サイバーセキュリティ対策について

医療機関におけるサーバーセキュリティ対策

令和５年３月10日に、医療法施行規則の一部を改正する省令（令和５年厚生労働省令第20号）が公布され、令和５年４月１日施行されました。

今後、医療機関に対して順次、医療機関におけるサイバーセキュリティ対策チェックリスト等に基づいた立ち入り検査が実施されます。

本システムにおいて「医療機関におけるサーバーセキュリティ対策」に関わる基本情報を以下に示します。

医療機関におけるサーバーセキュリティ対策チェックリストとは

厚生労働省より発行されたチェックリストです。

その他にマニュアルやガイドラインも存在します。

２０２３年７月に確認したものですが一部を以下に示します。
　※最新版は厚生労働省HPにてご確認ください。

・医療情報システムの安全管理に関するガイドライン第6.0 版　概説編

・医療機関におけるサイバーセキュリティ対策チェックリスト（令和５年度版)

・医療機関におけるサイバーセキュリティ対策チェックリストマニュアル　～医療機関・事業者向け～

サーバーセキュリティ対策チェックリストの適応範囲は？

医療情報システムを導入、運用していること

医療機関におけるサイバーセキュリティ対策チェックリストマニュアル～医療機関・事業者向け～　
　Ⅱ　各チェック項解説
　　医療情報システムの有無
　　　医療情報システムを導入、運用している。
に記載があります。

本項目の「いいえ」にマルがつく場合、以下すべての項目は確認不要です。と表記。

医療情報システムとは？

医療情報システムの安全管理に関するガイドライン　第6.0 版　概説編
　2.2医療医療情報・文書の範囲
に記載があります。

本ガイドラインで対象とする医療情報とは、医療に関する患者情報（個人識別情報）を含む情報を想定する。と表記されています。

医療情報システムの安全管理に関するガイドライン第 6.0 版用語集より参考用に抜粋

医療情報

医療に関する患者情報（個人識別情報）を含む情報。
具体的には、
①「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」（平成 17 年３月 31 日付け医政発第 0331009 号・薬食発第 0331020 号・保発第 0331005 号厚生労働省医政局長・医薬食品局長・
保険局長連名通知。平成 28 年３月 31 日最終改正。以下「施行通知」という。）に含まれている文書
②施行通知には含まれていないものの、民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律（平成 16 年法律第 149 号。以下「e文書法」という。）の対象範囲で、かつ、患者の医療情報が含まれている文書等（麻薬帳簿等）
③法定保存年限を経過した文書等
④診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像
⑤診療報酬の算定上必要とされる各種文書（薬局における薬剤服用歴の記録等）等が対象となる。

医療情報システム

医療に関する患者情報（個人識別情報）を含む情報を取り扱うシステム。例えば、医療機関等のレセプト作成用コンピュータ（レセコン）、電子カルテ、オーダリングシステム等の医療事務や診療を支援するシステムだけでなく、何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するコンピュータや携帯端末等も、範ちゅうとて想定される。また、患者情報の通信が行われる院内・院外ネットワークも含む。

医療情報連携ネットワーク

情報通信技術（ICT）を活用して関係医療機関等の間で効率的に患者の医療情報を共有することを目的とした、患者の同意のもと、医療機関等の間で、診療上必要な医療情報（患者の基本情報、処方データ、検査データ、画像データ等）を電
子的に共有・閲覧できることを可能とする仕組みのこと。

UNIFI-ESは医療情報システムですか？

医療情報システムの安全管理に関するガイドライン第6.0 版概説編における医療情報にあたる情報は取り扱いません。

本システムで個人情報にあたる可能性のあるものは以下となります。

ユーザー名称
担当者名（点検・修理等に係る担当者名称）
ユーザー様が添付したファイルに記載された情報

※利用規約上、患者氏名、診療情報などの本サービスにおいて管理対象として想定しない個人情報を登録することを禁止しております。
※ユーザー名称・担当者名は個人名称であることを必須としていません。

医療情報システムには該当しません

医療に関する患者情報（個人識別情報）を含む情報を取り扱うことを禁止しておりますので医療情報システムには該当しません。

万が一、患者情報に変わる特定の情報を登録する必要がある場合には個人情報保護法の観点から適切な加工を施してご利用いただける様お願いいたします。

医療情報システム等に該当する可能性があります

医療情報システムではありませんが医療機関、その他における利用システムの一部ではあります。

直接的に医療情報システムに影響を及ぼすものではありませんがサーバーセキュリティ対策としては管理すべき対象ですので必要な情報等は適宜提供対応させていただいております。

サーバーセキュリティ対策チェックリスト（事業者確認用）は作成可能ですか？

基本的には記載可能な項目が無いため、作成しておりません。

質問事項自体基本的には医療機関様視点の内容となり、その解答を補助するためのチェックリストとなります。

ただし、以下の様に記載可能な項目に関してのみ、ご希望に応じて作成自体は可能です。
※サイバーセキュリティ対策チェックリストには選択肢と日付以外記載箇所がありません。
　基本的な内容はMDSもしくはSDSに記載された内容をご参照いただくこととなりますことをご了承下さい。

（記載可能）事業者内に、医療情報システム等の提供に係る管理責任者を設置している。

医療情報システムでは無く、医療情報システム等と記載があります。

医療情報システム等を医療情報システム以外を含むと解釈すれば医療情報システム以外のシステムとして管理責任者を設置しているとして記載可能です。
但しオンプレミス型ではなくSaaSとしてという前提となることをご注意ください。

（記載可能）リモートメンテナンス（保守）している機器の有無を確認した。

SaaSの為、医療機関内にリモートメンテナンス機器を設置することはありません。

※リモートメンテンナンスの範疇は院内もしくは医療機関様専用領域のサーバーに対して外部より接続してメンテンナンスすることに限定した解釈となります。SaaSにおけるリモートメンテナンス機器は対象外としております。

（記載可能）医療機関に製造業者/サービス事業者による医療情報セキュリティ開示書（MDS/SDS）を提出した。

（記載可能）サーバについて、以下を実施している。
利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
退職者や使用していないアカウント等、不要なアカウントを削除している。
アクセスログを管理している。
セキュリティパッチ（最新ファームウェアや更新プログラム）を適用している。
バックグラウンドで動作している不要なソフトウェア及びサービスを停止している。

利用者＝UNIFI-ESのユーザーと解釈するとアクセス権限自体が存在しません。
※アカウント・アクセス自体が無いのでアカウント削除機能・アクセスログは存在しません。

利用者が直接サーバー管理にアクセスすることはできません。サービスはWEBアプリケーションとして本システムを利用する事のみに限定されます。

ウィルスチェックソフト導入及び更新、セキュリティパッチ適宜適応は実施しております。

バックグランドにおいて完全に不要と思われるソフトウェアは起動しておりません

（記載不可）ネットワーク機器について、以下を実施している。

（記載不可）端末PCについて、以下を実施している。

医療情報を取り扱わないシステムとして書類等で提示可能ですか？

サーバーセキュリティ対策チェックリスト（事業者確認用）に医療機関に製造業者/サービス事業者による医療情報セキュリティ開示書（MDS/SDS)を提出した。という項目があります。

本システム自体は医療情報システムではありませんが医療情報システムを取り巻く環境因子であることは明確なため、何らかの開示書は必要と思われますので医療情報セキュリティ開示書（SDS)として書類を提示可能です。
　※書類内備考等にガイドライン基準の医療情報を取り扱わないものであることを記載しております。

多くの項目が患者様の個人情報を含む情報を管理する上での設問となっておりますので対象外とする項目が必然的に多数となります。設問に対しては対象外となりますが、備考欄に医療情報システム以外のシステムとしての対応要件を記載しております。備考に記載された内容は医療情報などの機密レベルで対応するものではないシステムとしてご理解いただけます様お願いいたします。

その他の様式としてご希望がありましたらお問い合わせください。

医療情報セキュリティ開示書（SDS)とは何ですか？

医療情報セキュリティ開示書にはMDSとSDSがあります。以下の様な違いがあります。
　※詳細はJIRAもしくはJAHISのHP等でご確認ください。

※MDS・SDSはシステム基本仕様に伴う回答になります。カスタマイズされた仕様は含まれません。
　詳細はMDS・SDSに関するQ&Aをご確認ください。

MDSとは

SDSとは

3省２ガイドラインについて

上記は厚生労働省管轄のガイドラインに関連した情報となります。

その他に総務省・経済産業省管轄のガイドラインも存在します。
　※最新版は各省のHPにてご確認ください。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

総務省・経済産業省が合同で管理するガイドラインとなりました。

第 1.1 版（案）には以下の様に記載があります。基本的に厚生労働省のガイドラインと同様となります。

2.1. 本ガイドラインが対象とする医療情報と事業者
本ガイドラインが対象とする医療情報は、「医療に関する患者情報（個人識別情報）を含む情報」である。この定義は医療情報安全管理ガイドラインにおける定義と同一である。

UNIFI-ESはSaaSです

SaaSとは

サーバー・ミドルウェア・OS・アプリケーション・データなどを含めて利用権を提供するサービスです。

Internetを通じてインストール不要・ログインするだけでシステムを利用することができるのがSaaSの特徴です。

※Internet接続環境及び接続用端末はサービスに含まれません。

その他に「PaaS」「IaaS」と呼ばれるものがありますが自身でアプリケーションその他を構築する必要があります。
AWS・azureの様に開発基盤や一部機能のみを提供するサービスがこれにあたります。

HISと基本的に切り離された環境のシステムです

※基本的にと表記する理由はHISが完全な閉鎖域となっていない場合がある為です。

ネットワークが切り離されているために当システムがダウンした場合でも医療情報システムに影響を及ぼすことが無いという特徴があります。

登録データの取り扱いについて

当然のことながらお客様より頂いたデータ及び、登録されたデータについてシステム運用の他に用いることはありません。

詳しい取り扱い規定はをサービス利用規約にて記載しております。

詳しくはこちら

まとめ

各省が発行するガイドラインに記載された医療情報は取り扱いません。
医療情報を取り扱わないために医療情報システムに該当しません。
ネットワークはHIS系と基本的に切り離されているSaaSです。
SaaSであるために院内にサーバーを設置することはありません。
上記をご理解いただいた上で必要に応じて書類作成対応させていただきます。