医療ISACは、当団体関与の下で、以下の各ガイドラインに基づく運用管理規程の整備、システム運用管理態勢の維持、または監査を通した運用管理状況の改善に関する取組を図る医療機関、及び医療情報システムを開発・運用する情報処理事業者に対して、<医療ISAC認証>を付与する取組を行います。
・厚生労働省「医療情報システムの安全管理に関するガイドライン」
・経済産業省/総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
医療ISAC認証の主旨
医療情報システムを利用する医療機関、または開発・運用する情報処理事業者は、官庁が策定する上記の3省2ガイドラインへの準拠、つまり各ガイドラインの要求事項を反映した運用管理規程を策定し、当該規程に基づき医療情報システムの利用、開発/運用を行うことがコンプライアンスとして求められています。 従来まで、このコンプライアンスは、院内や事業者内部で実務的に対応すること(=管理責任)に重点が置かれていました。しかしながら、当今のサイバー脅威の増大や地域医療連携に伴うサプライチェーンリスクの高まりなどを背景に、今や、単に「実務的に対応している」ことのみでなく、何らかのインシデントが発生した場合、外部のステークホルダーに向けて確実にその対応状況を説明できる水準で維持すること(=説明責任)の必要性が高まっています。
当団体ではこのような状況を鑑み、医療機関や情報処理事業者によるコンプライアンスに向けた取組状況の信頼性を独立した第三者機関として審査した上で、外部のステークホルダーに向けた説明責任を果たすための一助として、「医療ISAC認証」を提供します。
医療ISAC認証のカテゴリー
医療ISAC認証は、<医療ISAC規程認証>、<医療ISAC監査認証>、<医療ISAC態勢認証>の三つのカテゴリーから構成されます。
| 認証名称 | 認証内容 | 対象組織 | 認証条件 |
|---|---|---|---|
| 医療ISAC規定認証 | ガイドライン対応に向けた整備/見直し、レビュー等、何らかの支援が行われた運用管理規定を有する組織体に対して、「ガイドラインに基づく運用管理規定の整備が行われているという事実」について認証を行う | ・医療機関等 ・医療情報システムを開発/運用する情報処理事業者 | 組織としての運用管理規定の整備を完了すること |
| 医療ISAC監査認証 | ガイドライン対応状況について何らかの(外部監査、または内部監査支援)が行われた組織体に対して、「運用管理プロセスの改善に向けて、ガイドラインに基づく対応状況に関する監査が実施されてるという事実」について認証を行う | ・医療機関等 ・医療情報システムを開発/運用する情報処理事業者 | 監査を実施すること |
| 医療ISAC態勢認証 | 医療ISAC規格認証を取得した組織が策定した「運用管理規定」に基づくシステム運用管理を実施し、かつ、医療ISACが企画・開催するセキュリティセミナー(Webセミナーを含む)を一定回数受講した組織体に対して、「ガイドラインに基づくシステム運用管理態勢を有する事実」について認証を行う | ・医療ISAC規程認証を取得した組織体から提供される「運用管理規程」に基づき、自組織のシステムの運用管理を実施する組織体 | 以下2つの条件を充足すること ・医療ISAC規格認証を取得した組織体による「運用管理規程」に基づくシステム運用管理の実施 ・医療ISACが企画・開催するセキュリティセミナーの一定回数の受講 |
認証に向けた審査の流れ
医療機関には厚生労働省ガイドライン、情報処理事業者には経済産業省/総務省ガイドラインの要求事項を踏まえた観点より対応が行われているか 医療ISAC にて審査を行います。 審査は、「ガイドラインに基づく運用管理規程の整備が行われているか」、「規程に基づく運用管理状況についてPDCAサイクルの観点より監査を実施し、改善に向けた取組を行っているか」、および「ガイドラインに基づくシステム運用に取り組む態勢を有しているか」という点に基づき行います。
審査手続は以下のいずれかのケースに基づき実施することとなります。
(1) 医療ISAC の関与のもとで、運用管理規程の整備、または監査を行う場合
医療ISACに運用管理規程の整備や監査サービスをご依頼頂くケースが該当します。 この場合、審査対象となる規程、または監査への取組状況を 医療ISAC が常に把握可能なため、該当する取組の完了とともに、 医療ISAC がその取組状況への認証をあわせて付与します。なお、「医療ISAC態勢認証」は原則このケースに該当します。
(2) 医療ISAC へ運用管理規程または監査結果のレビューを依頼する場合
自組織内部で運用管理規程の整備、または監査を行い、その結果を 医療ISAC へ審査依頼するケースが該当します。 この場合、まずは 医療ISAC にて、運用管理規程、または監査の結果をレビューした上で、認証の条件を充足していれば、認証を付与します。
認証書の発行
医療ISAC による審査が完了し、認証条件を充足していると判断された場合、認証書を発行します。 認証は特定日時点のものとなります。一度、認証を取得した組織に対しても、当該組織において規程の見直しまたは監査が実施され、その結果を 医療ISAC にて審査し、条件を充足したと判断した場合は、過去の実績も反映した新たな証明書を発行します。
医療機関向けの証明書(イメージ)
認証組織の登録/掲載
医療ISAC認証の発行を受けた組織は、ガイドラインに基づく運用管理規程の整備、運用管理プロセスの改善に向けて監査を実施するPDCAサイクルの運用、セミナー参加を通してセキュリティリテラシーの継続的向上を図る等、医療情報を取り扱う上で求められるコンプライアンスへの取組が図られている優良な組織として 医療ISAC にて登録を行った上で、当サイト上で開示します。
現在、医療ISAC認証の発行を受けた医療ISAC認証 登録組織一覧はこちらをご参照ください。