「医療情報システムの安全管理に関するガイドライン」は、近年さまざまな情報サービス事業において、システムの脆弱性を突いた事件が頻発している状況を鑑み、病歴等の機微性の高い情報を含む患者の個人情報を適切に管理するために厚生労働省が定めたガイドラインです。
このガイドラインは、2005年(平成17年)に第1版を策定後、定期的に改正を⾏っており、2023年(令和5年)には、医療情報システムの安全管理の実効性を高める観点から、システム運用担当者並びに、経営層や企画管理者に対してもガイドラインの内容の理解が可能となる様に全体構成を大幅に変更し、第6.0版として公表されています。
医療情報システムにおける利用者認証についてのポイント
- 医療情報システムへのアクセスにおける利用者の識別・認証を行うこと
- ID・パスワードの徹底管理、ICカード利用に関するアクセスルールを用意すること
- 利用者の職種・担当業務ごとにアクセス制限を定め、アクセス権限に沿ったアクセス管理を行うこと
- アクセスログを記録し、定期的にログを確認すること
- 令和9年時点で稼働していることが想定される医療情報システムを今後、新規導入又は更新に際しては、二要素認証を採用するシステムの導入またはこれに相当する対応を行うこと
- ランサムウェア対策を講じること
- アプリケーション間の安全性を確保すること(利用者の認証・認可)
