2015/9/1 システム関連の請負業務に付随する作業等について

システム関連の請負業務に付随する作業等について
独立行政法人 地域医療機能推進機構
2015/9/1
1-1.基本方針
独立行政法人整理合理化計画において、「各独立行政法人は、民間企業における内部統制
制度の導入を踏まえ、独立行政法人における役職員の職務遂行の在り方をはじめとする内部
統制について、会計監査等の指導を得つつ、向上を図るものとし、講じた措置について積極的
に公表する。」とされている。
内部統制では、①業務の有効性と効率性・②財務報告の信頼性・③関連法規の遵守・④資産の
保全の4つの目的が義務化されており、③の「関連法規の遵守」により著作権法違反行為に該
当する、ライセンス不正使用等の違反を防止する対策の実施が義務づけられていると考えられ
る。
昨今、ソフトウェアの著作権者やその権利保護活動を行う第三者機関による監査において、ソ
フトウェア資産の管理不足による行政機関等におけるソフトウェアの不正使用の発覚とそれに対
する損害賠償請求、社会的信用が失墜する等の問題が生じている現状を鑑みて、独立行政法
人地域医療機能推進機構(以下.病院を含めて「JCHO」という)では法令遵守に必要な措置とし
て国際標準化機構が策定したソフトウェア資産管理(ISO/IEC19770-1)に準拠したソフトウェア
の不正使用を防止するための手順・運用方法を定めたIT資産管理を実施する。
JCHOよりシステム関連の業務を請け負おうとする者においては、本書及びIT資産管理に関す
る他のマニュアル等によりJCHOが実施するIT資産管理を理解しこれを遵守することを基本とす
る。
<JCHOにおける対応>
(1)ライセンス違反の防止
・適切なIT資産管理
・マイクロソフト社製品の包括契約
(2)管理体制の評価
・内部及び外部監査
1
1-3.IT資産管理実施方法マトリックス
JCHOが保有する全てのコンピュータ(物理・仮想を問わない)は、JCHOnetへ接続することを原
則とし、 WindowsOSが稼働するコンピュータについては、Microsoft System Center Configuration
Manager (以下「SCCM」という)を利用して構築したJCHOIT資産管理システムにおいて、コン
ピュータのインベントリ情報を定期取得し監視・管理を行う。
WindowsOS(PC、サーバー)
インベントリ取得方
法
オンライン
1. SCCMエージェント
+アンケート機能
2. オフライン
インベントリツール
での取得 (毎月)
3. 手作業による
インベントリデータ
作成(毎月)
4. システム導入業者
インベントリ
取得ツールの開発
(毎日自動取得し
SCCMサーバーへ
データ転送を行う)
1、2非対応の
WindowsOS
オフライン
Windows以外の
サーバー(UNIX
等)
●
●
●
●
2
1-3.JCHOへ納品するコンピュータシステムについて
メーカーサポート
受託者は納品する全てのハードウェア及びソフトウェアについて、保守契約期間におけるメーカーサ
ポートが保障されている製品を選択すること。
なお、納品時点においてメーカーサポートが終了することが判明している製品を納品した場合、メー
カーサポートが終了する以前に、保守の範囲としてサポートされる製品へ更新すること(この場合の
ハードウェア及びソフトウェアの購入費並びに作業費等の一切の費用は受託者負担とする) 。その際
は、病院等の業務に支障が生じないよう実施すること。
例:2020年にサポートが終了するWindowsServer2008を2016年に納品した場合、2019年までにサポー
ト対象のWindowsServer2012以上のOSに変更する。それに伴うハードウェアの入れ替え、ミドルウェア
の買い替え、その他の部門システムとの連携等、病院業務が正常に運用できる状態に必要な購入費
及び設定費用等は受託者負担となる。
クライアント用WindowsOS
SCCMで管理できるProfessional Edition同等以上のOSを調達すること。
ユーザーアカウント権限
Windows及び各種システムへのログインするためのユーザーアカウントは、操作する職員を特定でき
るよう職員個人アカウントを作成し使用させること。
また、原則として、全ての病院職員のユーザーアカウントは一般権限とすること。管理者権限アカウン
トの作成は必要最小限数とし、管理者権限を悪用されない仕組みとすること。
アクティブディレクトリ
今後、病院において使用するシステムのユーザーアカウントについては、JCHO本部のADで管理する
JCHOnetユーザーへ移行することが想定されるので留意すること。
3
2.JCHOnet共有システム概略図
機能説明
JCHO
認証
SCCM
セントラル
ウイルス
対策
KMS
ポータル
業務アプリサーバ群
メール
認証: JCHONET用ユーザー管理を行う。
(ActiveDirectory)*NTP兼務
SCCMセントラル:全コンピュータの端末情報収集
を行う。
(SystemCenterConfigurationManager)
ウィルス対策:全コンピュータのウィルス対
策を行う(Forefront )
KMS:WindowsOS、MSOfficeのライセンス
認証を行う(アクティベーション)
VPNセキュリティ
業務アプリサーバ群:JCHO内の全病院施設等が
利用する業務アプリサーバ群
IP-VPN
WEBサーバー
病院
病院
病院
SCCM
プライマリ
SCCM
プライマリ
SCCM
プライマリ
・・・57病院
インターネット
院内LAN
院内LAN
SCCMプライマリ:病院ユーザーの
管理、院内コンピュータの
ウィルス対策、院内コン
ピュータの端末情報収集を行う。
(Account Management Framework)
(Forefront)
(SystemCenterConfigurationManager)
ポータル:病院内掲示板、全病院共有掲示板
等での状況共有を行う。
また、IT資産管理や各種申請を行う。
(SharePoint)
メール:eメール管理を行う。また、ADユー
ザーのパスワードの変更を行う。
(Exchange)
WEBサーバー:インターネット公開用
WEBサイトを管理する。
院内LAN
4
3-1.JCHOnet病院設置機器
(1)回線サービス
サービス名:Arcstar
通信事業者:NTTコミュニケーションズ
IP-VPN
(2)ネットワーク機器
ONU
ルータ
L3スイッチ ファイヤーウォール
Fortigate
JCHO本部
院内LAN
SCCM
プライマリ
*クラウド型電子カルテシ
ステムを導入する病院は、
その際に全ての設置機器
が冗長化されるので、院内
LANを更新する受託者は、
冗長化を考慮した設計で
構築すること
JCHOnetからFortigateまでの保守・管理はJCHO本部が行う
5
4-1.導入するシステムのJCHOnet対応
(1)Fortigateに対して院内へ構築するシステムのネットワークを接続する。
・構築する院内システムネットワークを物理的に接続する。
・院内ルータ等のルーティング設定等を行い(またはネットワーク管理者へ依頼し)JCHOnetへの通信を可
能とする。
*構築するシステムのネットワーク構成及び接続するFortigaeのポート等は
事前にIT推進課と協議すること。
*ネットワーク環境の構築・保守が調達範囲外の場合の作業、導入する機器への設定のみを作業範囲とす
るが、導入するシステムについて通信等に障害が生じた際にはネットワーク構築・管理業者及びJCHOと
協力し問題の解消にあたること。
(2)JCHO指定ソフトウェアのインストール(WindowsOSのサーバー及びクライアントPC)
・サーバー及びクライアントPCへ次のソフトウェアを導入すること。
(「JCHOnet接続に関する設定ガイド」参照*病院固有ネットワーク情報のため受託者のみに配布する)
①SCCMエージェント(IT資産管理、セキュリティ対策管理)
(「FEP対応SCCM エージェントインストール手順書」参照*受託者のみに配布する)
②Forefrontエージェント(セキュリティ対策)
(「SCCM_FEP管理操作手順書」参照*受託者のみに配布する)
*本アプリケーション以外のセキュリティ対策ソフトは認められない
6
4-2.導入するシステムのJCHOnet対応
(3)Windows以外(UNIX等)のサーバー、PCの対応
*仮想基盤を構築するサーバーも対象とする。
①IT資産管理システム対応
導入するサーバーがWindows以外で動作する場合、JCHOIT資産管理システムで管理可能な
インベントリデータ(CSV形式)を毎日出力し、SCCMサーバーの指定フォルダへ転送する仕組みを用意
すること。
また、当該システムをJCHOが利用している期間は本ツールの保守を行うこと。保守には障害対応及び
簡易な改修を含むものとする。
*IT資産管理システムで取り込むインベントリデータ項目は
7章「インベントリデータ一覧」を参照。
②ウィルス対策システムの導入
コンピュータウィルス等の脅威から導入するサーバー等を保護するシステムを導入し
適切に運用管理を行うこと。
構築するサーバーが複数台ある場合は、当該システムのパターンファイルの一括配布や
適用状況を一元管理可能なシステムにて構築し運用の軽減を図ること。
(4)(3)①の仕組みを用意できない場合の対応
①IT資産管理システム対応
インベントリデータの自動作成ができないサーバー等が存在する場合、受託者は各サーバー等のイン
ベントリを毎月手作業にてデータ化しSCCMサーバーへ登録すること。
7
4-3.導入するシステムのJCHOnet対応
(5)コンピュータのキッティングについて
クライアントPC等へ導入するWindowsOSをマスターイメージ等で展開する場合は、Microsoft社の
Sysprepを利用し固有情報(SID)を変更すること。
なお、 SIDを変更するアプリケーションにSysprep 以外のアプリケーションを選択する場合、 受託者
がSCCMを正常に動作させることを保証すること。
(6)GESA契約ライセンスのアクティベーションについて
JCHOへ導入するWindosOSが動作するコンピュータはGESA契約の対象である。
*対象ライセンスは5章参照
クライアントOSをバージョンアップする場合又はMicrosoftOfficeを導入する場合はJCHOが用意する
メディア・ライセンスを用いること。
また、その際の認証については、JCHOnet共有システムであるKMSサーバーにて実施すること。
KMS認証の方法は、受託者のみに開示する。
<KMS条件>
①GESA契約対象PCであること。
*JCHOが調達するWindowsが動作するコンピュータは全て契約の対象となる。
②JCHOnetへ接続されていること。
③ポート1688を解放していること。(施設設置ファイヤーウォール及び
ウインドウズファイヤーウォールの設定をご確認ください)
8
5.マイクロソフトライセンス包括契約について
(1)包括契約:Microsoft Enterprise Subscription Agreement for Government Partners
(以下.「GESA」と呼ぶ)
WindowsOSが動作するサーバー及びPCは全て包括契約の対象となる。
(2)包括契約対象ソフトウェアライセンス
・Microsoft Windows Professional(アップグレード権)(PC)
*原資となるWindowsライセンスが無いPCにはインストールできません。
・WindowsServerCAL(PC)
・Microsoft Office Professional (PC)
・SystemCenterCML(Forefrontライセンスを含) (サーバー及びPC)
・SharePointCAL (PC)
・ExchangeCAL (PC)
・LyncCAL (PC)
(3)留意事項
・「(2)包括契約対象ソフトウェアライセンス」に掲げるライセンスは別途調達不要。
・調達するクライアントコンピュータのWindowsエディションはProfessional同等
以上とする。
*スタンドアロン端末であっても、家庭用向けOSエディションのPCの調達は不可。
アクティブディレクトリ及びSCCMでの管理が行えないため。
9
6.医事会計システムデータ出力ツールについて
(1)医事会計データ出力ツールの作成
・医事会計システムの構築等を請け負う者は医事会計システムのデータを、
JCHOが構築した診療・財務データベースへ登録可能なデータとして出力するツールを
開発し納品すること。
(仕様については 「診療・財務データベースデータフォーマット仕様書」を参照)
・出力した医事会計データをJCHOnetの「診療財務DBデータ格納システム」にて正常に取り込むこと。
・「診療財務DBデータ格納システム」へ取り込み済の医事会計データが仕様書に沿って出力されて
いないことが判明した場合は速やかに出力ツールを修正し、正常なデータの作成に努めること。
(2)保守
・出力ツールについては、医事会計システムが稼働している間は、当該システムの保守の範囲と
すること。
・診療・財務データベースデータフォーマット仕様書の軽微な変更があった場合は、
保守の範囲として出力ツールの改修を行い費用の請求は別途行えない。
軽微な変更とは、医事会計システムに存在するデータの追加出力、データ型の変更
(数値からキャラクタへ等)等を指す。
ただし、仕様書に大幅な変更が生じるような変更が生じた場合は別途協議するものとする。
10
7.インベントリデータ一覧
(H/W情報)
(ソフトウェア情報)
・SMS識別子
・ハードウェア管理番号
・メーカー名
・型番
・コンピュータ名
・IPアドレス
・CPU数
・CPU名
・実装メモリ
・HDD容量
・OS
・OSライセンスタイプ
・導入年月日
・利用者名
・利用者所属名
・利用者社員コード
・設置場所名
・ハードウェア管理台帳登録
・ハードウェア管理台帳登録不可理由
・インベントリ取得日時
・SMS識別子
・ソフトウェア名称
・プロダクトID
・ソフトウェアライセンスタイプ
・パッチフラグ
・インストールの日付
・取得日時
11
8.情報セキュリティ対策について
1.フトウェアのインストールをコントロールする仕組みの導入
パソコンのアカウントには「管理者」と「標準ユーザ」の二種類があり、「管理者」アカウントはソフトウェア
のインストールが可能となっている。
一方で、一般職員には「標準ユーザ」アカウントを付与することで、ソフトウェアのインストールを制限す
ることが可能となる。
一般職員によるPCへの不正なアプリケーションの導入を防止するため、受託者は、原則として、システ
ムを利用する職員のWindowsログオンユーザーを「標準ユーザ」アカウントに限定し、その環境で動作す
るシステムを納品すること。管理者権限アカウントの作成は必要最小限数とし、管理者権限を悪用されな
い仕組みとすること。
2.証跡管理
Windowsユーザー及びシステムへ登録するユーザーについて、職員別に登録し利用するシステムを構
築すること。またこれにより証跡管理を行うこと。
利用者を特定できないユーザーの特定・使用は一切認めない。
3.脆弱性対応
導入するシステムを構成するWindowsやその他アプリケーションの脆弱性が発見された場合、脆弱性
対策を速やかに行う事。なお、修正プログラムの適用、ブラウザのバージョンアップ等の軽微な対応とそ
れに係るシステムテスト等については保守の範囲として行うこと。
また、保守中契約中にメーカーサポートが終了するアプリケーションが発生した場合は、その対応先に
ついて提案し原則として同様の対応を行うこと。ただし、対応作業が大規模になる場合又は別途調達が
必要となる場合においては別途協議することとする。
4.規程等の遵守
受託者は次の項目について病院が遵守可能なシステムを納品すること。
①独立行政法人地域医療機能推進機構業務方法書第13条及び第14条
②平成26年規程第54号個人情報の保護に関する規程第3章、第4章及び第6章
③受託時点において最新版の
「医療情報システムの安全管理に関するガイドライン」(厚労省)、
「医療情報を受託管理する情報処理事業者向けガイドライン」 (経済産業省)、
「ASP・SAAS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」 (総務省)、
「独立行政法人等の保有する個人情報の適切な管理のための措置に関する指針」(総務省)
12
9.院内ネットワークについて
平成27年度より、サイバーセキュリティの強化のため、病院ネットワークを法人として監
視・管理を行うこととする。
現在各病院においては、プライベートIPアドレスによる院内のネットワークを運用し、NATに
よりJCHOnetへ接続をしているところであるが、前述した管理を実施するため、 今後はNAT
をおこなわずにJCHOnetへ接続することとなる。
・対応タイミング:可能な限り速やかに行うこと。
即時対応が難しい場合は、システムの導入またはシステム更新の際に確
実に行うこと。
*ネットワーク設計等を確認するので本部IT推進課へ必ず連絡すること。
・完了期日:平成32年3月31日
・ネットワークアドレス範囲:ネットワークアドレスは別途指示する。
*院内ネットワークには、病院付属の介護老健施設、看護専門学校、訪問看護ステーション
等病院部門を全て含む。病院と各施設を物理的にLAN接続できない場合は、IT推進課
へ相談すること。
インターネット接続について
① 院有資産のコンピュータでインターネットへ接続する場合は、JCHOnet経由で行うこと。
*診療報酬請求等
② 個人情報を扱うシステム及びコンピュータはインターネットへ接続させないこと。
③ 院有資産以外のコンピュータのJCHOnet接続の禁止。
13