セキュリティ委員会活動報告

2015年度セキュリティ委員会成果報告

2016年2月26日

セキュリティ委員会 委員長

西田慎一郎

2015年度活動内容

１）

ISO/TC215 WG4

(セキュリティ&プライバシ）で検討

されている国際標準への対応を行った。

２）厚生労働省「

医療情報システムの安全管理に関

するガイドライン

」に対して、ベンダの立場で取り組

みを行った。

３）医療機器における

サイバーセキュリティ

への対応

を行った。

４）

リモートサービスセキュリティ・ガイドライン

の改訂

および

「製造業者による医療情報セキュリティ開示

書」ガイド

_{の普及活動を行った。}

2



年２回開催されている会議へ２名の

エキスパートを派遣

– 2015年 4月 米国・サンフランシスコ – 2015年 10月 スイス・ベルン – 2016年 5月 オランダ・アムステルダム（予定）



規格検討への

積極的な取り組み

– 新規作業項目へエキスパートとして登録 – ドラフトの内容検討、JIRAとしての意見集約 – JIRAの主張のドラフトへの反映



日本から

規格提案

– リモートサービスセキュリティWGで作成したガイドラインがベースであ

１） ISO/TC215 WG4(セキュリティ＆プライバシ）

で検討されている国際標準への対応

 DIS27799 Information security management in health using ISO/IEC 27002

（27002を利用したヘルス分野における情報セキュリティマネジメント）

 DIS25237 Psudonymisation （仮名化）

 PWI20429 Priciples and guidelines for protection of personal health information（個人健康情報保護の原則とガイドライン）

 PWI Cloud computing security and privacy requrements for Health Information System

(クラウド・コンピューティングにおけるセキュリティとプライバシー要件）

 IS17090-4:PKI-Digital signatures for healthcare documents

（_{PKIを利用したヘルスケア文書への電子署名}）

ISO/TC215 WG4で検討中の主な国際標準

ISO/TC215 WG4

日本

_{からの提案}



IS17090-5

PKI - Authentication using Healthcare PKI credentials

(

PKI資格情報を利用した認証

)

– 日本からの提案

– JAHIS標準の「JAHIS HPKI電子認証ガイドライン V1.1」とほぼ同じ 内容

ISO/TC215 WG4

日本

_{からの提案}



TS11633-1

Information security management for remote maintenance of

medical devices and medical information systems

(

医療機器と医療情報システムのリモート保守における情報

セキュリティマネジメント

)

– 日本からの提案 – JESRAの「リモートサービスセキュリティガイドライン」とほぼ同じ内容 – 引用規格のIS27001, 27002が改訂されたため、それを反映させる改 定案を出し、承認された。 – 元はTR（技術レポート）であったが、リスクアセスメントの実施を必須 要件とし、TS（技術仕様）となる予定。 6

２）厚生労働省「安全管理ガイドライン」に対する

ベンダとしての取り組み



厚生労働省「医療情報システムの安全管理に関するガイドラ

イン

第４．３版

」に対しての取り組み

– 改訂を行う作業班へ2名参加 – 来年度公開見込み – 以下の項目が改訂される見込み（変更の可能性あり） 代行承認の自動確定に関しての言及 「製造業者による医療情報セキュリティ開示書」ガイドへの言及 個人持ちタブレット等のBYODの運用についての記載 標的型メール攻撃への対応 電子処方箋ガイドライン（移行期用）発出に伴う改訂

２）厚生労働省「安全管理ガイドライン」に対する

ベンダとしての取り組み



「製造業者による

医療情報セキュリティ開示書」ガイドVer2.0

 医療情報システムの製造業者向けに、利用者への開示を目的とした、 「安全管理ガイドライン」への適応性のチェックリスト的な文書

 略称MDS(Manufacturer Disclosure Statement for Medical Information Security)

 「安全管理ガイドライン」の第6～8章の技術的対策の要求事項を適 用範囲  顧客より開示を求められている情報システムのセキュリティに関する 資料の書式や粒度（どこまで記述すれば十分か）などに対する標準 的なテンプレートとしての利用を想定  製造業者にとっては、自社の製品の「安全管理ガイドライン」への適 合性の確認に利用できる  JIRA-HPで公開中

http://www.jira-net.or.jp/commission/system/index.html

₈

製造業者による医療情報セキュリティ

開示説明書(MDS)

製造業者による医療情報セキュリティ

開示説明書(MDS)

製造業者による医療情報セキュリティ

開示説明書(MDS)

JIRA製作所 2012/2/17 JIRA画像管理システム 1.0 1 2 3

想定される活用シナリオ

①

製造事業者が

自社の製品のセキュリティ関連機能について、

MDS書式で

開示説明書を作成する

②医療機関からの要求により製造事業者が提出、あるいは、

製造業者が自身のホームページで公開

③

医療機関は

受け取った開示説明書を元に

リスクアセスメント

を行い、適切な運用が行われるように対応する

製造事業者

医療機関

製品

MDS

③リスク分析 ②提示 ①作成 12

３）医療機器におけるサイバーセキュリティへの対応



厚生労働省通知「医療機器におけるサイバーセキュリティの

確保について」（2015年4月発出）

– 医療機器製造販売業者に対して、リスクマネジメントにより、医療機 器へのサイバーリスクの適切な対応を要求 – 具体的な対応として以下を要求 ①他の機器・ネットワーク等と接続して使用する又は他からの不正なアクセス等が想定される医 療機器については、当該医療機器で想定されるネットワーク使用環境等を踏まえてサイバーリ スクを含む危険性を評価・除去し、防護するリスクマネジメントを行い、使用者に対する必要な 情報提供や注意喚起を含めて適切な対策を行うこと。 ②①の必要なサイバーセキュリティの確保がなされていない医療機器については、使用者に対 してその旨を明示し、他との接続を行わない又は接続できない設定とするよう必要な注意喚起 を行うこと。 ③「医療情報システムの安全管理に関するガイドライン」を踏まえ、医療機関における不正ソフト ウェア対策やネットワーク上からの不正アクセス対策等のサイバーセキュリティの確保が適切 に実施されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ること。 13

３）医療機器におけるサイバーセキュリティへの対応



通知内容を具体的に説明した

ガイダンス

を作成

– ３J（JAHIS、JEITA、JIRA）のメンバでドラフト作成中 – メインの執筆者はJIRA法規安全部会の古川部会長 – 医機連を通して、AMED研究班から今年度成果物として厚労省に出し ていただく予定 – 内容は以下の通り 対象機器の明確化 使用環境の特定 ネットワーク接続時の注意点（無線LAN、サービスポート等への対応） リスクマネジメント時のサイバーリスクの考え方 サイバーセキュリティにおける製造販売業者、使用者の対応 市販後の安全確保について 参考資料 使用者への情報提供 14

４）リモートサービスセキュリティへの対応



リモートサービスセキュリティガイドラインVer.3.0へ

の改訂作業

医療機関内の情報機器・システムを遠隔保守す

るケースの

モデル化

を行い、そのモデルに対して

ISMS

（Information Security Management

System）の手法に従った

リスクマネジメントの実

施例

を提示

最新版のISO27000シリーズに対応

経産省ガイドライン改定、JIPDEC ISMSユーザガ

イド最新版への対応

附属のリスクアセスメント表の改訂

４）MDSの普及活動



WGを、JAHISとの合同WGとし、JESRAと同じ内容のMDS

書式を

_JAHIS標準

とした。



普及活動



JSRT学会誌のJIRA Topicsに紹介記事を掲載した。



ITEM2015で、冊子を配布した。



HEASNET情報交換会で紹介を行った。



3月4日（金）にJAHIS会議室で書き方セミナーを開催予定

16