ダウンロードはこちらから - メディカルITセキュリティフォーラム

厚生労働省「医療情報システムの安全管理に
関するガイドライン4.2版」のガイダンス
~ 情報システムの基本的な安全管理を医療機関等の
システム担当者が遂行するための手引き~
第0.9版
平成27年4月
メディカル IT セキュリティフォーラム
本ガイダンス公表の経緯
厚生労働省の医療情報システムの安全管理に関するガイドラインは、平成11 年4月の「法令に
保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関する通知」、及び
平成14年3月通知「診療録等の保存を行う場所について」に基づき作成された各ガイドラインを統
合して作成された、平成17年3月の第1版が嚆矢となる。
その後IT技術の進化と普及、社会的な情勢の変化に応じて、平成25年10月公表の第4.2版ま
で改訂を重ねてきた。
この間、総務省、経済産業省からも関連するガイドラインが数次にわたり公表・改訂されており、さ
らに保健医療福祉情報システム工業界(JAHIS)からは、メーカーの立場から、厚生労働省・総務
省・経済産業省のガイドラインを統合したガイドラインが公表されている。
もとより厚生労働省のガイドラインは厚生労働大臣が個人情報保護法およびe文書法を執行する
に当たり、規制や罰則を行う際の基準となるものであり、医療機関のユーザの立場では、「何をす
べきか」、「何をしてはいけないのか」、「どのような状態で放置しておくことに問題があるのか」等の、
実際に行うべき管理項目単位の指針が望まれるところである。
上述のJAHISのガイドラインは上記三省のガイドラインを効率的に統合して示しているが、あくま
で「メーカーの立場でどのようなシステムを提供すべきか」を示すものであり、ユーザ側からの直接
の要望に応えるものではない。
メディカルITセキュリティフォーラムは、医療系ユーザの立場にたって情報セキュリティに関する正
確な情報提供を基盤とした啓発活動を行う非営利的な任意団体であり、厚生労働省、警察庁の指
導のもと、JAHISの加盟企業を含む多くの関係機関の支援のもとに活動を行ってきたが、上記のよ
うな状況を鑑み、ユーザの立場にたったわかりやすいガイダンスを公表すべきであると考え、有志
メンバーで検討を重ねてきた。今回一定の形式を整えた段階で公表させていただき、皆様のご批
判・ご意見を仰いで、さらに完成度を高めていきたいと考えている。
折しも2015年は、個人情報保護法の10年ぶりの改訂、医療ID制度(マイナンバー)の導入、人
を対象とした医学系研究に関する倫理指針(文部科学省・厚生労働省)の実施等、医療における
情報の取り扱いに関して大きな過渡期に当たる節目とも言える。
本ガイドラインが医療に携わるユーザの実務においてコンプライアンスを遵守しつつ、本来業務
でありよりよい医療の推進に少しでも貢献することを期待する。
1
目次
1.はじめに .............................................................................................................................. 3
2.本ガイダンスの読み方 ......................................................................................................... 4
3.ガイダンス............................................................................................................................ 5
I. 前提 ................................................................................................................................. 5
II. MHLW ガイドラインとの対応表 ......................................................................................... 6
III. 管理活動の単位 ............................................................................................................. 7
IV. 管理活動の具体的な内容 .............................................................................................. 8
<1.リスク評価> ............................................................................................................. 9
<2.アカウント/権限の管理> ........................................................................................ 15
<3.パスワード管理>.................................................................................................... 20
<4.ログの点検管理> ................................................................................................... 26
<5.媒体・機器管理> ................................................................................................... 30
<6.入退室管理> ........................................................................................................ 33
<7.外部委託先管理> ................................................................................................. 35
<8.無線 LAN 管理>.................................................................................................... 39
<9.廃棄データ管理> .................................................................................................. 41
<10.システム保守管理> ............................................................................................. 43
<11.事業継続管理> ................................................................................................... 44
<12.契約管理> .......................................................................................................... 46
<13.電子署名管理> ................................................................................................... 48
4.付表 .................................................................................................................................. 50
I. MHLW ガイドラインの関連項目一覧表 ...................................................................... 50
II. 自己点検チェックリスト ............................................................................................ 50
III. 申請書・台帳のサンプル ........................................................................................... 50
2
1.はじめに
本ガイダンスは、厚生労働省の「医療情報システムの安全管理の関するガイドライン4.2版」(以下、
『MHLW ガイドライン』と記載)をユーザの立場から、実施すべき管理作業毎に分類し、「どのような
リスクが存在するのか」、「それらのリスクを放置するとどのような問題を生じるのか」、「リスクを低減
するために何を行うべきか」等、実際にユーザが情報システムを管理する際に行うべき管理項目毎
の指標を示したものである。
従って原本として参照すべきはあくまで上記厚生労働省のガイドライン4.2版であり、本ガイダン
スは法的な強制力を持つものではなく、また本ガイダンスを遵守することにより、法的措置から確実
に免罪されるものではない。
本ガイダンスでは、病院、診療所、薬局、助産所等(以下「医療機関等」という。)における診療録
等の電子保存に係る責任者を対象とし、理解のしやすさを考慮して、現状で選択可能な技術にも
具体的に言及した。従って、本ガイダンスは技術的な記載の陳腐化を避けるために定期的に内容
を見直す予定である。本ガイダンスを利用する場合は最新の版であることに十分留意されたい。
また、本ガイダンスは「医療・介護関係事業者における個人情報の適切な取扱いのためのガイド
ライン」と対になるものであるが、個人情報保護は決して情報システムに関わる対策だけで達成さ
れるものではない。従って、本ガイダンスを使用する場合、情報システムだけの担当者であっても、
「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」を十分理解し、
情報システムにかかわらない部分でも個人情報保護に関する対策が達成されていることを確認す
ることが必要である。
3
2.本ガイダンスの読み方
本ガイダンスは次のような構成になっている。医療機関等の責任者、情報システム管理者、また
システム導入業者が、それぞれ関連する個所を理解した上で、個々の対策を実施することを期待
する。
なお、本ガイダンスでは「情報」「データ」「システム」という用語を用いているが、これは医療に関
する患者情報(個人識別情報)を含む情報及びその情報を扱うシステムという意味で用いている。
各章の記載に際しては、厚生労働省のガイドラインの該当する記載部位をできる限り明示している
ので、原本である厚生労働省のガイドラインも都度参照して理解を深めることを期待する。
【Ⅰ.前提】
本ガイダンスの前提を記載している
【Ⅱ. MHLWガイドラインとの対応表】
本ガイダンスが記述対象としている、厚生労働省「医療情報システムの安全管理に関するガイド
ライン」の項番について記載している
【Ⅲ.管理活動の単位】
Ⅱで記述対象とした範囲について、ユーザが実施すべき管理活動(統制活動)という単位
で分類した内容を記載している。
【Ⅳ.管理活動の具体的な内容】
Ⅲで分類した各管理活動(統制活動)について解説を行っている。
4
3.ガイダンス
I. 前提
MHLW ガイドラインの第 6 章:【情報システムの基本的な安全管理】には、患者の個人情報を含む
データを取り扱う医療機関が参照・管理すべき最低限の実施事項、および推奨事項(以下、『遵守
事項』と記載)が定義されている。
本ガイダンスでは、MHLW ガイドラインにおける遵守事項について、管理すべき想定リスクをどのよ
うにコントロールするか(統制活動を行うか)という観点より、実施すべき事項を「管理活動」という単
位に分類し、各事項の輪郭を体系的に整理することで、MHLW ガイドラインが求める遵守事項へ
の取組を効率的且つ効果的に行えるよう支援することを目指している。
また、一般社団法人 保健医療福祉情報システム工業会所管の「保存が義務付けられた診療録等
の電子保存ガイドライン」(以下、『JAHIS ガイドライン』と記載)では、MHLW ガイドラインについて、
システム導入を担う IT ベンダーの観点より、管理責任・説明責任を担う技術的対策、及び運用的
対策を整理している。そのため、IT ベンダーとの責任分界に基づき、現場ユーザが担うべき遵守事
項を整理するに際しては、JAHIS ガイドラインを活用している。
5
II. MHLW ガイドラインとの対応表
MHLW ガイドラインの第 6 章:【情報システムの基本的な安全管理】に記載された各項番について、
本ガイダンスの記述対象範囲は以下の通り。
MHLW ガイドライン
対象
第 6 章:【情報システムの基本的な安全管理】
6-1:方針の制定と公表
6-2:医療機関における情報セキュリティマネジメントシステム(ISMS)の実践
〇
6-3:組織的安全管理対策
6-4:物理的管理対策
〇
6-5:技術的安全管理対策
〇
6-6-:人的安全管理対策
〇
6-7:情報の廃棄
〇
6-8:情報システムの改造と保守
〇
6-9:情報および情報機器の持ち出しについて
〇
6-10:災害時の非常時対応
〇
6-11:外部と個人情報を含む医療情報を交換する場合の安全管理
6-12:法令で定められた記名・押印を電子署名で行うことについて
〇
6-1:方針の制定と公表については、個人情報保護方針の策定、及び当該情報を取り扱う情報シ
ステムの安全管理方針という、基本方針の整備に係る管理活動だが、内容面も明確なため、
MHLW ガイドラインの直接査読を推奨し、本ガイダンスでは省略する。
6-3:組織的な安全管理対策は、個人情報を含むデータを取り扱う情報システムの管理に際する各
種規程の整備を求める内容が中心であるが、本ガイダンスでは、後述する各種内容を取りまとめ、
組織的な安全管理対策に資する運用管理規程として文書化することを読者に求める構成としてい
るため、省略する。
6-11 については、医療機関間でのデータ送受信をはじめ、介護事業体、調剤薬局、診療所とのデ
ータ送受信から、スマートフォン・タブレット端末等を介した院内ネットワークへのアクセス、外部業
者によるリモートシステムメンテナンス等、外部ネットワークを介したデータ送受信に係る多岐に亘
る安全管理対策が MHLW ガイドラインに詳細に記述されている。そのため、MHLW ガイドラインを
直接査読することが有効であると思われるため、ここでの解説は省略する。
6
III. 管理活動の単位
MHLW ガイドラインの第 6 章:【情報システムの基本的な安全管理】の各種内容を、「管理活動」と
いう単位に基づき、以下の 13 区分に分類した。
No
管理活動
1
リスク評価
2
アカウント/権限の管理
3
パスワード管理
4
ログの点検管理
5
媒体・機器管理
6
入退室管理
7
外部委託先管理
8
無線 LAN 管理
9
廃棄データ管理
10
システム保守管理
11
事業継続管理
12
契約管理
13
電子証明書管理
当該分類結果に基づき、最低限の実施事項、および推奨事項の内容を体系的に整理することで、
上記管理活動を遂行するに際して、実施内容を統一的に理解できるようにしている。
7
IV. 管理活動の具体的な内容
以下、【3.管理活動の単位】で示した 13 区分について、以下の観点より解説を行う。
①目的
対象管理活動の目的を記載
②想定リスク
対象管理活動がどのようなリスクを想定した取組であるかについて記載
③考え方
管理活動を行うに際して前提となる考え方を記載
④実施例
③:管理活動の考え方に基づき、MHLW ガイドラインの内容における、最低限実施すべき事項、
及び推奨すべき事項に係る実施例を記載
⑤MHLW ガイドラインの関連項目
対象管理活動が MHLW ガイドラインで示される最低限の必要事項、または推奨される事項のいず
れと関連するかを記載
8
<1.リスク評価>
① 目的
リスク評価という活動は、個人情報を含むデータを取り扱う業務・システムを網羅的に洗い出し、そ
こで取り扱われる業務・システムの重要度を分類し、管理対策を整備するとともに、内外環境の変
化に応じて適時に対策の見直しを図ることを目的としている。この評価結果に基づき、重要度に応
じた管理対策が検討・実行されるため、全ての管理活動における起点となる重要な活動である。
② 想定リスク
リスク評価に係る活動が想定するリスクは、その他の活動とは異なる。前述のとおり、この評価結果
に基づき、重要度に応じた管理対策が検討・実行されることから、これは全ての活動における起点
となる重要な活動である。そのため、想定リスクは、管理対策の実効性・効率性が十分に担保され
なくなるリスクとなる。
③ 考え方
MHLW ガイドライン 6-2:医療機関における情報セキュリティマネジメントシステム(ISMS)の実践で
は、リスク評価対象範囲として、医療情報システムに格納されたデータを含め、様々な電子的な
資産、あるいは紙媒体に係る脅威を列挙している。
これらの脅威をマネージするためには、(1):情報資産の洗い出し、(2):重要度の評価、(3):重
要度に応じた管理対策の策定、(4):定期的な見直しという 4 つの作業を順番に行っていく必要
がある。
(1):情報資産の洗い出し
重要度の評価に際しては、業務上利用される情報資産を漏れなく洗い出し、一覧化することが
必要となる。
情報資産とは、サーバ、PC端末、USB メモリ、フロッピーディスク、CD/DVD ディスク等の情報機
器から、紙を刷り出すコピー機器、紙を電子化するためのスキャナー機器、ひいては業務外の
目的で利用される機器(私物として携行されるスマートフォン端末、タブレット端末等)、もしくは
電子化される前・後の紙カルテ等も含まれる。
ここで重要なことは、「どのような情報資産(What)が、どのような局面(When/Where)で、どのような
目的(Why)で、誰(Who)に利用されているか」という観点を踏まえ、情報資産を網羅的に洗い出し、
一覧化することである。ここで洗い出された情報資産は、重要度の評価に向けたインプットとなる
ため、網羅的な洗い出し・抽出が必要である。
9
(2):重要度の評価
電子・紙を問わず、個人情報を含むデータ、あるいはそれらを取り扱うシステムの情報セキュリテ
ィリスクを評価するに際しては、ISO/IEC 27002 にて定義される、情報セキュリティの三大基本、
つまり、機密性、完全性、可用性を用いて、これら三つの管理要件から、当該システムが各要件
をどの程度求められるかという観点で、分類を行うことが効率的である。それぞれの定義は以下
のとおりである。
区分
定義
機密性
情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を
確保すること
完全性
情報が破壊、改ざん又は消去されていない状態を確保すること
可用性
情報へのアクセスを認められた者が、必要時に中断することなく、情報及び
関連資産にアクセスできる状態を確保すること
(a)機密性
機密性は、アクセスを認められた者だけが、その情報にアクセスできる状態を確保することであり、
脅威としては、情報漏洩、第三者によるなりすましが挙げられる。この管理要件が満たされない
場合、不適切な情報の閲覧・参照等のリスク事象を招く。以下、リスク事象の一例を挙げる。
情報漏洩・流出
情報へのアクセスを認められない第三者が、セキュリティを突破し、内部の情
報を外部に持ち出すこと
なりすまし
情報へのアクセスを認められない第三者が、アクセス権限を有する人間のふ
りをして、情報にアクセスすること
例えば、患者の診療歴を扱うシステムについては、そこで取り扱われるデータの漏洩は勿論のこ
と、第三者によるなりすまし利用も禁じられるべきであるため、患者情報へのアクセスは一部の人
間にのみ限定され、高い機密性が求められる。医療機関における情報システムは患者の個人情
報を何らかのかたちで取り扱うものが多いため、多くのシステムにおいて機密性の要件は高くな
る傾向がある。
そのような場合、データの種類・内容に着目することで、機密性の管理水準をより詳細化すること
も、可能である。例えば、日医総研の「在宅医療と介護の連携における個人情報保護の在り方」
に係る検討案に基づき、医療情報の機微性の程度を、医療・介護連携に向けた必要な情報とい
う観点に基づき、以下のような In-Box/Out-Box という区分に分類すること等が考えられる。
10
In-BOX
詳しい病名、予後等、細かな症状、家族関係、収入・財産、本人が知
(機微性の高い医療情報)
られたくない情報など
Out-Box
主病名、血圧、体温、体重、食欲、外見的な状態、服薬情報(お薬手
(機微性の低い医療情報、
帳)、禁忌薬など
健康情報)
上記のような In-Box 型の機密性の高い医療データを取り扱うシステムである場合、管理対策もよ
り手厚く講じられる必要がある。例えば、アカウント/権限管理、パスワード管理、ログ履歴管理等
は、機密性との紐付きの高い管理活動であるため、これら管理活動に係るルールを明確化し、
そのルールに基づく記録管理の運用が求められる。
(b)完全性
完全性とは、情報が破壊、改ざん又は消去されていない状態を確保することであり、脅威として
は、不正なデータ改ざん、システム・プログラムの誤作動によるデータの毀損等が挙げられる。こ
の管理要件が満たされない場合、データの正確性・一貫性が損なわれ、誤った情報の伝搬とい
うリスク事象を招くため、e-文書法が定める電子保存の三大原則のうち、「真正性」の概念に類似
する。
例えば、患者の診療データの正確性・一貫性が損なわれた場合、病状に応じた患者に対する診
療行為の正確性・一貫性が損なわれる可能性がある。特に、医師・看護師・薬剤師・コメディカル
等、複数の関係者により患者を全方位的に支援することの重要性が謳われる昨今、患者に係る
データの完全性を維持する仕組みの重要度を増している。
(c)可用性
可用性とは、情報へのアクセスが必要時に中断することなく可能となる状態を確保することであり、
脅威としては、システムパフォーマンスの低下、自然災害によるシステム・利用不可、外部からの
サービス停止攻撃(DoS 等)等、期待通りにシステムが利用できなくなるリスク事象が挙げられる。
例えば、患者の診療データを集約管理する電子カルテ・オーダリングシステムが突然利用できな
くなった場合、診療行為の継続性が損なわれる可能性がある。現在、カルテ・オーダーを電子化
している医療機関の数は非常に多く、且つ、昔のようなカルテ・オーダーを紙で管理する経験の
ない年次の若い研修医等が勤務する環境下では、システムが利用できなくなるインパクトは非常
11
に大きくなる。
(3):重要度に応じた管理対策の策定
本来は、全てのシステム・データに対して、機密性・完全性・可用性の高い管理対策を適用する
ことが望ましいが、費用の負担や運用コストを考慮した場合、現実的ではない。よって、重要とな
るアプローチがリスク評価である。リスク評価を通して、各システム、及びデータの管理要件として、
どの程度の機密性・完全性・可用性がそれぞれ求められるのかという観点より、管理リソースを重
点的に投入すべきハイリスクなシステム等を識別し、高度な管理対策を講じる一方、ロウリスクな
システム等に対しては簡便な管理対策を適用する等、リソースの効率配分に向けた緩急・メリハ
リのある管理対策の展開が可能となる。
なお、勘違いしやすいが、ハイリスクなシステム等において、常に高度な管理対策をゼロベース
で新たに講じる必要はない。既に存在している管理活動を踏まえた上で、当該エリアにおけるリ
スクを十分に低減するための活動の導入要否を判断することが重要である。例えば、ハイリスクと
識別されたシステムにログインするために、生体認証による厳格な入退室管理の仕組(物理的な
セキュリティ)が既に存在しているような場合、入室後の PC 端末管理に係る論理的なセキュリティ
(ID・パスワード管理等)の必要性は相対的に低いといえる。これは、PC 端末管理の論理的なセ
キュリティが不十分であったとしても、入退室に係る生体認証の強固な仕組により、認められた人
間しか当該端末にアクセスできず、且つ、誰がいつ入室したかという記録も取得可能になってい
るため、PC 端末の利用に際した同様の仕組を改めて設定することは、管理リソースの二重投与
となってしまい、効率性の観点から有益ではない。このように現時点で存在する管理活動の内容
が、リスクをどの程度まで低減できているのかという観点に立ち、追加的な活動の要否を判断す
ることが、効率的且つ効果的な管理に向けて重要となる点は留意すべきである。
また、もう 1 点補足すれば、管理対策は、システムに係る技術的な観点に限らず、ルールに基づ
く対策の運用という観点からも検討することが好ましい。技術的な制限をシステムに施すことによ
り、障害・パフォーマンス劣化が発生し、現行のシステムの可用性が損なわれるような場合は、技
術的な制限措置を代替する運用上の対策を検討すべきである。例えば、重要性の高いデータ
を取り扱うシステム(ハイリスクなシステム)に、USB ポートの利用制限が施されておらず、USB 接
続型の可搬型媒体があれば誰もがデータを抜き取ることができる場合、USB ポートを技術的に
無効化することが最も分かりやすい対策ではある。しかし、そうした技術措置を図ることが、システ
ムにどのような影響をもたらすかが誰も分からないような状況下では、無理に技術措置を講じず、
例えば、USB ポートを物理的に塞ぎ、施錠した上で、利用に際した鍵の貸与記録の管理を行うと
いった代替的な手法を取ることが現実的な解となるであろう。このように、技術的に対応できない
からと言って放置するのではなく、識別したリスクを受容可能な水準にまで低減できる現実的な
対応策を何らかのかたちであれ実施することが重要である。
12
(4):定期的な見直し
(1)~(3)の内容は、内部のシステム導入・稼働状況、あるいは外部の技術的な変化・動向を踏
まえ、適宜、実態に即するかたちで定期的に見直し(再実施)を行う必要がある。見直しの契機と
なるものは、例えば、新しいシステムの導入、業務のありようを変える新しい技術インフラの導入
(タブレット活用、スマートフォンの業務利用)等、既存の内部のシステム利用状況に変更が発生
した場合等が想定される。また、新種のウィルス・ワーム、サイバー攻撃等、外部のセキュリティリ
スクの変化に応じた観点からの見直しも必要である。
(参考:「機密性」に係る管理アプローチの補足)
医療機関等では機密性の高い情報を管理するためのアプローチに苦慮することが多いと思われる。
そのような場合、機密性の管理態勢の向上に向けて、上記のリスク評価とともに実施することが推
奨される方法の一つに、システムへのデータ入出力を軸に、データがどのように医療機関における
各システム、各職員、各部門間(あるいは外部の医療機関等)で利用されているかという観点を明
確にするためのデータフローの作成である。
医師による外来診察・入院診察結果に基づき端末入力された、患者個人に係る検査オーダや処
方オーダは、オーダリング情報として看護師、薬剤師等へ連携される一方、会計事務のために医
事課・会計課へ連携される。さらに、看護師によるナースステーション勤務や病棟看護で収集され
たデータは、電子カルテ端末あるいはタブレット等を介して入力処理され、医師による診察のため
に出力・利用される。または、医師は論文作成のために患者データを出力・利用する。
このように、患者に係る個人情報を含む諸データは、多数の職種・居面にて業務横断的に利用さ
れている。そのため、機密性に係る管理対策を検討する際には、データの「入口」と「出口」を明確
に押さえた上で、データの入力処理方法(どこのフロアのどの端末、どの無線LANエリアからアク
セスしたタブレットか等)、出力処理方法(画面表示、印刷、USB メモリ等の外部記憶媒体によるコ
ピー等)を識別しておくことが重要である。データの入口・出口をマッピングしたフローチャートを整
理した場合、想定される不正・不適切なアクセスのパターンを網羅的に把握し、管理対策を検討す
ることができるようになる。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>
13

情報資産を網羅的に洗い出し、一覧化すること

一覧化した情報資産群に対して、重要度の観点から評価・分類を行うこと

重要度に基づく観点から、重要度の高い情報資産(ハイリスクなシステム等)に対しては厳格
な管理対策を講じる一方で、重要度が相対的に低い情報資産(ロウリスクなシステム等)に対
しては簡便な管理対策を実施すること

情報資産の一覧、重要度分類、及びそれらに基づく管理対策の内容は、定期的に見直すこ
と
<推奨すべき事項>
N/A
⑤ MHLW ガイドラインの関連項目
6-2-C-1、C-2、C-3、C-4
6-2-D-1
6-7-C-1
6-9-C-1
14
<2.アカウント/権限の管理>
① 目的
アカウント管理という活動とは、システムへアクセスできるユーザを必要最小限化する(Need to
Know の原則)とともに、本来の利用目的・用途からの逸脱を発見・是正することを目的としている。
② 想定リスク
アカウント管理に係る活動が想定するリスクは以下の通りである。
下記のとおり、アカウント管理という活動が有効に機能しない場合、不正なデータ閲覧・操作が可
能となり、情報の漏洩・改ざんを招く可能性がある。

アカウントの登録・変更が適切に行われないことにより、本来アクセス権限を有さない利用者に
よる不正なデータ閲覧・操作が行われるリスクがある。

アカウントの削除が適時に行われないことにより、既にアクセスすべできない利用者による不
適切なデータの閲覧・操作が行われるリスクがある。

アカウントの棚卸しが行われないことにより、アカウント・権限登録状況の誤謬・不適切が検出
できず、上記のリスクに対して適時の対応が図れなくなるリスクがある

共有アカウントが適切な管理が行われず、複数人で利用されることにより、利用記録の追跡可
能性が損なわれ、インシデント発生等に際した原因調査等が適切に行えなくなるリスクがあ
る。
③ 考え方
(Ⅰ):アカウント種別の整理
アカウント/権限管理に際しては、まず、データへアクセスできるアカウント(アクセス権限)の種別
を、業務分掌、職務内容に応じて体系的に整理・分類し、アカウントを付与・管理する対象者の
範囲を事前に定義することが重要となる。
■権限に着目した観点
対象者の業務・職務に応じて、各アカウントはデータを入力・削除する権限、データを参照する
のみの権限、あるいはこれらの権限自体の登録・削除が可能なアカウント管理者権限、また管理
者権限に準ずるシステム保守用権限等を付与されることになるが、各業務・職務にどのようなデ
ータアクセス権限を付与するかという観点からの整理がまず求められる。
例えば、MHLW ガイドラインを前提として、データへのアクセスを行うアカウント(アクセス権限)の
種別を、特権性の有無という観点より分類した場合、以下のようなパターンが考えられる。
15
種別
内容
特権性有無
データ参照アカウント
データ参照のみが可能
なし
データ入力・登録アカウント
データ入力・登録が可能
なし
特権アカウント
データ参照・入力、及び各アカウントに係
あり
る権限の登録・変更・削除、システムの設
定内容の変更が可能(フル権限)
システム保守用権限
システム保守に際して、外部ベンダーに
あり
貸与するアカウント。特権アカウント同様
の権限を有する。
非常時用アカウント権限
災害時等の非常事態に備えた特権的な
あり
アカウント
特権性が有りと分類したアカウントのうち、「特権アカウント」は、システムインストール時に自動作
成される初期設定型のアカウント等をイメージしている。当該アカウントは、主に各種アカウントの
登録・削除を行う際に使用されるものである。
また、システム保守用権限は、システムを外部委託するITベンダーがシステムの改造・保守に
際して使用する必要のあるアカウントであり、作業上、システムの設定内容・パラメータ等を変更
する必要から、データ・プログラム等、システム上の諸内容へ制限なくアクセスできる高権限を有
する必要がある。
非常時用アカウント権限は、非常時のシステム運用を円滑化するため、通常時にて想定して
いる権限分離によるデータアクセス制限を一時的に開放し、制限なくデータへアクセスできる設
計とする必要がある。そのため、特権アカウントの時限式の共同利用といった機能によっても、代
替可能となる。
特権性が有るアカウントは、システムへ無制限にアクセス可能であり、悪用された場合、重大
なセキュリティインシデント等に繋がるリスクがある。そのため、システム管理担当者が管理責任
を持ち、一部の人間にのみ利用を限定する等、誰がどのような理由あれば利用可能なのかとい
う点を事前に明確化する必要がある。
特権性のあるアカウントは上記のとおりだが、特権性の無いアカウントについても、業務・職務内
容の観点から付与対象範囲を事前に整理することが同様に必要である。
■利用方法に着目した観点
特権性の有無という観点に加え、アカウントの利用方法に着目した場合、個人利用と共同利
用の二種類が存在する。複数人が共同利用するアカウント(共有アカウント)については、アカウ
16
ントの一意性(個体識別性)に影響を及ぼし、仮にリスク事象が発覚した場合、アクセスログを点
検しても、誰が当該アカウントを利用したのかというトレーサビリティが十分に担保されない可能
性がある。
よって、特権性のあるアカウントは可能なかぎり共同利用を避けること、あるいは共同利用せざ
るを得ない場合は、利用者の明確な限定、及び台帳管理等により、誰がいつどのアカウントをど
のような理由で利用したのかを明確にすることが求められる。利用履歴の管理については、
「(4):ログの履歴管理」にて後述する。
以上より、アカウント/権限の種別を整理する際には、業務・職務内容に応じた付与対象者の範
囲、及びアカウント共同利用者の明確化を行うことが必要となる。
(Ⅱ):管理活動の種別
アカウント種別の整理により、付与対象範囲を整理した上で、アカウント管理のプロセスを設計す
るに際しては、予防的な活動と発見的な活動が求められる。予防的な活動とは、リスクが顕在化
することを未然予防することに目的を置き、一方、発見的な活動とは、リスクが顕在化したことを
適時に発見・是正することが目的である。
アカウント/権限管理に係る各管理活動を整理すると、以下のとおりである。
管理活動区分
実施手続
予防的活動
アカウントの登録・変更手続
アカウントの削除手続
発見的活動
アカウントの棚卸し手続
■予防的な活動
アカウント(あるいはアクセス権限)の登録・変更・削除申請内容が不適切でないかを事前検証し、
管理者が承認・登録するという手続、異動・退職に伴い不要となったアカウント(あるいはアクセス
権限)を適時に削除する手続については、本来システムにアクセスすべきでない人物に権限を
保有させてしまうリスクを事前に低減するための予防的な活動である。
また、複数人の担当者が共同利用するアカウント(共有アカウント)については、アカウントの
一意性(個体識別性)に影響を及ぼし、誰が共有アカウントを利用したかというトレーサビリティを
損なうリスクがあるため、こうしたリスクを管理する観点より利用手続きを策定することが望ましい。
■発見的な活動
定期的に不要・不適切なアカウントがシステム上に登録されたままになっていないかを点検し、
当該アカウント(あるいはアクセス権限)を削除する棚卸し手続については、本来付与すべきで
17
ない対象者(あるいは既に付与すべきでなくなった対象者)に対して、その時点で不適切なアカ
ウントが付与されていないか否かを事後的に発見するための発見的な活動となる。
④ 実施例
アカウント管理においては、管理すべきリスクの重要度を勘案し、未然防止に係る予防的活動と
(被害の)拡大防止に係る発見的活動を適切に組み合わせ実施することが重要となる。
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>

アカウントの登録申請がある場合、またはアカウントの権限が業務種別に適さなくなる場合、利
用者は自ら申請書を起票し、自部門の管理責任者による承認を受けること。管理責任者によ
り承認された当該申請書に基づき、システム担当がアカウントの登録・変更・削除処理を実行
した上で、利用者へ処理完了報告を行うこと。

利用者の異動・退職等に伴い、アカウントが不要となる場合、利用者は申請書を起票し、自部
門の管理責任者による承認を受けること。管理責任者により承認された当該申請書に基づき、
システム担当がアカウントの削除処理を実行した上で、利用者へ処理完了報告を行うこと。削
除申請のタイミングは、アカウントを用いた業務終了までの期間において行うこと。
なお、異動・退職に際して、アカウントが不要になった場合の削除申請は、異動・退職日後に
速やかにアカウントが削除されるようにすること。

各アカウントの登録・変更・削除申請手続、及び承認手続を遂行する責任主体(責任部署)を
明確に定め、手続に基づく運用を徹底させること

システム担当者は、定期的にシステムからアカウント一覧を出力し、各アカウント利用部署の
管理責任者へ送付する。管理責任者は自身の部門内アカウントの登録状況について、各担
当者の異動・退職、あるいは業務変更を踏まえた観点より、「アカウント一覧」の点検を行い、
現在の実状と異なるアカウント登録内容に係る変更依頼を、点検結果とともにシステム担当へ
連携する。システム担当は各部門からの点検結果、及び依頼内容に基づき、アカウントの変
更・削除を行い、その結果を各管理責任者へ通知すること。
上記手続は、月次、四半期等、定期的に実施することが望ましい。
<推奨すべき事項>
18
N/A
⑤ MHLW ガイドラインの関連項目
6-3-C-3、C-5
6-5-C-1、C-5、D-1
6-8-C-2、C-3、C-4
6-10-C-3
19
<3.パスワード管理>
① 目的
パスワード管理という活動は、システム上のアカウントを用いた本人認証に際して要求されるパスワ
ードの機密性を維持することで、アカウント認証の個体識別性を維持することを目的としている。
② 想定リスク
パスワード管理に係る活動が想定するリスクは以下の通りである。
・パスワードを本人以外が把握することで、本人のみが利用可能であるアカウント・権限を、本来
利用すべきでない第三者に利用されるリスク
③ 考え方
パスワード管理において重要な観点は、パスワードは本人のみが把握し、第三者には知られない
ようにするという予防的な活動である。
パスワードの機密性を維持することは、アカウントによる本人認証の有効性(アカウント=付与対象
者)を維持することでもあるため、当該活動は上記1:アカウント/権限管理とセットで講じられる必要
があることに留意すべきである。
上記の観点を踏まえ、JAHIS ガイドラインのうち、パスワード管理に係る技術・運用要件を実施しな
い場合に想定される事態を整理すると、以下のとおり、基本的に、第三者によるアカウント・権限の
悪用(本人認証性の毀損)が中心的な懸念事項であることが分かる。
【JAHS ガイドライン:パスワード管理に係る技術・運用要件に係る想定リスク事象】
リスク
リスクが顕在化した場合の状況
初期パスワード交付時の変更を行わない
初期パスワードは一般的に同一のものが用いら
リスク
れる傾向が高いため、他のシステム利用者にな
りすまされる可能性がある
パスワードの定期変更を行わないことに
パスワードを利用するなかで第三者が当該パス
よるリスク
ワードを把握する可能性は潜在する。よって、パ
スワードが定期的に変更されない場合、どこか
のタイミングで把握されたパスワードを用いて、
第三者にアカウントが悪用される可能性がある。
パスワード失念、アカウント無効化、イン
パスワードが第三者の手に渡る等の事態におい
シデント発生等が発生した場合の問い合
て、迅速にパスワード変更(あるいはアカウントの
20
リスク
リスクが顕在化した場合の状況
わせ先(ヘルプデスク)が明確でないこと
無効化)が行えない場合、その第三者により悪
によるリスク
用される可能性がある、
パスワードの本人認証性を維持するため
パスワードを容易(あるいはある程度考えれば)
の教育・周知が行われないことによるリス
推測可能なもの、あるいは誰もが把握できる状
ク
態に置くことで、見ず知らずの他人にアカウント
(メモを貼らない、他人に推測されにくい
が悪用される可能性がある。
複雑性の確保、過去複数回と異なるパス
ワードを使用しない等)
パスワード試行回数の設定が行われない
パスワードの試行回数(ロックアウトまでの回
ことによるリスク
数)、または認証失敗時に再入力可能になるま
での時間が設定されない場合、第三者が「総当
パスワード認証失敗時の再入力可能時
たり攻撃」等を用いて、短時間でパスワードロッ
間の設定が行われないことによるリスク
クを解除し、アカウントが悪用される可能性があ
る。
離席時のロックオフ・ログオフが行われな
離席時にパソコン端末をロックオフして、パスワ
いことによるリスク
ード入力しないと利用できないようにしない場
合、第三者が勝手に自分のアカウントを悪用す
る可能性がある。
生体情報等の認証キー等の盗難・流出
指紋、静脈、光彩等の生体情報を用いて、本人
に備えた暗号化技術が整備されないこと
認証を行う場合、当該情報が盗難・流出され、
によるリスク
第三者により悪用された場合、本人認証性が損
なわれ、且つ、悪用される可能性がある。
認証強度の向上(二要素認証や生体認
パスワード認証以外の仕組が存在しない場合、
証等)が図られないことによるリスク
不正なログインが行われる可能性が相対的に高
くなる。
上記のとおり、パスワードを本人以外が把握することで、本人のみが利用可能であるアカウント・権
限を、本来利用すべきでない第三者が利用できる事態(なりすまし)を予防することがパスワード管
理の要点となる。上記想定リスクが顕在化することを防止するため、ユーザが行うべき実施内容は
以下の4種類となる、
(ⅰ):パスワードの機密性・本人認証性を維持するための仕組
(ⅱ):パスワード管理に係る遵守事項をシステム設定することで、システム利用者に技術的に強
制する活動(自動化されたシステム設定)
(ⅲ):システム設定できない遵守事項を利用者へ周知し、その遵守を求める運用上の対策
21
(ⅳ):運用上の遵守を支援・サポートする窓口担当(ヘルプデスク)の設置。
(ⅰ):パスワードの機密性・本人認証性を維持する仕組
パスワード管理の前提として、パスワードファイルの暗号化等、本人以外の第三者(システム管理
者であっても)が、他人のパスワードを知りえることを不可能にする仕組の導入が必要である。こうし
た 仕 組 み は WindowsOS で あ れ ば 標 準 搭 載 さ れ て い る た め 特 に 意 識 す る こ と は な い が 、
UNIX/Linux 等の OS であれば、標準機能を用いて選択的に有効化する(パスワードのシャドー化)
必要がある。
また、Web ベースのアプリケーションシステムでは、アカウントとパスワードがデータベースの特定テ
ーブルに保管される設計等が採用されることも多いが、これらのテーブルの内容が確実に暗号化
される設計となっていることが求められる。この仕組みが有効であって初めて、後続する活動も有
効に機能する。
(ⅱ):自動統制の設定
昨今のシステムはパスワード管理の遵守事項を技術的に実装しているものが多い。そのため、パス
ワード管理手続を効率的に行うためには、まずはシステム上に技術的に設定可能なパスワード管
理上の遵守事項を識別し、該当するものはシステム化させる必要がある。
以下は、JAHIS ガイドラインのうち、パスワード管理に係る技術・運用要件を整理した上で、「パスワ
ードは本人しか知りえない状態を保つ対策」という観点からの MHLW ガイドラインとの紐付けを示し
たものである。
遵守事項
遵守事項を実現するシステム機能
MHLW ガイドライン:最低限/
推奨区分との紐付け
初期パスワード発行時の変
初期パスワードを用いてログインした
システム管理者にもパスワード
更
際に、利用者にパスワードを強制変
を把握させない仕組として、最
更させる機能
低限の実施事項に該当する
パスワード入力試行回数制
パスワードを一定回数誤入力した場
パスワード誤入力に係る事項
限
合、アカウントが利用不可となる機能
のため、推奨事項に分類でき
る
パスワードを他人に推測され
パスワードに、英数、大文字・小文
にくくする
字、記号等、一定の文字列の組合
最低限の実施事項に該当する
せ、あるいは同一文字の使用禁止等
を求めることで、パスワードの複雑性
を高めさせる機能
パスワード履歴・世代管理
過去複数世代前と同一のパスワード
22
「パスワードを他人に推測され
遵守事項
遵守事項を実現するシステム機能
MHLW ガイドライン:最低限/
推奨区分との紐付け
の利用を禁じる機能
にくくする」と期待される効果が
同質のため、最低限の実施事
項に分類できる。但し、英数字
混在、パスワード桁数と組み合
わされた場合、それらで代替可
能と考えられる
パスワード変更の警告
パスワード有効期限が近付くと、変
記載は特になく、且つ、ユーザ
更の必要を告知する機能
ビリティーの観点で設けられる
ため、最低限/推奨いずれにも
非該当
パスワードの定期変更
パスワードが有効期限を超えると、ロ
最低限の実施事項(変更頻
グイン時に強制的にパスワードの変
度:最低 2 か月)に該当する
更を求める機能
認証エラー時のパスワード再
パスワードを連続して誤入力すると、
入力制限
次回入力までに一定時間の経過が
推奨事項に該当する
求められる機能
上記事項のうち、システム機能として実装されていない事項について、システムの利用者に別途周
知・教育を図るという手続を踏むことで、利用者側がパスワード利用に際して個別に留意すべき事
項の量を軽減可能とすることができるようになる。
(ⅲ):遵守事項の周知・教育
利用者に周知・教育すべき遵守事項はおおむね二種類に分類可能である。
一つは、システム機能として実装されないため、利用者に別途周知する必要のある事項だが、もう
一つは例えば、「パスワードをメモ書きしてパソコンに貼らない」、「パスワードを他人に教えない」等、
技術的にコントロールできない、利用者のリテラシー・モラルに係る事項である。
これらを、システム利用マニュアル等、利用者がシステムを利用・操作する際のマニュアル・手順書
に取りまとめ、パスワード管理に際しての注意事項として記述した上で、当該マニュアル・手順書を
手渡す際に各利用者へ注意喚起を図ることが必要となる。
なお、既に自動化されたシステム設定であるため、利用者が特に留意しなくとも機能する活動内容
についても、これらのマニュアル・手順書にあわせて文書化しておくことが望まれる。
23
(ⅳ):ヘルプデスクの設置
ヘルプデスクの目的は、パスワード管理の観点からは、パスワードの有効期限切れ、パスワード誤
入力回数が上限を超えたため、利用不可となったパスワードを再有効化することにある。
ただし、そのような役割のみに特化すること自体、非効率的ではあるため、【(1)アカウント/権限の
管理】に記載した各種実施手続における、システム担当の役割を兼ねさせる等することも一案であ
る。
なお、認証要素としてパスワード認証(本人が知るもの)に加えて、その他の認証方式(本人が持つ
もの=USBトークン等、本人自体=生体認証)を採用している場合は、当該認証情報が、本人以
外の第三者の手に渡り、悪用されないような仕組み(暗号化)を講じる必要がある。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>

パスワードは本人以外の第三者に把握されないよう、機密性が維持できるシステム設計を講じ
ること。なお、この場合の第三者には ID・パスワードを発行するシステム管理者をも含む。

少なくとも、以下のパスワードルールをシステム実装するか、または運用上の実施事項として
周知すること
1.
初回パスワード、あるいは再発行時パスワードを強制変更させること
2.
パスワードを短くとも 2 か月に一度は変更させること
3.
パスワードは英数字混在、且つ、8 文字以上とすること。もしくは、過去と同一のパスワー
ドの利用を禁止させること

一定時間の無操作が発生した場合は、端末、あるいはシステムを自動ログオフするシステム
設定を施すこと
<推奨すべき事項>

パスワードの誤入力に係る以下の機能をシステム上に実装すること
1.
パスワード誤入力から再入力までの間に一定の経過時間を求める設定とすること
2.
パスワード誤入力回数が一定以上を超えた場合は、次のパスワード入力には一定以上
の経過時間を求める設定とすること。あるいは、当該パスワードをロックし、利用不可とす
ること。

パスワード認証(本人が知るもの)に加え、本人が持つもの、または本人自体等、複数の要素
認証を組合せ、認証強度を高めること
24
⑤ MHLW ガイドラインの関連項目
6-5-C-2、C-3、C-10,
6-5-D-2、D-4、D-5
6-4-C-5
25
<4.ログの点検管理>
① 目的
ログの点検管理という活動は、システムへのアクセス記録を取得し、当該ログの内容を確認すること
で、当該システムへのアクセスが本来の目的・用途から逸脱していないか、利用に際した事前申請
内容から逸脱していないかを確認し、そのような事態を事後的に発見するための活動、つまりシス
テムへのアクセスが本来認められた目的・用途に基づき適切に行われていることを担保することを
目的としている。
② 想定リスク
ログの点検管理に係る活動が想定するリスクは以下の通りである。

本来認められていない不適切なアクセスが発生した場合、それらを事後的に発見できる仕
組みが存在しないことにより、当該アクセスに伴うアクシデントの影響範囲が識別できなくな
るリスク
③ 考え方
ログの点検管理において重要な論点は、不適切なログイン・アクセスが発生した場合、それを事
後的に発見できる仕組が存在するか否かという点である。
システムへのアクセス権を付与した対象者について、【2.アカウント/権限の管理】、【3.パスワー
ド管理】で記載した活動が十分に行われない可能性は常に考慮に入れる必要がある。例えば、本
来、システムにアクセスすべきでない第三者が、ログインパスワードを何かのきっかけで把握し、シ
ステムに不正にアクセスするケースを考えてみよう。具体的なデータ破壊等が行われていれば、パ
スワードを悪用された本人も自身のアカウントが乗っ取られていることを把握することは可能である
が、情報漏洩・流出というインシデント・アクシデントに際しては、具体的な痕跡が本人に分かるか
たちで残ることは稀である。このような事態は、実際のシステムアクセスログを点検しない限り判明し
ない。システムログは自動的に取得される設定になっていることが一般的であるため、この足跡の
記録をトレースすることで、本人以外の第三者の利用有無を把握することが可能となる。
これは外部業者がシステム保守を行うとなった場合でも同様である。保守作業報告書に申請さ
れた作業内容、作業時間が実際のシステムログと一致していない場合、本来認可していない不要・
不適切な作業を行っているのではないかという観点から、または一致している場合でも、「性悪説」
に立ち、本当に必要な作業のみが必要な範囲にて行われているのかを点検する必要がある。
また、この場合、システム上のログの信頼性を保つことが重要となる。ログの信頼性とは、①:アク
セスしたアカウント、アクセス日時等、ログからアクセス内容が把握できるという意味での「合目的
26
性」、②:アクセス日時を正しく記録しているという意味での「正確性」、③:ログが第三者(特に不適
切なアクセス者)によって改ざんされていないという意味での記録の「完全性」の 3 点から構成され
る。これらの内容が十分担保される設定の下、ログの信頼性を担保することが必要となる。特に、記
録の完全性について、一般的にシステム管理者はログの内容を点検するとともに、内容の修正・変
更を行える特権的な管理者権限を保有していることが多い。システム管理者自身が不正な操作を
行い、そのログを削除できる立場にいることは、非常に大きなリスクである。そのため、ログの完全性
を確保するため、システム管理者も操作できないログ管理ツール・システムを導入することで、管理
者による不正を防ぐ必要もある。
なお、当然、アクセスログを取得する機能を持たないシステムも存在する。その場合、システムへ
のアクセス記録を管理台帳等の形式で管理することが必要となる。
④ 実施例
上記を踏まえた場合、以下の 3 つのパターンのログ点検管理が存在する。
(1) システム上のログ取得が可能なシステムであり、且つ、ログ管理ツールの導入が可能な場合
(2) システム上のログ取得が可能なシステムであり、且つ、ログ管理ツールの導入が不可能な場
合
(3) システム上のログ取得自体が不可能なシステムの場合
それぞれのパターンに基づき、最低限実施すべき事項を以下に記載する。
<最低限実施すべき事項>
■(1)の場合
①:ログの定期点検
システムへアクセスするアカウントについて、アカウント名、アクセス日時、ログイン後の操作内
容を記録(ログ)管理するシステム設定を施し、当該ログを定期的に点検すること。
なお、点検の観点は、アクセス権を持つ本人が悪意を持ってシステムへログインしていることを
想定したケース、および第三者が本人のログインアカウントを悪用しているケースを想定した観
点から取りまとめることが有効である。具体的には、ログインの失敗回数(パスワードの誤入力回
数)、明らかに不自然と思われる時間帯におけるアクセス、特定症例患者に対する異常な頻度
に及ぶアクセス等が考えられる。このようなケースが検出された場合は、アカウント保有者本人に
理由を確認することも必要となる。また、外部ベンダーによるシステム保守・改造に際しては、作
業申請書に記載された時間とシステム上のログの時間が一致しているかという観点からの確認を
最低限実施することが求められる。
27
また、定期点検の頻度は、システム・データの重要度に応じて設定することが好ましい。重要
度の高いシステムについては日次・週次等の短い間隔、重要度の低いシステムについては月
次・四半期等、緩急のメリハリを付けた管理資源の配分を検討することが求められる。重要なこと
は、「定期的に点検を行うこと」及び「その事実を利用者に周知しておくこと」であり、その事実に
より、不適切なアクセスの発見時間の短縮化に繋がると同時に、利用者への牽制の効果を見込
むこともできる。
②:ログ管理ツールの管理
システム管理者自身がログの改ざんを行えないよう、外部ベンダー製のログ管理ツールの導
入を行うことが必要となる。具体的には、システムのログ点検を行う管理者とログ管理ツールの管
理者を分離し、前者はログ管理ツールの設定類を一切操作できない状況にすることが必要であ
る。このように、担当者の職務分離を行うことで、ログの記録の完全性を担保することが可能とな
る。
■(2)の場合
「①:ログの定期点検」は(2)の場合でも同様に実施する必要があるが、ログ管理ツールを導
入費用の観点から導入できない場合は、保管されるログへのアクセス権限を、システム管理者に
は付与しないというシステム設計が必要となる。システム管理者権限は全てにアクセスできること
が前提となるため、この場合、システム管理者用の権限であると同時に、ログにはアクセスできな
い権限を設計・付与する等の検討が必要となる。これは「2.権限/アカウントの管理」のなかで検
討することになる。
また、管理者がアクセスできない別のサーバ(ログ保管サーバ)へログを定期的に転送すると
いう対策も一つの案として考えられる。
■(3)の場合
既に稼働しているシステムの中には、ログの記録自体が取得できないシステムが存在するケ
ースも考えられる。このような場合は、システムにアクセスする場合、誰がどの程度の時間をどの
ような理由でアクセスしたのかという観点から、台帳記録を行うという運用が求められる。このよう
な台帳記録による運用の場合、利用記録を付けずに無断でアクセスするケースへの対策を考え
る必要があるため、(1)、または(2)よりも、厳格なアクセス管理が求められることになる。
また、この場合、利用者の自己承認のもと、システムへのアクセスが行われることで、台帳管理
の実効性が損なわれるリスクがある。そのため、システムにアクセスする利用者とその利用申請を
承認する権限者を職務分離する必要がある。
28
<推奨すべき事項>
■(1)~(3)共通

ログの取得内容として、外部ベンダー等による保守作業のログを取得できるシステム設計を講
じること

ログの内容は時系列、操作対象者、操作内容をソートして、ログ点検に資するよう簡便に表示
できるようなシステム設計を講じること
⑤ MHLW ガイドラインの関連項目
6-5-C-6、C-7、C-8
6-8-C-8
6-8-D-1、D-5
29
<5.媒体・機器管理>
① 目的
媒体・機器管理という活動は、データの持ち出し・持ち込み、あるいは運搬に際して、外部記憶媒
体、つまり USB メモリ、フロッピーディスク、CD/DVD、フラッシュメモリ等の可搬型媒体、またはノー
ト PC やスマートフォン端末、タブレット端末の情報機器が利用されることに伴い、想定外の情報漏
洩・流出、またはデータの完全性を損なう事態に対する安全管理を目的としている。
② 想定リスク
媒体・機器管理に係る活動が想定するリスクは以下の通りである。

十分な管理対策が実施されていない機器・媒体を用いて、データの持ち出し・持ち込み、
運搬等が許可なく行われることにより、本来行うべき情報セキュリティが担保されず、情報の
流出・漏洩が起こるリスク

十分な管理対策が実施されず、且つ、許可なく利用された媒体・機器によって、ウィルス・ワ
ームによる他機器・媒体への感染が発生し、想定外のシステム利用状況への影響が発生
するリスク
③ 考え方
媒体・機器管理において重要な論点は、当該媒体・機器を用いてデータの利用が行われた場合、
どのように情報セキュリティを担保しうるかという点である。
十分に管理されていない機器・媒体の利用リスクは常に存在しており、近年では誰もがスマートフ
ォン端末やタブレット端末を常時携行するなか、機器・媒体管理の重要性はより高まっている。
それではどのようにすべきか。まずは、【(1)リスク評価】で記載した通り、データの出入口となる
機器・媒体を網羅的に洗い出し、そのうえで、利用頻度が高く、業務上禁止することが現実的に難
しい機器・媒体に対して個別の管理対策を講ずるというアプローチが求められる。また、私物の利
用は施設内部の情報セキュリティの管轄外となってしまうため、原則禁止し、仮に必要がある場合
は別途利用申請を行う等、ワークフローの明確な整備が求められる。こうしたワークフローが存在し
ない場合、私物によるデータの持ち出し・持ち込みがどうしても必要な場合、どのような手続を行え
ばいいのかが不明確となり、結果的に、管轄外の機器等が利用される土壌を作ることになるだろう。
加えて、職員は基本的に施設内部貸与であろうがなかろうが、私物同様の管理意識を持つことに
は留意すべきである。このような観点に基づき、業務上不要なアプリケーションのインストール禁止、
あるいは紛失・盗難に備えた「転ばぬ先の杖」的なセキュリティ設定の実装に向け、施設内部の機
器・媒体の管理手続を策定する必要がある。
30
また、上記のようなワークフローを設け、利用ルールを明確にしても、職員の自宅端末は施設内
の端末と同等のセキュリティ対策を講じているとは限らず、常にウィルスやワーム等の発生源になり
うる。そのため、外部から持ち込まれた機器・媒体については必ずウィルススキャンにより不正プロ
グラムが潜んでいないかを点検する態勢を整備することは重要である。仮に、全ての施設内端末
にウィルス対策ソフトを導入できないのであれば、外部から持ち込まれた機器・媒体は必ず特定の
端末で検査する等、ファイアーウォール的な機能を持つ専用端末を用意することが求められる。
加えて、上述の通り、近年は個人職員がスマートフォン、タブレットを携帯し、執務エリアへ知ら
ず知らずのうち持ち込まれている状況がありうる。このような事態に対して、一律、執務エリアへの
端末持ち込みを制限することは、職員のモチベーション低下にも繋がり、簡単には実行できないで
あろう。しかし、近年のスマートフォンに標準的に搭載されたカメラ機能、メール機能が悪用された
場合、どれほど施設内部の媒体・機器管理を厳格に行っていようが、簡単に情報の漏洩・流出は
可能となる。このようなジレンマのもとどのような解決策があるか。
この解決策がリスク評価になる。つまり、重要度の高い情報を取扱い、且つ、管理対策が相対的
に劣後する場所をハイリスクな場所とし、当該場所への持ち込みは禁じる一方、他の場所での持ち
込みは許可する等、施設内部におけるセキュリティ管理水準を踏まえた観点から、メリハリある対策
の展開を実施することが求められるのである。また、同時に重要なポイントが職員教育である。いか
に充実したルールを整備しようにも、それを運用する人間の意識・モラルが低ければ、当該ルール
は顧みられもしない。そのため、医療安全管理の一環として実施される情報セキュリティ研修など
のなかで、明示的に、利用者側のモラル・意識の啓発を行うことが重要となる。この二つが組み合
わさり、初めてスマートフォン・タブレット等の個人所有型の私物機器に対する実効的な管理が発
揮できるようになる。なお、これは、個人所有型の私物機器に限定されず、機器・媒体管理という活
動においても同様に当てはまるものであることは留意すべきである。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>

施設管理の媒体のみを利用可能とし、私物の利用は原則禁止とすること。但し、諸事情により
私物の利用を希望する場合は、施設内のワークフローに基づき、利用者、利用目的、利用期
間を少なくとも定めた利用申請書を準備し、当該申請の承認者の明確化を行い、且つ、利用
終了後の情報の消去手続も含めた取扱いを定めておくこと。また、盗難・紛失に備えたセキュ
リティ設定として、媒体利用時のパスワードを個別設定できるタイプを採用すること。

ノートPC、スマートフォン・タブレット端末等の機器についても上記同様の手続を実施すること。
また、これらの機器には業務上不要なアプリケーションのインストールを禁止する、盗難・紛失
に備え、BIOSパスワード・ハードディスクパスワードを設定するといった論理的なセキュリティ
31
対策に加え、端末に覗き見防止フィルターをセットするといった物理的なセキュリティも交え、
当該事態における情報漏洩・流出リスクに対する対策を講じること

施設管理、あるいは私物の機器・媒体を用いて、施設外からデータを持ち込む場合は、必ず
ウィルスキャンを行い、不正プログラム・ソフトウェアによる感染有無を確認すること。

私用のスマートフォン・タブレット端末などの、常時携帯を前提にした私用情報機器について、
執務エリアにおける利用・管理ルールを明確に定めること。この場合は、重要度の高い情報を
取扱い、且つ、管理対策が相対的に十分でない場所をハイリスクなエリアとし、手厚い管理対
策を講じる等、リスクの程度に応じた管理対策の展開を行うこと。

機器・媒体管理が不徹底であることにより発生する情報漏洩・流出に係るリスクを、職員へ周
知徹底すること
<推奨事項>

外部での覗き見防止のため、業務上利用するノート PC やスマートフォン・タブレット端末には、
物理的な覗き見防止フィルターを貼ること

私用のスマートフォン・タブレット端末の業務利用は原則認めないこと。例外的に認める場合
は、盗難・紛失に備えて一定回数パスコードの誤入力による強制初期化、あるいはロケーショ
ン確認機能(GPS)を講じること

施設内で認められていない情報機器・端末を利用して、データの持ち出しを行うことができな
い技術的な仕組を導入すること。例えば、Windows のドメインポリシーを用いて、許可された
USB メモリのみを利用可能にする、あるいは CD/DVD へのデータ書出しを制限すること等。
⑤ MHLW ガイドラインの関連項目
6-9-C-2、C-3、C-4、C-5、C-6、C-7、C-8、C-9、C-10
6-9-D-1、D-3、D-4
6-4-C-5
32
<6.入退室管理>
① 目的
入退室管理という活動は、本来認められていない不適切な第三者が、情報資産が保管されている
室内へ入退室し、当該資産を不正に持ち出すこと、あるいはシステム・機器に不正な設定を施すこ
とに制限・牽制することを目的としている。
② 想定リスク
入退室管理に係る活動が想定するリスクは以下の通りである。

情報資産の盗難、及び当該資産内部のデータ流出が発生するリスク

情報資産に不適切な設定・操作が施され、想定外のシステム不具合が発生するリスク

情報資産の破壊、盗み見が行われるリスク
③ 考え方
入退室管理において重要な論点は、不適切な第三者が勝手に施設・室内に侵入することを予防
すると同時に、あるいは本来適切な関係者が悪意をもって施設へ入退室した場合の管理記録を行
うことで、インシデント・アクシデント発生時の原因究明に資する仕組みが存在するか否かという点
である。
いつの時代でも窃盗・盗難という悪意は存在し、その例には枚挙に暇がない。このような悪意の
顕現を予防することは、ファシリティーセキュリティにとって自明となっているが、一方で、施設内部
の職員・関係者が不正を行うリスクに対して同様の重みをもって牽制・管理を行えているところは少
ない。
入退室管理が求める管理活動とは後者に該当する悪意を効果的に予防または発見することに
ある。ここで重要なことは、常日頃から顔を合わせ、そのような悪事を働くはずがないと考えている
同僚・知人等が患者情報を悪用するもしれないという性悪説の想像力を持つこと、そしてその想像
力に基づく牽制・監視体制を作り上げることである。これは外部ベンダー等、契約書のなかで情報
管理に係る秘密保持契約を締結している相対組織にも言えることである。実際の作業現場におい
ては契約書や誓約書は単なる紙切れでしかなく、仮に本人がそのような誓約を交わしていたとして
も、本人が置かれている状況によっては簡単に不正が発生してしまうという可能性に対しては敏感
になる必要がある。本人の意識的な自己規定と実際の具体的な言動の間にはしばしば乖離が発
生するように、リスクマネージメントの世界では、誓約はそれのみでは十分な制約にはならない点は
銘記すべきである。
なお、入退室管理は物理的な管理対策、つまり物理セキュリティに係る管理活動である。物理セ
33
キュリティをどれほど実施するかという点は、端末・機器・媒体に係る論理的なセキュリティ(権限/ア
カウント管理、パスワード管理、ログ点検管理等)の実施状況を踏まえて総合的に判断する必要が
ある。論理的なセキュリティが高い水準で実装されているようであれば、物理的なセキュリティリソー
スは相対的に低くなることもあるが、これらは十分なリスク評価結果に基づいている必要がある。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。なお、物理的な入退室管理を講じることは
費用的な負担が大きいため、推奨事項についてはリスク評価結果に基づき、重要性の高いハイリ
スクな場所に対して適用されることが費用対効果の面からも有効である。
<最低限実施すべき事項>

システム、あるいは機器・媒体の設置場所は、業務時間外は施錠管理ができるようにし、また
設置場所への入退者は名札バッチ等、個人を分かりやすく識別できるものを着用させること。

業務時間外については、施錠したエリアの鍵を有さない第三者・内部関係者による可搬型の
機器・媒体の持ち出し・盗難が出来ないよう、施錠管理すること。施錠管理できないノートPC
などにはセキュリティワイヤーを付けること。

インシデント・アクシデント発生に際して原因調査が行える水準の入退室管理記録を行うこと。
また、定期的に不自然な入退室がないかを点検すること。
<推奨事項>

サーバ室に代表される、システム、あるいは機器・媒体の設置場所には監視カメラを取り付け
る等、人の出入りが事後的に確認できる仕組を導入すること
⑤ MHLW ガイドラインの関連項目
6-4-C-1、C-2、C-3、C-4、C-5
6-4-D-1
6-6-(1)-D-1
34
<7.外部委託先管理>
① 目的
外部委託先管理とは、施設内の情報システム・機器の導入、保守メンテナンス業務、施設内部の
清掃業務、情報機器の廃棄業務等、施設内部の業務を外部委託している業者が、受託元の指
示・命令系統に基づき、当該業務の遂行を安全に行うようにさせるための活動である。受託元とし
て外部委託先に対する管理責任を担う業務に対して然るべき管理を行うとともに、委託されている
活動内容に対する説明責任を果たすことを目的としている。なお、この場合の外部委託先とは、受
託元との契約関係にある外部委託業者(一次請け)が業務の一部を切り出し委託する再委託先
(二次請け)、あるいは再々委託先等、受託元が外部委託した業務に係る外部委託先の職員全体
を指していることに留意する必要がある。
② 想定リスク
外部委託先管理に係る活動が想定するリスクは以下の通りである。

外部委託先の業務範囲・管理範囲が契約関係に基づき十分に合意されないことにより、受
託元が本来意図しない業務遂行が行われ、想定外のインシデント・アクシデントを招くリスク

契約関係に基づき合意した外部委託先の業務範囲・管理範囲が、外部委託先業者による
業務遂行体制の整備不足によって十分に遵守されないことにより、受託元が想定外のイン
シデント・アクシデントを蒙るリスク
上述の通り、想定リスクの主眼は、「契約関係が十分でないことによるリスク」、及び「契約関係が十
分であっても、それが遵守されないリスク」の二点となる。
③ 考え方
近年の医療機関等では医療サービスの提供体制の一部として情報システムの利用は不可欠とな
っており、これらのシステムの運用・保守の多くが外部のITベンダーへ委託される形態がとられて
いる。また、システムの運用・保守のみでなく、当該システムを利用して運営される施設内部の業務
の多くも外部委託される等、業務のアウトソース率が非常に高い状況である。このように、施設内部
の職員が業務を直接的に主管できない状況下では、外部に委託した業務が、自施設内部の職員
同様のセキュリティ意識・法令遵守意識のもと、本来求められる管理水準にて遂行されているか否
かが間接的にしかコントロールできなくなる。そのため、自施設内部の職員が業務を遂行する際に
求めるべき管理要件より厳格な手続が必要となってくる。この手続を失した場合、内部データの無
断持ち出しや想定外の流出といった、不正が明るみになり、対外的に説明責任が問われる事態を
招くことになるだろう。では、こうした不正はどのような条件下で発生する傾向が最も高くなるのだろ
35
うか。
例えば、クレッシー(Donald R. Cressey)は、不正が行われる要因を、①:不正を行おうとする機
会、②:不正を行おうとする動機、③:不正の正当化の 3 点から構成されているとし、これを不正のト
ライアングルと述べている。不正とは、まずもって、それを行える機会(例えば牽制・チェックが甘く、
不正を行っても明るみに出ないという業務運営体制)に起因するものであり、そのような機会に際し
て個々人の意識・モラルに頼ることは厳禁である。いかに個々人が日ごろ善人であろうと、本人の
意識の深奥に何があるかは誰も把握できず、昨日まで不正の機会に際して誠実に振舞っていた
者であろうと、本人を取り巻く状況が変化すれば、明日には不正に手を染める動機が発生する可
能性がある。また、業務管理上、牽制・チェックが十分でなく、且つ、不正に手を染める動機のある
者は、自身が行った不正を色々な理由をこじつけて正当化し、繰り返すことになる。例えば、薄給
激務のなかで働いているのだからこれぐらいはいいだろう、システム保守に際して事前の計画見積
もりが甘く、事前に提出した申請書には記載していない作業について、その後の運用に影響はほ
ぼないからこれぐらいは黙ってやってもいいだろう、今後の追加機能開発作業を迅速化するため、
施設内部の患者データがサンプルとして欲しいが、施設内の患者データを全部持ち出すことはさ
すがに契約上不味いけれども、一部の患者データぐらいならいいだろう、など等、こうした「必要に
応じてやっているのだから、これぐらいなら咎められないだろう」という自己正当化が積み重なって
いくことで、後々大きなモラルハザードを招き、取り返しのつかない不正に至ることになる。
特に、現行の個人情報保護法下では、5000件以上の個人情報を取り扱う事業者は個人情報
取扱事業者であり、患者の情報という個人情報を取り扱う多くの医療機関等はこの類型に該当して
いる。この場合、医療機関等は、業務を委託する外部委託先、また当該委託先による再委託先等
において、自施設所管の個人情報の利用に際する管理責任・説明責任が存在することは銘記す
べき点である。
このように、不正の端緒は、悪意からではなく、むしろ善意や親切心から発生するという点は銘
記すべきである。不正とは、不正に手を染めることができる環境があれば、誰しもが行う可能性があ
り、さらに言えば、日ごろは仕事熱心で真面目な性格の人間(自己抑制型の人間ほど、ふとしたき
っかけで不満が爆発しやすい)にこそ起きやすいと言える。そのため、こうした不正は管理するため
には、不正の機会を出来るだけ減少させる措置を図っていく不断の努力が必要となり、しかしなが
ら、人に係る問題である限り、このような努力によっても撲滅することは原理的に不可能である。
こうした不正の可能性は、常に顔を合わせている気心の知れた施設内部の同僚・職員にすら起
こりうるため、いわんや、外部業者である。そのため、外部委託先管理に際しては契約によって業
務・管理内容を明確化するとともに、その契約関係に基づく作業が確かに遂行されているかという
厳格なモニタリングが必要となる。
④ 実施例
36
上記を踏まえ、実施すべき事項例は以下の通りとなる。なお、以下の実施例に加え、システム・デ
ータへのメンテナンス業務に係る外部業者用アカウントの管理については、【1.権限/アカウントの
管理】に基づき実施すること。
<最低限実施すべき事項>

システム・機器の保守業務を外部委託する外部業者とは以下の内容を含む契約書を締結す
ること。
1.
守秘義務の徹底。これには、再委託先・再々委託先等、外部業者(一次請け)による委
託業務の遂行に業務請負・派遣として関与する企業に対する同様の守秘義務の徹底、
及びそれが遵守されない場合の企業としての罰則も含まれる。
2.
外部業者職員が守秘義務を遵守しない場合における、委託元としての罰則規定の明確
化
3.
守秘義務が発生するデータ、またはシステムのメンテナンス業務の遂行に際しては、作
業実施前には、作業内容が事前に把握できる作業申請書、及び作業終了後は、実際に
行った作業結果を確認できる作業結果報告書の提出を義務付けること。
4.
リモートメンテナンスによる作業における事前申請・事後報告を義務付けること。また、外
部業者側がリモートメンテナンスを行う場合の安全対策を明記させること。
5.
守秘義務が発生するデータを施設外へ持ち出すことが想定される場合の、申請・報告を
義務付けること。また、持ち出しに際して外部業者が遵守する安全対策を明記させるこ
と。

外部業者によるシステム・データの保守作業が行われる場合には、事前の作業申請及び事後
の作業報告を行わせ、その内容を施設内部の責任者が逐一点検・承認すること。
この場合の作業には、機器の故障等に際した交換作業、室内の清掃・ゴミ廃棄、情報機器の
廃棄に伴うデータ消去等、守秘義務が発生するシステム・データ・機器に何らかのかたちで関
連する全ての範囲における作業が含まれる。

システム・データの保守作業報告の確認に際しては、【4.ログの点検管理】で記載した、システ
ムへのアクセスログとの突合点検を行うことで、作業報告内容と実際の作業内容が一致してい
ることを確認すること。
<推奨すべき事項>

外部業者の作業には施設内部の関係者が同席し、不必要な作業を行っていないかをチェッ
クすること

外部業者が施設外にデータを持ち出した記録を施設内部でも管理し、いつ・誰が・どのような
37
目的で・どこへ・どのようなかたちで持ち出したかを把握できるようにしておくこと。
⑤ MHLW ガイドラインの関連項目
6-6-(2)-1-C-1、C-2、C-3、C-4
6-6-(2)-2-C-1-①~④、C-2
6-7-C-3
6-8-C-5、C-6、C-7、C-8、C-9、
6-8-D-2、D-3、D-4、D-5
38
<8.無線 LAN 管理>
① 目的
無線 LAN 管理とは、利用者・利用機器が可視的に管理できる有線 LAN と比して、不特定多数の
利用が可能であり、且つ、利用者・利用機器が可視化することが難しいネットワーク機器を、施設内
部における他機器への電波干渉による不具合が発生しないよう、本来利用すべき人間のみが適切
且つ安全に利用できるようにマネージすることを目的としている。
② 想定リスク
無線 LAN 管理に係る活動が想定するリスクは以下の通りである。

無線 LAN が本来認められていない第三者に利用されることで、無線 LAN からアクセス可能
なデータ・システムへの不正アクセスが発生し、情報漏洩・流出を招くリスク

無線 LAN の利用に伴う、施設内部の他機器への電波干渉が発生することで、想定外の機
器の不具合・故障が発生するリスク
③ 考え方
無線 LAN は、有線 LAN とは異なり、物理的ロケーションに関係なく、端末・機器をネットワークに
接続させることが可能なため、非常に利便性が高い。しかし、有線 LAN のように利用者・利用機器
が可視的に把握できないため、慎重なアクセスコントロールが必要となる。
今日の無線 LAN 機器市場の競争激化により、利用者の利便性に資すべく、当該機器は購入後
即座に利用できるような簡易設定機能が施されているのが一般的だが、利便性と安全性(セキュリ
ティ)はトレードオフであるため、こうした簡易設定では十分なセキュリティを確保できず、不特定の
人間がアクセスできるような状況に放置されている機器も多い。自動車でセキュリティの甘い無線
LAN のアクセスポイントを探し回るウォードライビングというクラッキング行為に代表されるように、こ
のような機器を介して、アクセスポイントの踏み台とすること、あるいはそこから院内ネットワークへの
侵入を企む攻撃手法は既に一般化している。よって、本来必要な人間のみが必要なデータ・シス
テムにアクセスできるよう、無線 LAN 機器のシステム設定を調整することは必須である。
また、有線 LAN とは異なり、無線 LAN は電波経由でのネットワーク接続という設計となるため、
施設内部の医療機器が発する電磁波との衝突・干渉が発生し、想定外の機器の不具合を招くとい
う問題もあり、無線 LAN の設置に際しては、電波強度の調整等も同様に求められることになる。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
39
<最低限実施すべき事項>

無線 LAN 機器について、総務省発行の「安心して無線 LAN を利用するために」を参考にした
上で、少なくとも以下のシステム設定を行うこと
1.
本来認められた利用者以外の利用が出来ないように、以下の設定をほどこすこと。
2.
ANY 設定の解除、及びアクセス可能な端末・機器を MAC アドレス等で制限すること
3.
ステルスモードの有効化
4.
標準のネットワーク ID を変更し、第三者が施設内での機器の利用を特定できない ID に
すること
(ネットワーク ID の多くは製品名や製品販売企業名が利用されており、特定機器を利用
していることを外部に公開することはセキュリティ上望ましくない)
5.
初期 SSID(ネットワークパスワード)の変更
(多くの無線 LAN 機器の SSID は、機器にシール添付されているため、簡単にアクセスパ
スワードが把握可能となるため)
6.
利用するデータの重要度に応じた、暗号化強度の選択
(WPA2/AES 等、暗号化強度の相対的に高いものを使用し、WEP 等の強度の低いもの
は利用しないこと)

無線 LAN 機器の電波が、施設内部の電子機器に影響を及ぼしていないか確認すること
<推奨すべき事項>

複数の無線 LAN をアクセスポイントして利用する場合は、取り扱われるデータアクセスするシ
ステムの重要度に応じて、電子証明書等、個別の追加的なセキュリティ対策を講じること
⑤ MHLW ガイドラインの関連項目
6-5-C-11
6-5-D-6
40
<9.廃棄データ管理>
① 目的
廃棄データ管理とは、データの利用終了後、当該データを廃棄する際の管理手続であり、対象範
囲は、システム・機器内部に残存するデータから、システム・機器の故障時の外部業者への修理依
頼、リース・レンタル終了に伴う引き渡し等、今まで利用してきたデータを完全消去することで、情
報の漏洩・流出を予防することを目的としている。
② 想定リスク
廃棄データ管理に係る活動が想定するリスクは以下の通りである。

データの廃棄が確実に行われないことにより、不十分なデータ廃棄に伴う情報の漏洩・流
出が発生するリスク

不十分なデータ廃棄に伴う情報の漏洩・流出というアクシデントが発生した場合、廃棄結果
の確認が十分に行われていないことにより、データ廃棄結果に対する説明責任を十分に果
たせなくなるリスク
③ 考え方
機微情報の取り扱いに際しては、データを廃棄する際にも、厳格な管理手続が求められる。
一般的な電子データであればPC上のゴミ箱に廃棄すればそれで十分となるが、流出・漏洩に
対する管理責任を担うデータの廃棄に際して、同様の手続を採用することは許されない。何故な
ら、PCのゴミ箱に廃棄したところで、然るべき手順を踏めば、たやすく復元することが可能だから
であり、こうした体制では管理責任を果たしたとは言えない。よって、データの廃棄に際しては、
論理的な削除(ゴミ箱等に捨てる)のみでなく、より確実な論理的な削除(特定ツールによる消
去)、あるいは物理的な破壊(ハードディスクを再利用不可な程度にまで破壊する)といった追加
的な施策が必要となる。患者の紙カルテを廃棄する際に、それを執務室のゴミ箱に捨てる人間
はいないだろう。廃棄に際しては、廃棄記録を取り、シュレッダーでバラバラに裁断する、あるい
は機密保持契約を結んだ専門の業者に廃棄を行わせ、その結果証明を確認する等、個別の追
加施策を取ることが当たり前であるが、電子データについても同様の厳格度が求められるという
ことである。この場合、ポイントとなるのが、全ての電子データをそのように取り扱うのかという点で
あるが、これはデータの重要度に応じた手続を策定する必要がある。つまり、【1.リスク評価】で説
明した「データの重要度」に応じて、重要度の高いデータは厳格な管理手続を、重要度の低い
データは簡便な手続きを採用するといった、管理資源の適正配分に向けた措置が必要となる。
また、PCや機器が故障した場合、そこに内蔵・保管されたデータをどのように取り扱うかという
観点も重要である。秘密保持契約を結ばず、データが残存したままのPC・機器を引き渡してしま
41
えば、渡した情報が悪用されても何も言えないわけであり、こうした観点からの管理も廃棄データ
管理の活動範囲に含まれる。これは、レンタル・リース返却時のPCの取り扱いについても同様で
ある。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>

情報機器の廃棄に際しては、専用ツールや物理的な破壊等、通常とは異なる追加施策を
実施し、読み取り・利用不可な状態にすること。

情報機器の廃棄を外部業者へ依頼する場合は、情報の取り扱いに係る秘密保持契約を結
んだ上で、且つ、確実な廃棄が行われたことを証明する資料の提出を義務付け、廃棄結果
を確認すること。また、データが内部保存された情報機器を業者へ引き渡す場合(レンタ
ル・リース返却、故障時の業者引き渡しの場合)、秘密保持契約を結んだ上で、且つ、出来
る限り自施設で情報消去をした上で引き渡すこと。
<推奨すべき事項>
N/A
⑤ MHLW ガイドラインの関連項目
6-7-C-2、C-3
42
<10.システム保守管理>
システム保守管理は、施設内部の情報システムの改造・保守を安全に遂行することが目的である。
但し、医療機関における情報システムの多くは、医療機関職員が内製開発をするケースよりも、外
部業者との交渉の下、導入されるケースが多い。そのため、当節は【7.外部委託先管理】に包摂さ
れる内容とするため、詳述は省略する。
なお、自社内製におけるシステム保守業務においても重要な論点は、【7.外部委託先管理】同様、
以下の 2 点といえる。

システム保守要員が勝手にシステム・データへアクセス・操作できないようにすること

システム保守要員が作業を行う場合、作業結果が必要な範囲に収まっていることの確認を行
い、不適切なアクセス・操作を適時に発見すること
上記を実現するためには、【1.権限/アカウント管理】に記載したアクセス権限の管理、【4.ログの点
検管理】に記載したログ点検の仕組が必要である。詳細は各節を参照のこと。
43
<11.事業継続管理>
① 目的
事業継続管理とは、大規模な自然災害やサイバー攻撃の被害を受けた場合等、施設内部の情報
システムを通常時とは異なる状態で利用せざるを得なくなる緊急事態において、求められる医療サ
ー ビ スの管 理 ・提 供水 準を従 来通 り維持 する ことを目 的に 、業 務継 続計 画( BCP : Business
continuity plan)の一環として検討することが求められるものである。
② 想定リスク
事業継続管理に係る活動が想定するリスクは主に以下の通りである。

災害時やサイバー攻撃の被害等、緊急事態における情報システムの利用計画が明確に定
められ、必要に応じて態勢が整備されないことにより、緊急事態において業務混乱を招き、
想定されるサービスを適切に行えなくなるリスク
③ 考え方
MHLW ガイドラインに BCP に係る基本的な考え方(BCP に係る準備~実行~業務再開~業務
快復~全面復旧)は説明されているため、ここでは詳細は省く。事業継続管理に求められる活動
内容は、BCP の目的・目標、BCP の発動基準、発動時の体制、具体的な行動手順等を整理した上
で、関係職員に周知・教育を図り、有事に備えることができるようにすることである。それでは全ての
情報システムにこうしたBCPを適用する必要があるのか?ここで重要となるのが、BCP を定める上
の前提となる、事業継続マネジメント(BCM:Business continuity management)という考えである。
BCM では、緊急事態においても提供すべき施設のサービス内容(医療サービスの目標)という観
点から、施設内の各種業務の重要度を特定し、重要度に応じて BCP の内容を策定するというアプ
ローチが採られる。BCP を策定するに際しても、どの業務領域にどの程度の BCP リソースを配分す
べきかという悩みは誰にでも付きまとうであろうが、業務の重要度に応じて配分すべきソフトリソース
(人的リソースの配置、訓練の頻度等)、及びハードリソース(文書の精度・代替システムの用意有
無等)を決定することで、効果的な BCP を実行することが可能となる。
本来は全ての情報システムに等しく高品質且つ十分な管理資源を投入することが望ましいが、
現実的には難しく、よってシステム、またはシステムが取り扱うデータの重要度に応じて管理対策を
講じることが必要であることは既に【1.リスク評価】でも述べたが、同じ考えが事業継続計画にも適
用可能である。つまり、施設としての目標に鑑みて、非常事態が発生した場合、どの業務が最も重
要度が高いのかという観点から、BCP の内容の密度を検討し、重要な業務には手厚い計画を、相
対的に重要度の低い業務には簡便な計画を配するといった、緩急のメリハリあるリソース配分がこ
44
こでも求められる。
また、BCP 発動時には、情報システムへのアクセスコントロールを一時的に開放する等の、緊急
対応措置が採られることになるが、逆に言えば、この措置が平常時にこっそりと第三者に悪用され
た場合、様々な管理対策が無効化されるというリスクがある。そのため、BCP 発動に伴って、情報シ
ステムの機能(アクセスコントロールの機能)を一時開放する場合、その利用通知が管理者に届くよ
うな、悪用に対する対策を同時に講じることも必要となる。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>

「非常事態」の定義、及び当該事態の判断者を明確に文書として定めること

「非常事態」が判断され、業務の全面復旧に至るまで手続を明確に文書として定め、関係
職員に周知・教育すること。

「非常事態」における情報システムに係る緊急機能が存在する場合は、それが悪用されな
いための措置を講じておくこと

「非常事態」のうち、外部からのサイバー攻撃等、外部の第三者による悪意によって医療サ
ービスの提供に支障が発生する場合は、監督官庁へ適時に連絡を行うこと
<推奨すべき事項>
N/A
⑤ MHLW ガイドラインの関連項目
6-11-C-2、C-3、C-4
45
<12.契約管理>
① 目的
契約管理とは、施設内部における職員、施設業務を外部委託する関係業者を対象として、契約関
係に基づき、施設において予め定められた、然るべき手順・手続に基づき業務を行うよう管理する
ことを目的とする。
② 想定リスク
契約管理に係る活動が想定するリスクは主に以下の通りである。

明示的な契約関係が成立しないことにより、本来、施設内部の職員、または外部業者によ
る業務遂行上の遵守事項が明確化されず、遵守させるべき事項が遵守されないリスク
③ 考え方
契約管理という活動における論点は、施設内の業務に就かせるに際して、事前に遵守すべき事項
を明確にし、当該事項を遵守することを本人に同意させないかぎり、業務の実施を認めさせない仕
組があるかという点である。特にこれは情報管理の観点で非常に重要である。職員は日々の業務
の中で様々な機微情報に接しており、業務の必要に応じて外部への持ち出しや運搬を行う必要も
ある。また、業務上知りえた情報が、施設外に出ればリセットされることはなく、プライベートにおい
てもこうした情報を第三者に語ることもできる。こうした人の管理に際して重要なものが契約、あるい
は誓約による本人同意であり、外部業者に対しては契約書による明確な業務契約・秘密管理に係
る誓約である。また、特定時点において契約・誓約によって取り交わした内容が常に、その時点と
同水準で人の意識に維持される続けることは難しい。どれほど契約・誓約書によって禁止事項を周
知したところで、時間経過とともに、人の記憶は薄れていく。そのため、契約・誓約書によって取り交
わした内容は定期的に周知・教育を図ることで、各人に意識付けを計画的に図っていく必要がある。
なお、こうした定期的な意識付けの取組は内部職員のみでなく、外部事業者も含めた一斉研修と
いうかたちで実施することが効率的且つ効果的である。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。なお、外部事業者との契約締結について
の実施例は【7.外部委託先管理】の内容と同一である。
<最低限実施すべき事項>
(内部職員)

職員の採用に際しては、守秘義務・秘密情報の非開示契約を締結すること。契約書の条項
には就業中の期間に加え、退職後も当該契約が有効であること、及びそれに反した場合の
46
罰則規定を明示すること。

定期的に、守秘すべき秘密情報の取り扱いが発生する業務における情報管理の重要性を
周知・教育する研修を定期的に開催すること。
(外部事業者)

守秘義務に係る契約を締結すること。これには、再委託先・再々委託先等、外部業者(一
次請け)による委託業務の遂行に業務請負・派遣として関与する全ての企業に対する同様
の守秘義務の徹底、及びそれが遵守されない場合の企業としての罰則も含まれる。

外部業者職員が守秘義務を遵守しない場合における、委託元としての罰則規定の明確化
を行うこと
<推奨すべき事項>
(外部事業者)

外部業者が外部業者の職員と守秘義務契約を締結すること
⑤ MHLW ガイドラインの関連項目
6-6-(1)-C-1、C-2、C-3
6-6-(2)-C-1-①、④
6-8-C-6、C-9、
6-8-D-3
47
<13.電子署名管理>
① 目的
電子署名管理とは、法令上、署名または記名・押印が求められる文書に対して、電子的な署名ま
たは記名・押印を行うに際して、電子署名の有効性やセキュリティを確保した上で、当該作業が行
えるようにすることを目的とする。
② 想定リスク
電子署名管理に係る活動が想定するリスクは主に以下の通りである。

求められる対象期間において電子署名の有効性が維持されないことにより、電子署名の本
人性が検証できなくなるリスク

求められる対象期間において電子署名のセキュリティが維持されないことにより、改ざんが
行われ、電子署名の完全性が損なわれるリスク
③ 考え方
電子署名管理という活動における論点は、e-文書法の対象となる医療関連文書に対して、第三者
による検証に際して、署名の本人性及び完全性の要件をどのように充足するかという点にある。e文書法省令が指定する医療関連文書について電子的な署名を行う場合、当該文書の法定保存
期間として求められる対象期間において署名が有効であることを担保する仕組が必要である。
また、電子署名に用いられる暗号化処理についても、技術変化のなかで陳腐化していく可能性
があり、一定以上のセキュリティ要件を満たした技術が求められる。一定以上のセキュリティ要件と
いった場合、様々な暗号化技術が想定されるが、ここでは MHLW ガイドラインが求めるとおり、保
健医療福祉分野 PKI 認証局(HPKI)、あるいは認定特定認証事業者等の発行する電子証明書を
用いることが最も対応しやすい。電子署名管理の要件は法定要件でもあるため、その実施に際し
ては監督官庁の指針に準拠することが推奨される。
④ 実施例
上記を踏まえ、実施すべき事項例は以下の通りとなる。
<最低限実施すべき事項>

電子署名に際しては、保健医療福祉分野 PKI 認証局(HPKI)、あるいは認定特定認証事業
者等の発行する電子証明書を利用すること。なお、左記を採用しない場合は、左記にて求め
られる要件を最低限充足するものを利用すること。

時刻認証事業者が提供する時刻管理サービスを使用し、その時点で有効な電子署名を含む、
48
対象文書全体に漏れなく、第三者が検証可能な信頼性の高いタイムスタンプを付与すること
<推奨すべき事項>
N/A
⑤ MHLW ガイドラインの関連項目
6-12-C-1、C-2、C-3
49
4.付表
I. MHLW ガイドラインの関連項目一覧表
【3-Ⅳ:管理活動の具体的な内容】で解説した各管理活動における、
【⑤:MHLW ガ
イドラインの関連項目】を一覧化した表
II. 自己点検チェックリスト
【3-Ⅳ:管理活動の具体的な内容】で解説した各管理活動における最低限実施すべき
事項、及び推奨事項をキーワード化して、一覧としてまとめ、現場のシステム管理者
が実際に何を為すべきか、為さないことによりどのようなリスクが放置されることに
なるかを簡易的にチェックできるリスト。
III. 申請書・台帳のサンプル
【3-Ⅳ:管理活動の具体的な内容】で解説した各管理活動を実際に運用するに際して
利用することが想定される申請書・台帳類のサンプル。当該サンプルは標準的な観点
から各種項目を取りまとめているため、実際の運用に際しては各自が適宜カスタマイ
ズすることが望ましい。
以上
50