> (外部事業者) 外部業者が外部業者の職員と守秘義務契約を締結すること ⑤ MHLW ガイドラインの関連項目 6-6-(1)-C-1、C-2、C-3 6-6-(2)-C-1-①、④ 6-8-C-6、C-9、 6-8-D-3 47 <13.電子署名管理> ① 目的 電子署名管理とは、法令上、署名または記名・押印が求められる文書に対して、電子的な署名ま たは記名・押印を行うに際して、電子署名の有効性やセキュリティを確保した上で、当該作業が行 えるようにすることを目的とする。 ② 想定リスク 電子署名管理に係る活動が想定するリスクは主に以下の通りである。 求められる対象期間において電子署名の有効性が維持されないことにより、電子署名の本 人性が検証できなくなるリスク 求められる対象期間において電子署名のセキュリティが維持されないことにより、改ざんが 行われ、電子署名の完全性が損なわれるリスク ③ 考え方 電子署名管理という活動における論点は、e-文書法の対象となる医療関連文書に対して、第三 者による検証に際して、署名の本人性及び完全性の要件をどのように充足するかという点にある。 e-文書法省令が指定する医療関連文書について電子的な署名を行う場合、当該文書の法定保 存期間として求められる対象期間において署名が有効であることを担保する仕組が必要である。 また、電子署名に用いられる暗号化処理についても、技術変化のなかで陳腐化していく可能性 があり、一定以上のセキュリティ要件を満たした技術が求められる。一定以上のセキュリティ要件と いった場合、様々な暗号化技術が想定されるが、ここでは MHLW ガイドラインが求めるとおり、保 健医療福祉分野 PKI 認証局(HPKI)、あるいは認定特定認証事業者等の発行する電子証明書を 用いることが最も対応しやすい。 電子署名管理の要件は法定要件でもあるため、その実施に際しては監督官庁の指針に準拠す ることが推奨される。 ④ 実施例 上記を踏まえ、実施すべき事項例は以下の通りとなる。 <最低限実施すべき事項> 電子署名に際しては、保健医療福祉分野 PKI 認証局(HPKI)、あるいは認定特定認証事業 者等の発行する電子証明書を利用すること。なお、これを利用しない場合は HPKI 等の電子 48 証明書の要件を最低限充足するものを利用すること。 時刻認証事業者が提供する時刻管理サービスを使用し、その時点で有効な電子署名を含む、 対象文書全体に漏れなく、第三者が検証可能な信頼性の高いタイムスタンプを付与すること <推奨すべき事項> N/A ⑤ MHLW ガイドラインの関連項目 6-12-C-1、C-2、C-3 49 4.付表 I. MHLW ガイドラインの関連項目一覧表 【3-Ⅳ:管理活動の具体的な内容】で解説した各管理活動における、 【⑤:MHLW ガ イドラインの関連項目】を一覧化した表となる。 本ガイダンスから MHLW ガイドラインの内容を参照する際のインデックスという 位置付けとなる。 II. 自己点検チェックリスト 【3-Ⅳ:管理活動の具体的な内容】で解説した各管理活動における最低限実施すべ き事項を一覧としてまとめ、現場のシステム管理者が実際に何を為すべきか、為さな いことによりどのようなリスクが想定されることかについて、チェックできるリスト となる。 医療情報システムの安全管理に係る活動を開始しようとする読者が、現状のシステ ム管理態勢において、どのような管理すべきリスクが残存しているのか、またそうし た中でどのような管理活動を行うべきであるかについて確認するための一助となるこ とを目的としている。 III. 医療分野で使用される機器・システムのセキュリティに関する保守ポリシーについての 質問票 【3-Ⅳ-7:外部委託先管理】にて解説した通り、医療機関等では医療系・非医療系シ ステムや機器の運用・保守の多くが外部のベンダーへ委託される形態がとられている。 近年、外部の攻撃者により様々な企業の情報セキュリティが侵害される事件が相次いでい るが、医療機関等において医療現場の運営に係るシステム・機器が、セキュリティ上の脆弱性 を通して、侵害される事態は、患者の生命に影響を及ぼすリスクの観点から、防止すべきもの である。 このような背景において、外部委託先ベンダーが運用・保守を担うシステム・機器について、 外部委託先管理の一環として、どのような脆弱性管理のポリシーが適用されているかを把握し ておくことは、管理責任/説明責任双方の観点から重要である。 本質問票は、外部委託先ベンダーがどのような脆弱性管理のポリシーを有しているかを確 認するためのポイントを整理し、外部委託先管理に係る管理活動を高度化するための一助と なることを目的としたものである。 以上 50
© Copyright 2024 ExpyDoc