パナソニックEWネットワークス > Solutions > コラム一覧 > 医療情報システムの安全管理に関するガイドライン 第5.2版で重要なポイントを解説
ここから本文です。
医療情報システムの安全管理に関するガイドライン 第5.2版で重要なポイントを解説
スイッチングハブをはじめとしたネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
医療情報システムの安全管理に関するガイドライン 第5.2版が策定
2022年3月31日、厚生労働省から「医療情報システムの安全管理に関するガイドライン 第5.2版」が策定されました。
その変更の背景について、詳しい内容をご紹介します。
医療情報システムの安全管理に関するガイドラインが変更された背景
医療情報システムの安全管理に関するガイドラインが変更された背景には、過去に国内外で発生した医療機関へのサイバー攻撃の被害報告が関係しています。
医療機関向けのサイバー攻撃では、日本国内でもランサムウェア攻撃が頻発しており、診療システムの停止による重大事例が発生した例もあります。
医療情報システムの停止は、患者様の生命や健康に影響をおよぼす危険があるため、医療機関の情報セキュリティ対策強化が必要です。
また、2022年6月の閣議で規制改革実施計画が決定され、医療分野でのDXと電子認証の利用推進についての考えも明らかになりました。
こうした流れを経て、医療情報システムの安全管理に関するガイドライン 第5.2版の策定に至りました。
医療情報システムの安全管理に関するガイドライン 第5.2版の変更点
医療情報システムの安全管理に関するガイドラインの変更点について、4つのポイントをご紹介します。
ランサムウェアに対する対策
医療情報システムの安全管理に関するガイドライン 第5.2版では、ランサムウェアやマルウェアへの対応についても明示しています。
具体的な対応のポイントは次の通りです。
- 攻撃に備えたバックアップデータの保存、復元を可能にすること
- バックドアが設置できないよう対策をすること
- OSやソフトウェアの脆弱性を狙われないように対策すること
- 不正アクセスによるシステムの改ざん、ID・パスワードの窃盗対策を行うこと
ランサムウェア攻撃を防ぐには、脆弱性を狙った攻撃だけでなく、バックドアの設置を阻止することも重要です。
技術的な対策だけでなく、組織内での情報共有と従業員へのサイバーセキュリティ教育も行い、早期発見と対処が鍵になります。
外部サービスやアプリの安全性確保
医療情報システムの安全管理に関するガイドライン 第5.2版は、正規ファイルを利用したウイルス感染への対策についても基準を設けています。
例えば不正なファイルやソフトウェアが混入されていないか、適切に管理されていない記録媒体使用時のデータのやりとりの基準が設けられました。
また、その他にも15項目の対策基準が明示されました。
医療情報システムを外部サービスへの委託やクラウドサービスを利用する医療機関も増える中で、安全性確保への方針を示した形です。
電子署名記載に関する要件
印鑑を電子署名へ変更することに伴い、文書作成時の資格と署名の要件についても明記されました。
長期保存文書におけるタイムスタンプ(過去のある時点においてその文書が存在していた証明)、暗号アルゴリズム参照規格のISOへの変更などが記載されています。
2段階の遵守基準・推奨基準の明確化
医療情報システムの安全管理に関するガイドライン 第5.2版では、従来のガイドラインよりもわかりやすさを重視する内容になっています。
そのために、ガイドラインを遵守すべき最低限の基準と推奨される基準の2段階に分けています。
医療機関の状況や現在の対策基準と照らし合わせて、ガイドラインの内容も選択できるように作成されました。
また情報セキュリティの実践的な対策をわかりやすくするため、情報セキュリティマネジメントシステム(ISMS)の実践を示しています。
ISMSにより医療機関が独自の対策を検討する必要がなくなり、安全管理がしやすくなりました。
医療機関がサイバー攻撃を受けた際の対応
医療機関がサイバー攻撃を受けた場合、すべき対応としてはいけない対応があります。
まず、すべき対応は次の通りです。
- ウイルス感染したパソコンをネットワークから切り離す
- ウイルス対策ソフトで端末をフルスキャンする
- 発見者は上司やセキュリティ担当者に報告
- 医療機関は警察や厚生労働省の担当部門へ連絡
- 関係機関や外部サービスへの相談
次に、してはいけない対応は以下の通りです。
- 身代金の要求に応じる
- 表示された連絡先への連絡
- 感染した端末のネットワークを接続したままにする
サイバー攻撃を受けた時にすべき対応としてはいけない対応を区別し、被害の最小化と二次被害の防止に努めましょう。
また対応についてはネットワークを利用するすべての従業員に教育し、サイバー攻撃発生時に誤った対応をしないように知識を身に付けることも重要です。
医療機関の安全性を確保するには?
医療情報システムの安全管理に関するガイドラインの変更に伴い、医療機関が安全性を確保するには次の3つの視点を確認すべきです。
- 安全管理やシステム運用の現状把握
- ガイドラインの基準に満たない箇所の把握と改善
- 医療機器・システム導入時のセキュリティ対応
まず安全管理とシステム運用では、医療情報システムの安全管理状況や統制、組織的対策が行われているかどうかを把握しましょう。
加えて、技術的なセキュリティ対策がどの程度進んでいるのか把握することで、医療機関の抱える課題が明確になります。
次にガイドラインの基準に満たない箇所を把握し、どのようなリスクが顕在化するか検討します。
基準に満たない箇所は重点対応箇所として、ガイドラインも参照しながら改善策を計画してください。
最後に医療機器・システム導入時のセキュリティ対応です。
医療機器製造業者とも連携し、機器内部のソフトウェアの脆弱性、セキュリティ対策をひとつひとつ確認します。
特にレガシー医療機器は脆弱性を狙った攻撃に弱いため、製造業者のサポートも受けながら対応を進めましょう。
医療機関のセキュリティ対策はパナソニックEWネットワークス
2020年以降、医療機関を狙ったサイバー攻撃は急増し、診療に多大な影響を与える事例も複数報告されています。
常時稼働して患者様の生命と健康を守っている医療情報システムは、サイバー攻撃を受けると重大な事故にもつながりかねません。
サイバー攻撃に備えてガイドラインにも対応するなら、パナソニックEWネットワークスがおすすめです。
電子カルテシステム導入に伴うインフラ整備、セキュリティ性を高めた無線LANシステム、次世代型ファイアウォールまで、御社のニーズに幅広く対応いたします。
またニーズに合わせて最適なシステム構築プランを提案し、運用・保守のサポートも可能です。
医療情報システムのガイドラインへの対応に万全を期すなら、パナソニックEWネットワークスにお問い合わせください。
パナソニックEWネットワークスが支援できること
パナソニックEWネットワークスが行える支援についてご紹介します。
マルチベンダに対応したセキュリティ構築
医療機関は24時間稼働し、常にサイバー攻撃のリスクにさらされています。
しかしサイバーセキュリティ会社は企業ごとに対応できるOS、ソフトウェアが制限されており、自由なセキュリティ構築が難しいケースも少なくありません。
パナソニックEWネットワークスは、マルチベンダ対応でどのようなシステムにも対応し、強固なサイバーセキュリティ対策を提案、構築いたします。
高速ネットワークインフラの構築
医療機器のサイバーセキュリティ対策では、医療機器の脆弱性も理解したうえでネットワーク構築が必要です。
医療機関の場合、10年以上前のレガシー医療機器を使用することもあり、そうした医療機器にはOSやソフトウェアの脆弱性が潜んでいます。
医療機器の見直しと同時に、ネットワークインフラの高速化を進めるなら、パナソニックEWネットワークスのソリューションが役に立ちます。
有線LANだけでなく、無線LANでの高速大容量通信を実現し、診療行為をスムーズにすることが可能です。
マネジメントの負担を軽減する運用管理システム
医療機関全体の安全管理を行うなら、マネジメントは一元化するのが効率的です。
パナソニックEWネットワークスは、運用管理ソフトウェア「PPS」により、ネットワーク機器の一元管理に加え、トラブルの見える化も可能です。
運用管理を視覚的、直感的に実施できるようになり、マネジメント効率が大幅に向上します。
今後のガイドライン改正にも備えたセキュリティ対策が鍵
今回は医療情報システムの安全管理に関するガイドラインについて、改正の内容や具体的な対策を解説しました。
サイバーセキュリティ対策はガイドラインに従うことが基本ですが、時代とともにサイバー攻撃の手法も変化していきます。
現時点でのガイドラインに合わせるのではなく、将来的な改正まで視野に入れたセキュリティ対策を行うことが重要です。
将来性まで考慮したサイバーセキュリティ対策を行うなら、実績豊富なパナソニックEWネットワークスにご相談ください。