セキュリティ委員会成果報告 - 日本画像医療システム工業会

jira.net.or.jp

セキュリティ委員会成果報告 - 日本画像医療システム工業会

2011 年 度 セキュリティ 委 員 会成 果 報 告 (2012/2/17)セキュリティ 委 員 会 委 員 長西 田 慎 一 郎(㈱ 島 津 製 作 所 )1


2011 年 度 活 動 内 容1)ISO/TC215 WG4(セキュリティ&プライバシ)で 検 討されている 国 際 標 準 への 対 応2) 厚 生 労 働 省 「 医 療 情 報 システムの 安 全 管 理 に 関するガイドライン」に 対 するベンダとしての 取 り 組 み3)NEMANEMA, , COCIRと と 共 同 でのグローバルな 医 療 機 器セキュリティへの 取 り 組 み2


1) ISO/TC215 WG4(セキュリティ&プライバシ)で 検 討 されている 国 際 標 準 への 対 応• 年 2 回 開 催 されている 会 議 へ2 名 エキスパート 派 遣– 2011 年 5 月 フィンランド・クオピオ– 2011 年 10 月 米 国 ・シカゴ– 2012 年 5 月 カナダ・バンクーバー(予 定 )• 規 格 検 討 への 積 極 的 な 取 り 組 み– 新 規 作 業 項 目 へエキスパートとして 登 録– ドラフトの 内 容 検 討 、JIRAJIRAとしての 意 見 集 約– JIRAの 主 張 のドラフトへの 反 映• 日 本 から 規 格 提 案– リモートサービスセキュリティWGWGで 作 成 したJESRAJESRAをTR化– 出 版 済 み(TR11633 Information security management for remotemaintenance of medical devices and medical information systems)3


ISO/TC215 WG4で 検 討 中 の 主 な 国 際 標 準• EHR 関 連– TS14441 Security & privacy requirements for use in conformity assessment ofEHR systems(EHRシステムの 適 合 性 評 価 におけるセキュリティとプライバシ 要 件 )– NWI Principles and data structures for consent in the collection, use, ordisclosure of personal health information( 個 人 健 康 情 報 の 収 集 、 利 用 、 開 示 に 関 する 患 者 同 意 の 原 則 とデータ 構 造 )• インフラ 関 連– IS27789:Audit trails for electronic health records(EHRアクセス 時 の 監 査 証 跡 )– TR16114 Security aspects of Electronic Health Record migration(EHRの 移 行 に 関 するセキュリティ 特 性 )• 日 本 からの 提 案– IS17090-4:PKI-Digital signatures for healthcare documents(PKIを 利 用 したヘルスケア 文 書 への 電 子 署 名 )JAHIS 標 準 を 提 案 したもの4


• TS14441ISO/TC215 WG4EHR 関 連 (1)Security & privacy requirements for use in conformity assessment ofEHR systems( EHRシステムの適 合 性 評 価 におけるセキュリティとプライバシ 要 件 )– ブラジルからの 提 案 。EHRシステムの 適 合 性 評 価 におけるセキュリティとプライバシ 要 件 を 規 定 するもの– 米 国 、カナダ、 英 国 、ブラジルで 現 在 使 われている 規 約 やガイドラインの 内 容 をまとめ、 最 低 限 求 められているセキュリティ 要 件 を 抽 出5


• New Work ItemISO/TC215 WG4EHR 関 連 (2)Principles and data structures for consent in the collection, use, ordisclosure of personal health information( 個 人 健 康 情 報 の 収 集 、 利 用 、 開 示 に 関 する 患 者 同 意 の 原則 とデータ 構 造 )– カナダからの 新 規 提 案– 患 者 同 意 とはどのようなもので、どのような 要 件 が 求 められるのかの原 則 と、EHR 内 での 保 管 やEHR 間 で 個 人 健 康 情 報 をやりとりする 際の 患 者 同 意 に 関 する 情 報 を 記 録 するためのデータ 構 造 に 関 して 規 定するもの6


ISO/TC215 WG4インフラ 関 連 (1)• IS27789Audit Trail for electronic health records(EHRアクセス 時 の 監 査 証 跡 )– EHRシステム 間 での 情 報 交 換 時 の 監 査 証 跡 に 関 する 規 格– 監 査 証 跡 を 出 力 するトリガ(イベントトリガ)と、 内 容 について 定 義 している– DICOM Sup95やIHE ATNAと と 同 じ 枠 組 み(RFC3881準 拠 )– 日 本 から 提 案 したイベントトリガと、その 内 容 がほぼそのまま 取 り 込まれた– 2ndDIS 投 票 が 完 了 し、 承 認 された7


ISO/TC215 WG4インフラ 関 連 (2)• TR16114Security aspects of Electronic Health Record migration(EHREHRの 移 行 に 関 するセキュリティ 特 性 )– システム 更 新 時 のEHRデータの 移 行 に 関 するセキュリティについて述 べた 技 術 文 書– 移 行 時 のデータの 意 味 的 な 完 全 性 や、 見 た 目 や 操 作 性 などのユーザビリティの 完 全 性 についての 必 要 性 を 指 摘– もちろん、プライバシ 保 護 のための 秘 匿 性 にも 言 及– ただし、 指 摘 のみで 対 策 についてまでは 含 まれない 模 様8


ISO/TC215 WG4日 本 からの 提 案• IS17090-4PKI - Digital Signatures for Health Documents(PKIを を 利 用 したヘルスケア 文 書 への 電 子 署 名 )– 日 本 からの 提 案– JAHIS 標 準 の「へルスケアPKIを 利 用 した 医 療 文 書 に 対 する 電 子 署名 規 格 」とほぼ 同 じ 内 容– NWIPの の 投 票 中 (3/8締 切 )9


2) 厚 生 労 働 省 「 安 全 管 理 ガイドライン」に 対 するベンダとしての 取 り 組 み• 個 人 情 報 保 護 法– 「 医 療 画 像 データ 内 の 個 人 情 報 の 取 扱 について」 通 知 および 啓 発 資料 をJIRAホームページで 公 開 中• 厚 生 労 働 省 「 医 療 情 報 システムの 安 全 管 理 に 関 するガイドライン 第 4.1 版 」– 作 業 班 への 参 加– 2010/2/2 公 開• 医 療 情 報 ネットワーク 基 盤 検 討 会– 2/20に に 開 催– 1) 処 方 せんの 電 磁 的 な 交 付 、2) 匿 名 化 された 個 人 の 情 報 の 活 用 、3) 番 号 制 度 の 検 討 について、 等 について 検 討 された10


2) 厚 生 労 働 省 「 安 全 管 理 ガイドライン」に 対 するベンダとしての 取 り 組 み• 製 造 業 者 による医 療 情 報 セキュリティ 開 示 説 明 書 (JESRA TR-0039- 2011 )‣ 医 療 情 報 システムの 製 造 業 者 向 けに、 利 用 者 への 開 示 を 目 的 とした、「 安 全 管 理 ガイドライン」への 適 応 性 のチェックリスト 的 な 文 書‣ 略 称 MDSMDS(Manufacturer Disclosure Statement for Medical Information Security)‣ 「 安 全 管 理 ガイドライン」の 第 6 章 の 技 術 的 対 策 の 要 求 事 項 を 適 用 範囲‣ 顧 客 より 開 示 を 求 められている 情 報 システムのセキュリティに 関 する資 料 の 書 式 や 粒 度 (どこまで 記 述 すれば 十 分 か)などに 対 する 標 準的 なテンプレートテンプレートとしての 利 用 を 想 定‣ 製 造 業 者 にとっては、 自 社 の 製 品 の「 安 全 管 理 ガイドライン」への適合 性 の 確 認 に 利 用 できる‣ JIRAホームページで 公 開 中http://www.jira-net.or.jp/commission/system/index.html11


製 造 業 者 による 医 療 情 報 セキュリティ開 示 説 明 書 (MDS)12


製 造 業 者 による 医 療 情 報 セキュリティ開 示 説 明 書 (MDS)13


製 造 業 者 による 医 療 情 報 セキュリティ開 示 説 明 書 (MDS)JIRA 製 作 所 2012/2/17JIRA 画 像 管 理 システム 1.012314


想 定 される 活 用 シナリオ1 製 造 事 業 者 が 自 社 の 製 品 のセキュリティ 関 連 機 能 について、MDS 書 式 で 開 示 説 明 書 を 作 成 する2 医 療 機 関 からの 要 求 により 製 造 事 業 者 が 提 出 、あるいは、製 造 業 者 が 自 身 のホームページで 公 開3 医 療 機 関 は 受 け 取 った 開 示 説 明 書 を 元 にリスクアセスメントを 行 い、 適 切 な 運 用 が 行 われるように 対 応 する製 造 事 業 者2 提 示医 療 機 関3リスク 分 析1 作 成MDS製 品15


3)NEMA, COCIRと と 共 同 でのグローバルな 医 療 機 器 セキュリティへの 取 り 組 み• SPC(Security Security & Privacy Committee) 活 動– 年 1 回 の 会 議 参 加 、 意 見 交 換2009 年 9 月 米 国 ・ワシントンDC– 医 療 装 置 セキュリティに 関 する 技 術 文 書 (WhitePaper)の 作 成 ・ 公 開16


3)NEMA, COCIRと と 共 同 でのグローバルな 医 療 機 器 セキュリティへの 取 り 組 み• 医 療 装 置 セキュリティに 関 する 技 術 文 書 の 作 成 ・ 公 開– Break-Glass– An Approach to Granting Emergency Access toHealthcare Systems( 緊 急 時 アクセス)– Patching Off-thethe-Shelf Software Used in Medical InformationSystems( 市 販 ソフトへのパッチ 適 用 )– Management of Machine Authentication Certificates( 装 置 認 証 )– Information Security Risk Management for Healthcare Systems(リスクマネジメント)– 他http://www.medicalimaging.org/policy-and-positions/joint-security-and-privacy-committee-2/• 日 本 語 訳 をJIRAホームページで 公 開 中http://www.jira jira-net.or.jp/commission/system/index.html17


3)NEMA, COCIRと と 共 同 でのグローバルな 医 療 機 器 セキュリティへの 取 り 組 み• 医 療 機 器 セキュリティのための 製 造 業 者 開 示 説 明 書 (MDS2 )–NEMA標 準– HIPAA 法 におけるセキュリティ 規 則 対 応 のため– 19 個 の 質 問 からなるテンプレート– 日 本 語 訳 をJIRAJIRAホームページで 公 開 中http://www.jira-net.or.jp/commission/system/index.html– 現 在 IEC80001-2-2 2 対 応 に 向 けて 改 訂 作 業 中18


補 足• 経 済 産 業 省 「 医 療 情 報 を 受 託 管 理 する 情 報 処 理 事業 者 向 けガイドライン」 改 訂 中– 厚 労 省 「 安 全 管 理 ガイドライン4.1版 」 対 応– 近 日 中 にパブリックコメント 募 集 が 開 始 される 予 定– 今 年 度 中 に 発 出 見 込 み• リモートサービスに 関 するアンケート 実 施– 実 施 状 況 やセキュリティに 関 する 内 容 の 確 認 の 目 的– JAHISと と 共 同 で 実 施– 近 日 中 にJIRAJIRAホームページに ホ 集 計 結 果 を 公 開 予 定19


ご 清 聴 ありがとうございました20

More magazines by this user
Similar magazines