セキュリティ対策‐医療情報の安全管理、3省2ガイドラインについて話せます
■実績
既に5社様に本サービスのご利用を頂いております。
ご利用ケースは以下のようなパターンがあります。
・ガイドラインの解説
・各種ガイドライン文書の作成のご支援
・SLAや運用管理規程のレビュー
■3省2ガイドラインとは、超概要
3省2ガイドラインとは、医療情報の安全な取り扱いを目的として、厚生労働省・総務省・経済産業省の3省から発行されたガイドラインの総称です。医療情報は機密性が高い個人情報となり、病院はもとより、行政機関もサイバーセキュリティへの対策は重要性が高いと考えています。
また、2023年に医療法に紐づく省令の改訂が行われ、医療機関におけるセキュリティ対策が義務化された事もあり、このガイドラインの重要性はさらに高まりました。
・厚生労働省発行
「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月)
医療情報の取扱いに係る責任者を対象に、医療情報システムの安全管理やe-文書法への適切な対応を行うための、技術的及び運用管理上の観点から所要の対策を示したもの
・総務省・経済産業省発行
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2版」(令和7年3月)
医療機関等との契約等に基づいて医療情報システムやサービスを提供する事業者、医療情報を安全に取り扱うための十分な対策を設計するために、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義したもの
・JAHIS:一般社団法人保健医療福祉情報システム工業会
JAHIS「製造業者/サービス事業者による医療情報セキュリティ開示書」ガイド Ver.4.1
厚労省から発行されている、安全管理ガイドライン 6版の「医療機関におけるサイバーセキュリティ対策チェックリスト」に紐づく、システム提供事業者が医療機関に提出する必要があるもの。MDS/SDSと一般的には言われている。
■ご説明可能な事項
①ガイドラインの概要
②リスクベースアプローチのやり方
③作成するドキュメントの説明
④セキュリティ対策方法の技術的な見解
⑤各種ガイドライン文書の作成支援
⑥医療情報セキュリティ開示書(MDS/SDS)の作成支援
■お役にたてそうなポイント
以下のようなお困り事がありましたら、お気楽にご相談ください。
<ソフト開発ベンダ様>
・開発の要求事項に3省2ガイドラインへの対応が書かれており、どうしてよいかわからない
・3省2ガイドラインの対応としてどのような成果物を作成する必要があるのか知りたい
・セキュリティの知識がないが、3省2ガイドライン対応できるのか知りたい
<医療機器メーカ様>
・ソフトウェア開発ベンダに開発を委託する場合、3省2ガイドライン対応をどのように委託すれば良いかわからない
・どのようにドキュメントを整備すれば良いかわからない。
・医療機関とどのように連携すれば良いかわからない
プロフィール 詳細を見る
職歴
職歴:開示前
このエキスパートのトピック
-
医療情報セキュリティ開示書(MDS/SDS)について話せます
問い合わせ■背景 医療情報を取り扱うためのセキュリティガイドランは「3省2ガイドライン」として、広く知られてきている中、厚労省は、2023年6月から新たに、「医療機関等におけるサイバーセキュリティ対策チェックリスト」の義務化を、医療機関へ求める事となりました。 MDS/SDSは、この「医療機関等におけるサイバーセキュリティ対策チェックリスト」に紐づくもので、医療情報システムを提供している提供事業者の作成が求められます。 国の動きについて行けず、MDS/SDSについてどう対応して良いのか、その解説から対応までご支援させていただく事が可能です。 ■医療情報セキュリティ開示書(MDS/SDS)とは、超概要 2023年6月より、医療機関等への立入検査(医療法第25条第1項・第3項)において、「サイバーセキュリティ対策」についての確認項目が追加されました。 確認は、「サイバーセキュリティ対策チェックリスト」により行われますが、その項目の中で、医療機関等からシステムベンダーへ、JHISが定めた「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」の提出を要請することとなり、システムベンダーは「MDS/SDS」の提出を行わなければならなくなりました。 ■ご支援可能な事項 ①MDS/SDSの概要解説 JHISが定めた「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」の概要を開設致します。 ②MDS/SDSの対応方法 MDS/SDSのチェックリストはシンプルですが、対応が求められる事項は幅広く、色々な準備が必要になります。本内容を3省2ガイドラインを軸に解説させて頂きます。 ➂MDS/SDSの文書作成 MDS/SDSに準拠するためのチェックリストの作成や関連文書の作成のご支援を行います。 ④その他質疑 MDS/SDSの内容について、質疑対応させて頂きます お答えできる範囲で対応させて頂きます。 ■お役にたてそうなポイント ・医療機関からサイバーセキュリティ対策チェックリストを求められ、そこにMDS/SDSの記載がありどうしていいかわからない。 ・MDS/SDSの対応としてどのような成果物を作成する必要があるのか知りたい ・セキュリティの知識がないので、技術面も含めて助けてほしい。
-
医療機器サイバーセキュリティ対策JIST81001-5-1にについて話せます
問い合わせ2023年4月より、薬機法に紐づく基本要件基準が改訂され、全ての医療機器に対するサイバーセキュリティ対策が法規制化されました。医療機器のサイバーセキュリティに対する適合規格はJIST81001-5-1となっており、この企画へ準拠するための文書作成支援や、セキュリティ対策の技術的なアドバイスが可能です。 ■医療機器サイバーセキュリティの超概要 医療機器のサイバーセキュリティ対策は、2020年にIMDRF(国際医療機器規制当局フォーラム)が、医療機器サイバーセキュリティの世界調和を目的として発行された、「医療機器サイバーセキュリティの原則及び実践」が起点となり、厚労省はこの通知を受け3年を目途に規制化すると宣言しておりました。 2023年4月より薬機法に紐づく医療機器の基本要件基準の改正に伴い、厚生労働省より「基本要件基準第12条第3項の取扱いについて*」の通知が発の中で、「JIS T 81001-5-1」への適合性の確認をもってサイバーセキュリティ対策に関する要件への適合とする旨が明記される事となりました。 今後の医療機器開発においては、「JIS T 81001-5-1」に準拠したサイバーセキュリティ対策が必須となります。 〇JIS T 81001-5-1 ヘルスソフトウェア及びヘルスITシステムの安全,有効性及びセキュリティ―第5-1部:セキュリティ―製品ライフサイクルにおけるアクティビティ ■ご支援可能な事項 ①JIS T 81001-5-1の解説 JIS T 81001-5-1が求めている事を、規格書に則って解説していきます。 ②JIS T 81001-5-1の手順の説明 どのようにJIS T 81001-5-1の準拠を行えばよいのか、そのやり方の概要を説明させて頂きます。 ➂JIS T 81001-5-1に準備ずる文書作成のご支援 JIS T 81001-5-1に準拠するための作成する文書の内容や、実際の文書作成のご支援が可能です。 ■お役にたてそうなポイント ・販売済み医療機器に対しても、規制が発生している。何をしていいかわからない。 ・医療機器のリスクアセスメントのやり方がわからない ・JIS T 81001-5-1に準拠するための文書の作成方法がわからない
-
オープンソース(OSS)のライセンス違反にならない使い方について話せます
問い合わせ■私のご紹介 大手SIベンダーで約20年、企画検討から、システム開発、導入運用まで、数多くの案件の対応経験があります。上流工程から、下流工程まで一通りの経験と実績を積み重ねてきました。今まで培ってきたノウハウを、余すところなく皆様にお届け致します。 ■サービスの概要 オープンソース(以下、OSS)のライセンス形式が色々あり、何が使って安全で、何が使って危険か、心配になる事が多くあるのでではないでしょうか。特に、GPL、LGPLライセンスの取り扱いは気を付けなければなりません。 本サービスは、頂いたOSSの情報を元に、使い方に間違いがないか、どこまで使って良いか等ご質問にお答えするサービスです。 ■こんな方にお勧め ・OSSを使ったけどソース公開しなくて大丈夫か心配 ・このOSSは商用利用可能なのか知りたい ・OSSのライセンスを継承する必要があるか心配 ■その他 地域: 都内の自社オフィス 役割: 実担当者として開発担当後、ナレッジをもって管理者として対応