NRIセキュア、医療情報システムのセキュリティガイドライン準拠支援サービスを提供開始
NRIセキュアテクノロジーズ
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:小田島 潤、以下「NRIセキュア」)は、医療情報[i]を取り扱う情報システムやサービスを提供する事業者に向けた、「医療情報システムのセキュリティガイドライン準拠支援サービス(以下「本サービス」)」を本日より提供します。本サービスは、総務省と経済産業省によって2020年8月21日に公表された『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1版)』に基づいたコンサルティングサービスです。
■ 医療情報システムを取り巻く背景
医療業界におけるITの活用が進む中、医療情報システム上で取り扱われる情報を狙うサイバー攻撃や情報漏えいなどの、セキュリティ上のリスクも増大しています。従来、医療情報を扱うシステムについては、厚生労働省、総務省、経済産業省それぞれがセキュリティガイドラインを策定し、「3省3ガイドライン」と呼ばれていました。事業者はそれぞれを参照し対応する必要がありましたが、総務省と経済産業省はこのたび、2つのガイドラインを統合・改定し、『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1版)』として公表しました。
このガイドラインは医療情報システム固有のリスクを特定し、それぞれのリスクに応じた必要なセキュリティ対策の実施(リスクベースアプローチ)と、システム提供先の医療機関などとの明示的な合意(リスクコミュニケーション)を求めています。
■ 本サービスの概要と特長
NRIセキュアは、医療分野のサイバーセキュリティにおけるコンサルティングの実績を数多く有しています[ii]。医療情報システムに関する知見を持つNRIセキュアの専門家が、新たなガイドラインを元に、医療情報システムに対するリスク評価からセキュリティ対策の立案、実行までを包括的かつ実効的に支援します。
本サービスは、以下の4つの内容から構成されます。
1.医療情報の流れ全体のリスクアセスメント
医療情報システムの構成図を元に、システムを構成する要素間をデータがどのように流れるか、全体像を把握し、想定されるリスクを洗い出します。リスクの大きさや発現可能性に応じて、セキュリティ対策が必要かどうかを検討し、必要な対策の優先順位付けを支援します。
2.リスク対応方針の策定
対応が必要と評価されたリスクについて、それぞれの「事業者自身が実施すべきセキュリティ対策」「医療機関など外部への依頼事項」「対策実施後の残存リスク」を整理し、リスク対応方針(低減・回避・移転・保有[iii])を策定します。
3.リスクコミュニケーションのための文書作成(オプションサービス)
ガイドラインでは、システムやサービスを利用する医療機関などとリスクコミュニケーションを行う上で、必要な文書を整備することが求められています(例:サービス仕様適合開示書)。NRIセキュアは、専門家の観点から、文書作成にあたって考慮すべき事項をアドバイスします。
4.危機管理対応(オプションサービス)
医療情報システムにおいてセキュリティインシデント(事故・事案)等が発生した場合に備え、対応手順の整備や、発生後に行われる医療機関などとの合意形成において考慮すべき事項について、アドバイスします。
図:「医療情報システムのセキュリティガイドライン準拠支援サービス」の流れ
本サービスの詳細については、次のWebサイトをご参照ください。
https://www.nri-secure.co.jp/service/consulting/medical-it
また、上記以外にも、情報セキュリティ規程の整備支援やインシデント対応態勢の構築支援など、新たなガイドラインが要求する事項に確実に対応するためのサービスを幅広く提供しています。セキュリティ対策の各種製品の導入プロジェクトを個別に支援することも可能です。
NRIセキュアは、今後も情報セキュリティ対策支援を通じて、医療分野のデジタル化の推進と、安全・安心な社会の実現に貢献していきます。
脚注
[i] 医療情報:
カルテ・診療記録をはじめ、患者の既往症・家族歴・嗜好など、医療に関する患者情報(個人識別情報)を指します。
[ii] 医療分野のサイバーセキュリティに関するコンサルティング実績の例:
・医療分野におけるサイバーセキュリティ対策調査一式(厚生労働省)
・医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(案)の修正作業(総務省)
[iii] 低減・回避・移転・保有:
リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」の4つがあります。(出所:情報処理推進機構「情報セキュリティマネジメントとPDCAサイクル」)
ご参考
■ 関連セミナーの開催について
医療情報提供システム事業者向けに、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(第1版)」および「医療情報システムのセキュリティガイドライン準拠支援サービス」に関するウェビナーを開催いたします。
開催日時:2020年9月17日(木)16:00~17:20
開催方法:オンライン
参加費:無料
講演者:京都大学医学部附属病院 医療情報企画部教授 黒田知宏 氏
NRIセキュアテクノロジーズ株式会社 セキュリティコンサルタント 木村匠
講演内容の詳細やお申し込みについては、次のWebサイトをご覧ください。
https://www.nri-secure.co.jp/seminar/2020/medical0917
※セミナー内容は予告なく変更される場合があります。最新の情報は上記のWebサイトをご参照ください。