採用情報

お問い合わせ

ソリューション紹介

  1. HOME
  2. ソリューション紹介
  3. 医療情報システムの安全管理に関するガイドラインへの適合を支援する医療 DX ソリューション

医療情報システムの安全管理に関するガイドラインへの適合を支援する医療 DX ソリューション

医療情報システムの安全管理に関するガイドラインへの適合を支援するソリューション

医療情報システムの安全管理に関するガイドラインへの適合を支援 医療 DX ソリューション

本ソリューションは、医療情報システムの安全管理に関するガイドラインへの適合を支援するため、医療機関における ISMS 策定支援、医療情報システムへのアクセス制御、バックアップ、医療文書の真正性の確保と電子帳簿保存法、インボイス制度に則した運用を支援する医療機関向けソリューションです。

医療機関におけるリスク評価を踏まえた管理

厚生労働省より「医療情報システムの安全管理に関するガイドライン」の第 6.0 版が公開されました。本ガイドラインの経営管理編では、医療機関等における医療情報と医療情報システムの安全管理において、医療機関等の経営層が、経営管理上、遵守すべき事項とその考え方が示されており、そのなかに「医療情報及び医療情報システムに対するリスク評価の重要性」と「リスク評価を踏まえた経営資源・資産の安全管理に関する方針の策定、安全管理対策の必要性、情報セキュリティマネジメントシステム(ISMS)の確立」が明記されています。

ISMS 策定と PDCA サイクルの実施が必要

医療情報システムの安全管理に関するガイドライン

(出典)厚生労働省「医療情報システムの安全管理に関するガイドライン 第 6.0 版 システム運用編」

mdx-figure11.png
医療情報システムの安全管理に関するガイドラインへの適合における医療機関の課題

ガイドラインに沿った情報セキュリティポリシーを策定するには?

医療情報システムへのアクセス権限の堅牢化

巧妙化するサイバー攻撃において、医療施設外との通信制限のみでの対策は不十分であるとし、医療機関内の閉域環境下を対象とした「ゼロトラスト」の概念が追加されています。
境界型防御による対応だけでは十分ではなく、過去に医療機関で発生した VPN 装置の脆弱性を悪用し、ランサムウェア攻撃によって電子カルテシステムが長期間停止する事態になっています。このことから、ゼロトラストの概念にもとづき、医療情報システムにアクセスできる利用者やコンピュータの正当性を確認する仕組みの構築が必要とされています。

従来の境界型防御では対策が不十分=ゼロトラスト(全通信を検証)思考が必要

mdx-figure01.jpg
(出典)厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版 システム運用編」

ゼロトラストとは、施設内外のネットワークを区別せず、信頼しないことを前提として、すべての接続者、接続端末に対してアクセス認証を行い、毎回セキュリティレベルに達しているのかを検査することでセキュリティを担保することで、2010 年に Forrester Research 社の John Kindervag 氏により提唱されたセキュリティ概念モデルです。

ゼロトラスト

医療機関におけるセキュリティインシデント事例

医療機関におけるセキュリティ事案では、VPN 装置の脆弱性を狙った不正アクセスによるランサムウェア攻撃だけではなく、内部不正やシャドー IT による深刻なセキュリティインシデントが増加しています。

2019 年 11 月特定の電子カルテへ業務とは関係の無い部署からのアクセスを確認
2020 年 12 月職員がコンピュータウィルスに感染した私物のパソコンを医療機関内ネットワークに接続して利用したことが原因と考えられる医療機器等のランサムウェア感染
2021 年 2 月1,971 名分の患者情報が含まれたノート型パソコンを紛失
2021 年 7 月医師が個人利用するクラウドサービスの ID とパスワードがフィッシング詐欺により漏洩。医師が規定に違反して当該アカウントにて患者情報を保存しており、269 名分の個人情報が攻撃者に閲覧可能な状態となった
2021 年 10 月悪意のある第三者が VPN 機器の脆弱性を突き、システム管理者の ID/パスワードを入手。院内システムがランサムウェアに感染させられ、電子カルテ利用や外来会計が行えない事態が約2ヶ月間発生
2022 年 5 月元職員が患者の個人情報や医療情報等 3,137 名分を不正に取得して外部へ漏洩

医療情報システムの安全管理に関するガイドラインにおけるクライアント認証の要件

医療情報システムの安全管理に関するガイドラインの遵守事項において、VPN 装置を利用する場合に、クライアント認証が必須であると明記されています。その他にもクライアント認証を利用することで実現できる措置についても明記されています。

医療情報システムの安全管理に関するガイドラインの要件であるゼロトラスト=電子証明書の利用が最適解

医療情報システムの安全管理に関するガイドラインの要件であるゼロトラスト

クライアント認証を強化するためのソリューションは?

医療情報システムのバックアップ

医療情報システムの安全管理に関するガイドラインの遵守事項において、不正ソフトウェア等のサイバー攻撃を想定したオフラインバックアップについて必須であると明記されております。

医療情報システムの安全管理に関するガイドラインの要件:システムのバックアップは遵守事項

システムおよびデータのバックアップは遵守事項

医療情報システムを保護するためのバックアップソリューションは?

政府による医療 DX の推進とは?

最適な医療を実現するための基盤整備を推進すべく、政府は医療DX推進本部を2022年に設置しました。その中の一つとして電子カルテや電子処方箋の電子データを共通基盤のクラウドで管理し、各医療機関ならびに自治体や介護事業者などとも必要な情報が共有できる「全国医療情報プラットフォーム」を構築する予定です。

医療機関において、今後ますますの情報セキュリティ強化と医療文書の電子保存が急務に

mdx-figure05.jpg
(出典)内閣官房「医療DXの推進に関する工程表(全体像)」

医療文書へのデジタル署名の利用について

医療情報システムの安全管理に関するガイドラインには、法令で署名または押印が義務付けられている文書について、電子署名への置き換えが可能であると記されており、医療機関で利用可能なデジタル署名は以下のとおりです。

1.電子署名および認証業務に関する法律(電子署名法)第2条第1項に該当する電子署名

本人性:当該情報(電子データ)が当該措置(電子署名)を行なった者が作成したものであることを表示する目的のもの
非改ざん性:当該情報(電子データ)に改変がないことを確認できるもの

2.保険医療福祉分野 PKI 認証局の発行する電子証明書を用いた電子署名

※ PDF ファイルへ電子署名を付与する倍、HPKI ※1 が AATL ※2 に対応していないため、Acrobat 上ではエラーが表示されます。

3.認定認証事業者または認証事業者の発行する電子証明書を用いたデジタル署名
4.マイナンバーカードの署名用電子証明書を用いたデジタル署名

デジタル署名を付与した電子ファイルは総務大臣認定を受けた施設でのみ保管が可能

※1
HPKI とは:保健医療福祉分野の公開鍵基盤( Healthcare Public Key Infrastructure )の略称で、医療現場において、公的資格の確認機能を有する電子署名や電子認証を行う基盤です。
※2
AATL とは:「Adobe Approved Trust List」として、Adobe 社が求める要件をクリアした電子認証局のリスト。AATL に登録された電子認証局から発行される PDF 文書署名用電子証明書により、法人(組織)名、住所、署名者の肩書(または所属部署)、署名者の氏名について PDF 上で簡単にデジタル署名の有効性を検証でき、 署名者本人が押印したものであることの確認が可能です。

医療機関におけるデジタル署名の付与

医療機関に従事する医師や看護師が付与する電子署名について、基本的にHPKI 認証局から発行された電子証明書を利用するケースが多くあります。しかし、医療機関や患者が押印、署名する必要がある文書については、HPKI 以外の認証局から発行された電子証明書を利用することで、電子文書の真正性を確保することができます。

医療機関におけるデジタル署名の付与

デジタル署名への置き換えのメリット

医療機関における押印や署名をデジタル署名への置き換えた場合、以下のメリットがあります。

コスト削減
  • 紙の保管、郵送、製本等の外部への支出を抑えることが可能

業務効率化
  • 当該書類の検索性向上や紙の書類と比べて時間短縮などが可能

発行元と真正性の証明
  • デジタル署名が付与された電子文書の改ざん防止が可能
  • 「誰が」「いつ」、その電子文書にデジタル署名を付与したのかが明確
  • 上記 2 点により、コンプライアンス強化に直結する

デジタル署名された文書からわかること

デジタル署名された文書(PDFファイル)を開くことで、改ざんされていないかどうか確認することができます。

デジタル署名された文書からわかること

電子帳簿保存法とインボイス制度への対応

電子帳簿保存法の改正によって電子取引においては、紙での保存が認められなくなり電子保存することが義務付けられています。また、インボイス制度の施行にあたって、医療機関も対応する必要があります。詳しくは、BLOG 記事 電子帳簿保存法改正のポイントと企業が注意すべき点とは? をご参照ください。

医療文書の電子保存を推進するためのソリューションは?

医療業界向け情報セキュリティコンサルティングサービス

リスク対策を視覚化するセキュリティカルテ

医療機関・クリニック・検診センターのセキュリティ対策を採点いたします。現状の職場環境におけるリスク・課題を把握したいお客様にお勧めです。弊社からのセキュリティチェックシートにご回答をいただき、ヒアリングや既存の規程文書の確認(開示可能であれば)から、貴社の現状及びリスク分析・評価を実施します。

レーダーチャートから強い部分と弱い部分が分かります

資産台帳作成支援
資産台帳作成支援

情報資産一覧(台帳)を作成し、お客様のリスク評価を行うプランです。お客様の対策の状態とリスクの有無を把握することが可能です。
セキュリティ対策を実施する前に、現状のセキュリティ対策の状況・リスク・課題を把握できていないお客様にお勧めです。

安全管理ガイドライン Fit&GAP
安全管理ガイドライン Fit&GAP

医療情報システムの安全管理に関する安全管理ガイドラインをもとに、現状の安全管理ガイドラインの状況・リスク・課題を把握したいお客様にお勧めです。既存の規程文書の確認及びヒアリングを実施させていただき、貴社の現状を把握します。医療情報システムの安全管理に関するガイドラインに示される管理策と現状を比較し、ガイドラインへの準拠性を調査します。

ポリシー(規程類)策定支援
ポリシー(規程類)策定支援

セキュリティポリシー、プライバシーポリシー及び情報セキュリティ基本規定の改訂を行うプランです。(2規定の改訂、新規作成の場合の費用は別途御見積) ポリシーを作成してから年数が経過している、見直しをしたことがないために文書規定の見直し・改訂を行うお客様にお勧めです。

バックアップポリシー策定支援
バックアップポリシー策定支援

BCP の内、バックアップポリシーの策定を行うプランです。 医療情報システムの安全管理に関するガイドラインにおいて、システムのバックアップポリシーを策定し、それに則したバックアップ計画を持ち、運用されていることがBCPの観点からも最重要事項の必須項目として求められています。

BCP 策定支援
BCP 策定支援

BCP(事業継続計画)の策定を行うプランです。医療情報システムの安全管理に関するガイドラインにおいて、自然災害やサイバー攻撃等を含む、有事の際の行動方針を持つことが最重要事項の必須項目として求められています。

情報セキュリティ教育
情報セキュリティ教育

「情報セキュリティ対策を考えて終わり」ではありません。患者情報などの重要な情報資産の持つ潜在的なセキュリティリスクを認識し、従業員の知識とモラルの向上を図る教育プランを用意しています。

サイバートラスト クライアント証明書サービス

クライアント証明書用 端末電子証明書発行管理サービス
端末証明書発行管理サービス
サイバートラスト デバイス ID

デバイス ID は、端末を厳格に認証し、安全なネットワークアクセスを実現するマルチデバイス対応の端末認証サービスです。
クライアント証明書用 ユーザー電子証明書発行管理サービス
ユーザー証明書発行管理サービス
サイバートラスト パーソナル ID

パーソナル ID は、多様化する IT 環境においてユーザー認証基盤を実現するためのユーザー認証用証明書発行管理サービスです。
電子認証局アウトソーシングサービス
認証局アウトソーシングサービス
サイバートラスト マネージド PKI

マネージド PKI は柔軟性と拡張性に優れ、かつコストパフォーマンスの高い電子認証局アウトソーシングサービスです。
特長
  • 医療機関が管理する端末もしくは、管理者が許可した職員に電子証明書を配付
  • 端末や職員の権限に合わせた医療情報システムへのアクセスを制御
  • 端末の紛失/職員の退職時には電子証明書を失効することによりアクセスを制限
  • マルチデバイス対応(Windows、iOS、iPadOS、macOS、Android、Chromebook)
  • マルチネットワークアクセス対応(SSL VPN、IPsecVPN、有線 LAN、無線 LAN、Web アプリケーションに対応)

サービスの詳細について、サイバートラスト 電子認証局サービスをご確認ください。

サイバートラスト 電子認証局サービス

システムイメージをオフラインで簡単にバックアップ可能な「MIRACLE System Savior」

特長
  • Windows, Linux, VMwareESX, Hyper-V, KVM, XenServer に単一製品で対応
  • FC-SAN 環境に対応し、SANBoot、FC マルチパス、仮想 I/O テクノロジーをサポート
  • 環境に応じて NAS/NFS、Windows 共有、ローカルディスク、USB ストレージなど様々なバックアップ取得先メディアを選択可能
  • システムイメージのバックアップデータからリカバリイメージ(iso)を作成

サービスの詳細について、MIRACLE System Savior(ミラクル・システムセイバー)をご確認ください。

MIRACLE System Savior

医療文書の電子保存を支援する「iTrust 電子署名用証明書 x iTrust リモート署名サービス」

電子署名用証明書は、電子契約のための信頼性の高い電子署名用証明書です。
電子署名用証明書
iTrust 電子署名用証明書

WebTrust for CA 監査に合格した電子契約のための信頼性の高い電子署名用証明書です。
リモート署名サービスは、契約書書面の電子化や電子契約で求められる長期に渡る真正性を確保する電子署名に対応したクラウドサービスです。
電子署名
iTrust リモート署名サービス

書面の電子化や電子契約で求められる長期に渡る真正性を確保する電子署名に対応したクラウドサービスです。
特長
  • 長期署名対応
    電子署名とタイムスタンプを組み合わせたグローバルスタンダードの長期署名規格(PAdES)に対応し、電子文書の真正性を数十年の長期間に渡って確保します。
  • 秘密鍵の厳格な管理
    利用者の秘密鍵は電子認証センター設備内の FIPS 140-2 Level 3 に準拠した HSM で安全に保護され、本人のみが電子署名のために利用できるよう厳格に管理されています。
  • AATL 対応
    Adobe Approved Trust List(AATL)に対応しているため、iTrust 電子署名用証明書を用いて電子署名された PDF を Acrobat Readerで開くと「署名済みであり、すべての署名が有効です」と表示され、視覚的に信頼できます。
  • 厳格な規程での運用
    一般財団法人日本情報経済社会推進協会(JIPDEC)の厳格な基準に基づく審査を実施され、「JIPDECトラステッド・サービス登録(認証局)」、「JIPDEC トラステッド・サービス登録(リモート署名/電子契約)」を取得しています。
  • WebTrust for CA に合格
    日本国内で運営される電子署名用途専用のルート認証局として、国内で初めて国際的な監査規格である「WebTrust for CA」に合格しています。電子署名用途専用の認証局として電子署名用証明書を提供しています。

サービスの詳細について、iTrust 署名用電子証明書、iTrust リモート署名サービスをご確認ください。

iTrust 署名用電子証明書
iTrust リモート署名サービス
サイバートラストは、医療情報システムの安全管理に関するガイドラインの要件に対応するソリューションを提供しています。医療機関に求められるセキュリティ対策を国産で安心・堅牢な製品・サービスで支援します。
関連するリンク
サイバートラストのソリューション お問合せフォーム

本記事をお読みになり、サイバートラストのソリューションにご興味をお持ちになられましたら、是非お問い合わせください。

お名前 必須
法人名 必須
部署名
メールアドレス 必須 ※入力間違いにご注意ください。
電話番号 必須
お問い合わせソリューション 必須 ※ お問合せいただくソリューションを選択してください。
お問い合わせ内容 必須
詳しくはサイバートラストのプライバシーポリシーをご覧ください。

CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
SSL/TLS サーバー証明書 SureServer Prime