「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に対応
社会の様々な場面でIT利活用やデジタル化が進む中、医療業界においても医療情報を取り扱うシステムの拡大が進んでいます。
一方で、システム上で取り扱われる情報を狙ったサイバー攻撃や情報漏えいなどの事例が報じられるなど、医療情報システムを導入・利用することに伴うサイバーセキュリティ面のリスクも増大しています。内閣サイバーセキュリティセンターが公表する「重要インフラの情報セキュリティ対策に係る行動計画」において、「医療」が重要インフラ14分野の一つとして取り上げられ、重点的にセキュリティ施策を強化・改善すべき対象と指定されています。
『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン』とは?
従来、医療情報を扱うシステムについては、厚生労働省、総務省、経済産業省それぞれがセキュリティガイドラインを策定し、「3省3ガイドライン」と呼ばれていました。事業者はそれぞれを参照し対応する必要がありましたが、総務省と経済産業省は2つのガイドラインを統合・改定し、2020年8月21日に『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1版)』として公表しました。このガイドラインは医療情報システム固有のリスクを特定し、それぞれのリスクに応じた必要なセキュリティ対策の実施(リスクベースアプローチ)と、システム提供先の医療機関などとの明示的な合意(リスクコミュニケーション)を求めています。
NRIセキュアは、新たなガイドラインを元に医療分野の情報セキュリティの専門家が医療情報システムに対するリスク評価からセキュリティ対策の立案、実行までを包括的かつ実効的に支援します。本サービスは、以下の4つの内容から構成されます。
医療情報システムの構成図を元に、システムを構成する要素間をデータがどのように流れるか、全体像を把握し、想定されるリスクを洗い出します。リスクの大きさや発現可能性に応じて、セキュリティ対策が必要かどうかを検討し、必要な対策の優先順位付けを支援します。
対応が必要と評価されたリスクについて、それぞれの「事業者自身が実施すべきセキュリティ対策」「医療機関など外部への依頼事項」「対策実施後の残存リスク」を整理し、リスク対応方針(低減・回避・移転・保有)を策定します。
ガイドラインでは、システムやサービスを利用する医療機関などとリスクコミュニケーションを行う上で、必要な文書を整備することが求められています(例:サービス仕様適合開示書)。NRIセキュアは、専門家の観点から、文書作成にあたって考慮すべき事項をアドバイスします。
医療情報システムにおいてセキュリティインシデント(事故・事案)等が発生した場合に備え、対応手順の整備や、発生後に行われる医療機関などとの合意形成において考慮すべき事項について、アドバイスします。
図:サービスのご提供フロー
NRIセキュアは、長年にわたり医療分野の情報セキュリティコンサルティングサービスを提供しています※。本サービスでは、医療分野の情報セキュリティに関する豊富な知見・経験を有し、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に精通している専門家が、ガイドラインが求める要求事項の理解に基づき、正確な準拠状況評価と実効的な対策提言を行います。
NRIセキュアでは、情報セキュリティ規程の整備支援やインシデント対応態勢の構築支援など、ガイドラインの要求事項への対応を確実に実現するためのサービスを幅広くご提供しており、ガイドラインに準拠するための対策実行支援までを一気通貫でご支援することが可能です。セキュリティ対策の各種製品の導入プロジェクトを個別に支援することも可能です。(オプションサービス)
個別お見積もり
・医療分野におけるサイバーセキュリティ対策調査一式(厚生労働省)
・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(案)の修正作業(総務省)