マイクロソフトクラウドの「医療機関向けクラウドサービス対応セキュリティリファレンス (2024 年度)」改訂版公開のお知らせ
本日、日本マイクロソフト株式会社は、医療情報を扱うためのクラウドサービスが、3省2ガイドラインである厚生労働省の「医療情報システムの安全管理に関するガイドライン」と経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、ガイドラインと表記)の要求事項に従っていることをまとめた『医療機関向けクラウドサービス対応セキュリティリファレンス(2024年度)』を2021年度に公開したものの改訂版を公開しました。このリファレンスは富士ソフト株式会社の支援を受け、日本マイクロソフトと協力して作成しました。昨今、医療業界でも多くの被害を受けている現状に対して、このリファレンスを使用することで、医療機関や医療システムベンダー等が適切なセキュリティ対策を講じ、日本国内の医療システム全体のセキュリティを強化することができると考えています。
公開するドキュメント
- マイクロソフトが講じる安全管理措置について
一般的に想定されるリスクと対策に着眼し、当社が講じている安全管理策を富士ソフト株式会社がガイドラインと照らし合わせて整理しています。 - 利用可能なマイクロソフトの製品・サービスに関する情報
利用者が該当ガイドラインに対応する上で、利用可能なサービス毎の製品及び機能に関する情報を整理しています。
※上記の「マイクロソフトが講じる安全管理措置について」もしくは「利用可能なマイクロソフトの製品・サービスに関する情報」をクリックすると、「マイクロソフトクラウドの医療機関向けクラウドサービス対応セキュリティリファレンス (2024 年度) 利用許諾契約書」を読み、その内容に同意したものとみなされます。
マイクロソフトクラウドの医療機関向けクラウドサービス対応セキュリティリファレンス (2024 年度) 利用許諾契約書はこちらをクリックしてください。
本リファレンスの対象となるクラウドサービス
- Microsoft Azure
- Microsoft 365
- Microsoft Dynamics 365・Microsoft Power Platform
本リファレンスの対象となるガイドライン
本リファレンスが対象としているガイドラインは「3省2ガイドライン」になります。3省2ガイドラインとは厚生労働省の「医療情報システムの安全管理に関するガイドライン」と経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つのガイドラインを合わせた総称となっており、医療情報システムを取り扱う医療機関や事業者はこの「3省2ガイドライン」を遵守する必要があります。
- 医療情報システムの安全管理に関するガイドライン 第 6.0 版(厚生労働省、令和5年5月 )
- 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第 1.1 版 (経済産業省・総務省、令和 5 年 7 月)
厚生労働省安全管理ガイドラインは、医療情報システムやサービスを利用する医療機関、具体的には病院、⼀般診療所、⻭科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等に対する遵守事項を取りまとめたものです。
経済産業省・総務省安全管理ガイドラインは、医療機関等に対して医療情報システムや、サービスを提供している事業者に対する遵守事項を取り纏めたものです。
事業者としての日本マイクロソフトが準拠すべき項目について
クラウドサービスの利用において、想定されるリスクに対応するためにはお客様が実施しなくてはならない対策と、クラウドサービスプロバイダーが対策する対策とに責任が分かれます。一般にこれを責任共有モデルや責任分界などと呼び、お客様側ではクラウドサービスプロバイダー側が実施している対策が利用者としての期待に即した内容となっているかをご契約、ご利用前に確認し、適切なクラウドサービスを選択する必要があります。
この確認を適切に実施していただくため、ガイドラインにより示される安全対策に関し、マイクロソフトが講じている対策の実施状況等を第三者監査の結果等を根拠とし「マイクロソフトが講じる安全管理措置について(想定されるリスクとリスクに対応するための製品・機能)」にまとめています。
サービス利用者が講じるべき項目について
クラウドサービスプロバイダー側で基盤となるインフラや物理施設等に十分な安全対策が実施されていても、お客様がリスクに対して適切なサービスが利用されていなければそこにセキュリティ上の問題が発生します。
たとえば適切なID管理や不正なアクセスへの対応や権限の管理、内部不正などはそれらの例となりますが、そのため想定されるリスクに対して有効な対策を講じることが可能なサービスを「利用可能なマイクロソフトの製品・サービスに関する情報(コントロールマッピング)」にまとめ、お客様が適切なサービスを選択しやすい環境となるようデータ提供しています。
本リファレンスの見方について
本リファレンスでは「コントロールマッピング」としてガイドラインでの要求事項に対し、利用可能なマイクロソフトの製品・サービスに関する対応状況と関連情報を整理しております。また「想定されるリスクとリスクに対応するための製品・機能」として、ガイドラインで示されているリスクシナリオに対し、マイクロソフトが講じる安全管理措置によってリスクの低減が可能なMicrosoft製品・機能を整理しております。
本リファレンスを参考にガイドラインを遵守し、医療機関がDXを推進するために必要となるゼロトラストやクラウド化、AI活用などの検討材料として活用いただける事を願っております。
そして、マイクロソフトとしましては今後もすべては患者様の為にという思いで皆様が安心・安全に医療情報を活用できるようクラウド事業者としてご支援したいと考えております。
富士ソフト株式会社の関連情報
- 3省2ガイドライン対応支援コンサルティングサービス
3省2ガイドラインに対応するために必要な文書のひな形提供から文書の作成、コンサルティングまで、トータルでサポートするサービス - FUJISOFT Technical Report:医療情報システム開発におけるセキュリティ対策、「3省2ガイドライン」への取り組み【第2回】
医療情報システム開発において重要となるセキュリティ対策について、3省2ガイドラインを中心とした内容を紹介
参考文献
- 医療情報システムの安全管理に関するガイドライン 第6.0版
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html - 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版
https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
