Articles Comments

ちからの備忘録的日記 » cloud » 経済産業省の『医療情報を受託管理する情報処理事業者向けガイドライン』で気になるところのまとめ

経済産業省の『医療情報を受託管理する情報処理事業者向けガイドライン』で気になるところのまとめ




» 経済産業省 医療情報を受託管理する情報処理事業者向けガイドライン(平成20年7月)

このガイドラインの1ページの以下の文章がとても気になります。法の規定違反=違法という理解でいいのでしょうか・・・。

本ガイドラインのうち、「2.医療情報を受託管理する情報処理事業者における安全管理上の要求事項」に記載されている項目については、それに従わなかった場合、経済産業大臣により法の規定違反と判断され得る

上記のガイドラインで、医療情報システム独特だなと個人的に思った点について整理してみました。基本的には、ISMSとITSMSの認証を取得していれば8割OKという印象を受けました。

経済産業省のガイドラインで気になった点

物理点安全対策

■ DCにてサーバラックを利用する場合には、情報処理事業者占有のサーバラックする

クラウド環境は利用できないですね。

技術点安全対策

■ 保守作業については十分な余裕を持って事前に医療機関等に通知し承認を受けること

クラウド環境の場合では、通知はよくても承認は難しいかもしれませんね。

■ ソフトウェア開発を行う際には、ソフトウェア障害の影響を避けるため、運用施設とは直接に接続されていない開発用の情報処理施設(以下、「開発施設」という。)を用いて行うこと。

開発環境、試験環境を用意することは必須のようです。

■ 本ガイドラインの想定するシステムではサーバ等の機器類は、インターネットとは直接接続することが無いため、インターネット上で提供される悪意のあるコード対策ソフトウェアのアップデートファイル又はリポジトリに直接アクセスすることができない。このため、アップデートファイルについては電子媒体等を利用して運用システムに設置する等の対策を実施すること。

ウィルスパターンファイルは、CD-ROMとかで手動でアップデートしなさいという結構運用負荷がかかる内容です。

ただし、P.13に 

『医療機関等と情報処理事業者を接続するインターネット上のVPN回線を通じたアクセス、及び医療情報処理システムの稼働監視、セキュリティ対策ソフトウェアの最新パターンファイル等のダウンロード、オペレーティングシステム及び利用アプリケーションのセキュリティパッチファイル等のダウンロード、電子署名検証における認証局へのアクセス、ファイアウォール、IDS・IPSなどのセキュリティ機器に対する不正アクセス監視の場合を除いて、インターネット等のオープンネットワークを介した情報処理設備へのアクセスを行わないこと。』 

とあるので、内容が若干矛盾しております。。。結局は自動更新OKということでしょうか。

■ 一定期間、悪意のあるコードのチェックが行われていない場合や定義ファイル、スキャンエンジンが更新されていない機器については、ユーザへの警告を表示する、管理者への通知を行う、施設内ネットワーク接続の禁止又は隔離措置をとるといった対策が行われていること。

『ユーザへの警告を表示する』という部分が難しそうです。クライアントPCなら検疫ネットワークを構築することで実現できそうですが、サーバも対象となるとちょっと現実感がないです・・・

■ ウェブブラウザを使用する際の要求事項

ブラウザに関する要求事項というのが違和感があります。クライアントPCへのガイドラインということでしょうか。

■ 不正なIPアドレスを持つトラフィックが通過できないように設定すること

医療機関との合意が前提となりますが、IPS導入必須ですね。

■ 医療機関等との接続ネットワーク境界には侵入検知システム(以下、「IDS」という。)及び侵入防止システム(以下、「IPS」という。)を導入してネットワーク上の不正なイベントの検出、あるいは不正なトラフィックの遮断を行うこと。

医療機関とVPNで接続している場合は、IDS/IPSをいれるなら、UTMのようにIDS/IPS機能をもったVPN装置が必須になりますね。医療機関とインターネット経由以外で接続している場合は、その通信もIDS/IPSを導入する必要がありそうです。

■ 情報処理システムへの同時ログオンユーザ数に適切な上限を設ける

あまり意味がないような気がしますね。適切な上限を定めるのがとても難しい気がします。

■ 配送業者から媒体を受け取る時は、情報処理設備とは別の搬入・搬出専用の区
域で正規職員が直接受け取ること

自社所有DCの場合はいいですが、通常他社のDCサービスを借りると確実に他社のDCオペレータにお願いすることになります。従って、多くの場合、正規職員が直接受け取るというのは難しい。同じような内容で、『記憶媒体を発送、受領する際は、配送業者と直接行い、第三者を介さないこと』というのもあります。

■ 医療機関等とのデータ送受信の際にはデータの完全性を検証する機構を導入すること

md5sum などのメタデータのやりとりが必須ですね。

■ ログデータに対する不正な改ざん及び削除行為に対する検出・防止策を施すこと

chkrootkitとか入れなさいよということですかね。

■ バックアップ施設は自然災害の影響を同時に受けないよう、医療情報処理システムから十分離れた地点に構築すること。

これは解釈が難しいですね。バックアップ施設をつくるならという話なのか、バックアップ施設はある前提の話なのか。後者だとすると医療情報システムのアウトソースの道のりは遠いですね。

■ 不正なアカウントの利用又は試みが行われたことを作業者自身で検出するため、作業者のログオン後に前回のログオンが成功していれば成功日時を表示し、前回のログオンが失敗していれば、第三者による不正なログオンの試みが行われた可能性があるという内容の警告メッセージとともに失敗日時を表示すること。

こんな機能は、OSのデフォルトであるのだろうか。。。不正なログオンがなされた時点で『不正なアカウントの利用又は試みが行われたことを作業者自身で検出』できないように設定が変更されている可能性が高いと思われます。手間がかかる割にはあまり効果の高くない対策の予感です。

まとめ

ボリュームの少ない経済産業省のガイドラインを軽く眺めてみました。医療機関が情報システムをアウトソースしたいと思ったら、相当な予算を確保しないと実現が難しそうなガイドラインという印象を受けました。

今度は総務省のガイドラインをまとめようと思います。

Related Posts Plugin for WordPress, Blogger...

Filed under: cloud · Tags: , , , , ,

Leave a Reply

*