Page 2 / Form

医療情報システムの安全管理に関するガイドライン対応セルフチェック

医療情報システムの安全管理に関するガイドライン対応を、経営・管理体制、資産・システム把握、委託先・クラウド管理、アクセス制御・認証、バックアップ・技術的対策、インシデント・BCPの6軸で点検します。

基本情報

Required

設問は24問すべて回答が必要です。基本情報のうち「必須」表示以外は任意です。

Axis 01

経営・管理体制

4 Questions
Q1-1 経営・管理体制 未回答

医療情報システムの安全管理責任者と、経営層への報告・承認経路が明確である

ガイドライン対応を現場任せにせず、管理者が判断できる体制か確認します。

Q1-2 経営・管理体制 未回答

医療情報システムの運用管理規程を整備し、職員が参照できる状態にしている

通常運用、例外運用、禁止事項、責任分担を文書化できているかを見ます。

Q1-3 経営・管理体制 未回答

個人情報、診療情報、画像、検査等の重要情報についてリスク評価を定期的に行っている

重要情報と業務影響を踏まえて対策優先度を決めているか確認します。

Q1-4 経営・管理体制 未回答

職員向けに情報セキュリティ教育と、インシデント時の報告訓練を実施している

規程を知っているだけでなく、異常時に報告できるかを確認します。

Axis 02

資産・システム把握

4 Questions
Q2-1 資産・システム把握 未回答

電子カルテ、画像、検査、会計、予約等の医療情報システム台帳を最新化している

対象システム、管理責任者、利用部門、保守先を一覧化できているか確認します。

Q2-2 資産・システム把握 未回答

端末、サーバ、ネットワーク機器、医療機器連携、外部接続の構成を把握している

診療系ネットワークと外部接続の全体像を説明できるかを見ます。

Q2-3 資産・システム把握 未回答

重要システムごとに、停止時の診療影響と代替運用を整理している

停止した場合に何ができなくなるか、どの部門へ影響するかを確認します。

Q2-4 資産・システム把握 未回答

持込端末、USB媒体、リモート接続、クラウド利用など例外的な利用を把握している

台帳に載りにくい利用形態が管理対象から漏れていないかを見ます。

Axis 03

委託先・クラウド管理

4 Questions
Q3-1 委託先・クラウド管理 未回答

医療情報システムの委託先・保守事業者との責任分界を契約や確認表で明確にしている

自院と事業者のどちらが何を実施するかを確認できるかを見ます。

Q3-2 委託先・クラウド管理 未回答

クラウドサービス利用時に、安全管理、データ保管場所、障害時対応、ログ提供条件を確認している

クラウド利用の責任範囲と証跡取得の可否を確認します。

Q3-3 委託先・クラウド管理 未回答

遠隔保守接続について、接続方法、認証、接続時間、承認、記録のルールがある

常時接続や無承認接続を避け、保守作業を追跡できるかを見ます。

Q3-4 委託先・クラウド管理 未回答

委託先・事業者から、サイバーセキュリティ対策チェックリスト等の確認結果を受領している

事業者側の対策状況を確認し、未確認の委託先を残さないかを見ます。

Axis 04

アクセス制御・認証

4 Questions
Q4-1 アクセス制御・認証 未回答

重要システムや遠隔接続で多要素認証、または同等のなりすまし対策を導入している

特に外部接続や管理者操作で認証強度を確保しているか確認します。

Q4-2 アクセス制御・認証 未回答

退職者、異動者、委託先担当者のアカウント停止と権限見直しを速やかに行っている

不要アカウントや過剰権限が残らない運用かを確認します。

Q4-3 アクセス制御・認証 未回答

特権IDを通常IDと分離し、共用IDや共有パスワードを最小限にしている

管理者権限の利用者、利用目的、利用記録を追えるかを見ます。

Q4-4 アクセス制御・認証 未回答

ログイン失敗、管理者操作、重要情報へのアクセスログを定期的に確認している

認証・権限管理が記録と監査につながっているかを確認します。

Axis 05

バックアップ・技術的対策

4 Questions
Q5-1 バックアップ・技術的対策 未回答

OS、ミドルウェア、医療情報システム、ネットワーク機器の更新・脆弱性対応手順がある

更新できない機器の例外管理や補完策も含めて確認します。

Q5-2 バックアップ・技術的対策 未回答

端末やサーバにマルウェア対策、EDR等の防御策を導入し、状態を確認している

導入済みで終わらず、停止や定義更新漏れを見つけられるかを見ます。

Q5-3 バックアップ・技術的対策 未回答

診療系ネットワーク、インターネット接続、事務系ネットワークを適切に分離・制御している

侵入後の横展開や重要システムへの到達を抑えられるか確認します。

Q5-4 バックアップ・技術的対策 未回答

バックアップを取得し、オフラインまたは隔離保管を含めて復旧テストを実施している

ランサムウェアを想定し、実際に復旧できる根拠があるかを見ます。

Axis 06

インシデント・BCP

4 Questions
Q6-1 インシデント・BCP 未回答

不審な挙動、感染疑い、情報漏えい疑いを発見した際の初動確認項目が決まっている

現場が何を止め、何を記録し、誰に連絡するかを確認します。

Q6-2 インシデント・BCP 未回答

端末隔離、ネットワーク遮断、アカウント停止、委託先連絡の判断基準がある

被害拡大を抑える操作を迷わず実施できるかを見ます。

Q6-3 インシデント・BCP 未回答

所管省庁、警察、個人情報保護委員会、関係先への外部報告・相談ルートを整理している

外部報告の要否、タイミング、担当者を事前に決めているか確認します。

Q6-4 インシデント・BCP 未回答

システム停止時の紙運用、患者案内、復旧優先順位、復旧訓練をBCPとして整備している

医療提供を継続しながら復旧する手順を訓練済みか確認します。

回答状況 0 / 24 残り24問に回答してください。