ホーム
言語切替

ヘルプ情報

「言語切替」サービスについて

このホームページを、英語・中国語・韓国語へ機械的に自動翻訳します。以下の内容をご理解のうえ、ご利用いただきますようお願いします。

  • 1.
    翻訳対象はページ内に記載されている文字情報となります。画像等で表現する内容は翻訳されません。
  • 2.
    機械による自動翻訳のため、必ずしも正確な翻訳であるとは限りません。
  • 3.
    翻訳前の日本語ページに比べ、画面の表示に若干時間がかかる場合があります。
文字サイズの変更
標準
特大
  1. ホーム >
  2. 政策について >
  3. 審議会・研究会等 >
  4. 医政局が実施する検討会等 >
  5. 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ >
  6. 2021年12月17日 第8回健康・医療・介護情報利活用検討会医療等情報利活用WG議事録

2021年12月17日 第8回健康・医療・介護情報利活用検討会医療等情報利活用WG議事録

日時

令和3年12月17日(金)16:00~18:00

場所

WEB開催

出席者

構成員(五十音順、敬称略)
  • 秋山 祐治
  • 印南 一路
  • 宇佐美 伸治
  • 大山 永昭
  • 近藤 則子
  • 澤 智博  
  • 高倉 弘喜
  • 田宮 菜奈子
  • 利光 久美子
  • 松川 紀代
  • 三原 直樹
  • 森田 朗(座長)
  • 山本 隆一
  • 吉川 久美子 
  • 渡邊 大記
オブザーバー(五十音順、敬称略)
  • 笠松 信幸
  • 喜多 紘一
  • 色紙 義朗
  • 高野 博明
  • 高橋 肇
  • 堤 康博
  • 日原 知己

議題

  1. (1) 医療情報システムの安全管理に関するガイドライン改定について
  2. (2)重要インフラにおけるサイバー事案対応(内閣サイバーセキュリティセンター講演)
  3. (3)ランサムウェア被害の実態と執るべき対応(警察庁講演)

議事

議事内容
○田中医療情報技術推進室長 それでは、定刻になりましたので、ただいまより第8回健康・医療・介護等情報利活用検討会医療等情報利活用ワーキンググループを開催いたします。
皆様におかれましては、御多忙のところ御出席をいただきまして、ありがとうございます。前回のワーキングの開催から事務局に変更がございましたので、お知らせをいたします。私が医療情報技術推進室長の田中でございます。また、室長補佐は島井健一郎が着任をしております。
以後の議事進行につきましては、森田座長にお願いをいたします。
○森田座長 ありがとうございました。皆様、こんにちは。お久しぶりでございます。それでは早速ですが、議事に入りたいと思います。まず、議事(1)医療情報システムの安全管理に関するガイドライン改定について、事務局から説明をお願いいたします。よろしくお願いいたします。
○事務局より資料1-1について説明
○森田座長 御説明ありがとうございました。ただいま説明のございました議事(1)医療情報システムの安全管理に関するガイドライン改定について、御意見がおありになる方は御発言をいただきたいと思います。たくさんあるかもしれませんので、関連した御質問を幾つか受けてから、事務局に回答いただきたいと思います。それでは、いかがでしょうか。
○松川構成員 一般的な立場ということで参加させていただいておりますが、非常にデリケートな情報を扱うことだと思いますので、分かりにくいと不安ですとか、それが疑念を生じる場合もありますので、分かりやすい周知をお願いしたいと思います。
○高倉構成員 簡潔にということで、13ページにフォーカスさせていただきたいのですが、サイバー攻撃の対策について、バックアップを取ってくださいというのがあるのですけれども、このバックアップについてどこまで真面目にやるのかというのを、もう少し議論していただきたいと思います。具体的には、バックアップデータの物理的隔離ですね。災害とか火災とかを想定したときに、バックアップデータが同じ建屋にあったらそもそも意味がないので、それをどうするのか。そこまで求めるのか、もう少し決めていただきたいということ。
それから、ランサムウエアのことを書かれていますけれども、ランサムウエアで一番怖いのは、データが破壊されることでも、どこかへ暴露されることでもなくて、持ち出されたデータを元に次の第二波、第三波の攻撃が来ることに備えられるかですので、もし何らかのサイバー攻撃の被害を受けたときに、速やかに対策が取れるか。この間のアメリカのパイプラインだって、四、五日止めざるを得なかったという現実がありますので、医療機関が四、五日止まるわけにはいきませんから、そうするとランサムウエアの攻撃があったとしても、どうすればいいのか。医療をどう続けるのかという観点からも議論をいただきたいと思います。
○喜多オブザーバー 全体の説明の中で、B項は非常に難しいというか、複雑で分かりにくいのですけれども、注意していただきたいのは、B項が複雑なので、簡略化するということで別冊に持っていくという大きな流れを説明いただいたのですけれども、B項の中ではこういうリスクがあるので、C項としてこういうことを対策としてやらなくてはいけないというような説明の流れになっていますので、B項のどんな脅威、脆弱性があってリスクとなるかの説明は省かないように注意をしていただきたいというのが1点目です。
それから、2つ目ですけれども、HPKIが普及していないので、ほかのものを入れて資格を確認して、併せて使っていこうというようなお考えも今回、詳しく提案されているところですけれども、HPKIをもう少し普及させるように、カードの配布策と合わせて、例えばHPKIの認証機能を使って、本ガイドラインが期限を設けて必須としている二要素認証を実施するカードとして推奨するとか、あとはFHIRのときの認証の認可の機関に対して、HPKIを使って資格認証をさせ、資格に応じた認証・認可を実現するとか、HPKIの利用拡大も推奨として書いていただければと思います。
それからあと、ISMSの説明が少しありましたけれども、経済産業省・総務省による「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に記載されているように、ISMSは体制を評価するもので、システムそのものの安全性を直接評価する制度ではなく個々のシステムの安全性は別途評価が必要ですので、そういう両方の観点があることも明確になるように書いていただければと思います。
○三原構成員 12ページのガイドライン全体の見直しのところですが、技術的な記載とか措置に関して別冊を作成されるということで、非常にいいことだと考えておりますが、ぜひユースケースあるいはチャンピオン事例みたいなものを数多く集めていただいて、こういうユースケースだとガイドラインのこの項目が守れている、あるいはこういうところが足りないというような客観的な評価なども一緒に載せていただけると、ユーザー側としては非常にありがたいと考えています。ぜひ御検討いただければと思います。
○渡邊構成員 電子署名についてお聞かせいただきたいのですけれども、資料上、電子署名の対応として6ページ、17ページ等のスライドに書かれているクラウド型電子署名という部分に関して、具体的に何を指すのか明確にしておいていただきたいと思います。併せて、薬局で処方箋を重視するというのは、中にも書かれていましたけれども、リアルタイムに電子署名の検証ができないと、応じる側にとっては、後で資格を欠いていることがもし発覚したとしても、その時点で薬が交付されてしまっているという現状がありますので、HPKIにあるリアルタイムの電子書面での検証という部分に関しては、改めてしっかりと押さえておいていただきたいと思いますので、よろしくお願いを申し上げます。
○森田座長 ありがとうございました。いろいろな論点について御質問が出ましたけれども、それでは事務局から、ここまでのところで御回答をお願いできますか。
○田中医療情報技術推進室長 御意見ありがとうございます。まず、分かりやすい記載をと、別冊の作成ということがございました。申し上げているとおり、できる限り分かりやすい記載、そして一部、ありましたが、必要な部分については落とすことなく別冊を作ることを、しっかりと取り組みたいと思っています。また、ユースケースにつきましては、このガイドラインに書くのがよいのか、別冊のような形でお示しできるのかというところは、少し検討をさせていただきたいと思いますが、実例を踏まえることは非常に現場の方たちにとっては有用だと思いますので、御指摘を踏まえてどのような形で対応が可能かを検討させていただきます。
あとは、バックアップについてどこまで書き込むかについては、作業班の中で御指摘を踏まえてしっかりと議論をさせていただきたいと思います。災害を想定したバックアップも同じ建屋に置かないとか、どこまで書き込むかということは、実情を踏まえて作業班の中でしっかり議論をさせていただきます。
それから最後、電子署名の点で御指摘をいただきましたが、クラウド型の電子署名について、具体的な内容、こういう形をということまで、まだ実は詳細の議論は作業班においてしておりませんが、今HPKIの中でもセカンダリーキーを使って電子署名ができるような仕組みは以前から御議論をいただいているものと私どもは承知をしておりまして、こういった実際に御議論いただいている内容を踏まえて、クラウド型の電子署名が可能かどうかを、技術的な内容も含めて検討させていただきたいと思います。
また、リアルタイムに資格が確認できるというところは、どこまでリアルタイムにこだわるかは、現行の規制改革の会議の中では、現行、毎回確認をしていないだろうというような、実は厳しい御指摘もいただいているところでございまして、HPKIの仕組みであれば問題がないという整理が現在ではされているところでございますが、そこをどこまで担保するかということは、まさに規制改革からも言われている内容を、しっかりと私どもでどこまで認めていくかは議論をさせていただいて、もちろん作業班の中にもこの構成員も入っておりますので、日薬の薬剤師側の立場からどのようなものを求められるかについては、しっかりと議論を進めていきたいと思っております。
あと、体制の評価のところですね。そこについても御指摘を踏まえて、2つある、体制の評価とシステムの評価というようなお話があったかとございますが、そちらについても検討はさせていただきたいと思っております。
それから、ランサムウエアで持ち出されたデータのところは、次の攻撃に備えられるかと。もし攻撃に遭った場合に、速やかに診療を始められる、再開できるための仕組みというのは、これを医療機関側でどこまで担保できるかということはありますし、厚労省としてそういった場合にどのようなことができるかということは、併せて検討が必要だという認識でございます。それを安全管理ガイドラインに書くかどうかは、また別途検討が必要だと思いますが、私どもでも今回、非常に長時間にわたって外来診療が止まったという事例が報道などでございますので、そうしたことがないように、患者様や国民の皆様にできるだけ影響が生じないような体制というのを医療機関側だけに求めるのではなく、国としてもどのような体制が可能かということは、併せて検討をさせていただきたいと思います。
○森田座長 回答ありがとうございました。ただいま御回答をいただきましたけれども、御質問に対して十分な回答でしょうか。よろしいですか。
○大山構成員 質問の前に、今の事務局からの説明、1点だけ気になるので、申し上げたいことがあります。規制改革委員会の話があって、毎回、HPKIについて確認していないではないかというような、そう取れる発言がありましたが、これはPKIの署名に関する話と資格に関する話、どちらのことを言っているかで大きな違いになります。資格は、発行しているところが責任を持っているわけですし、それから署名は、署名法で決まっているプロセスを経ていないということを言っているわけで、言い方を換えれば、法律を守らずにやっているということを、あえて言っているわけですよね。それを容認するような話はそもそも主張するほうがおかしいのではないかということで、これについては、私は訂正すべきだと思います。これは先に申し上げます。
○田中医療情報技術推進室長 HPKIについて、リアルタイムで出来ていないというわけではなくて、今のものは、紙の電子処方箋について、なかなかリアルタイムで本当に確認を現場でしているのかというようなことを規制改革の中では言われていますと。一方で、それに対して我々は、HPKIであればきちんと担保ができていると思っていますが、それだけではHPKIが普及していない中で、なかなか今後電子処方箋を含めて普及が難しいのではないかという問題意識が規制改革側にあるという認識です。HPKIに疑義があったというわけではなくて、HPKIの普及に問題がある中で、ほかの方法を検討するべきというのが規制改革から言われていることでございます。その考え方の基になるのが、現行の紙の記名プラス三文判みたいなものが、どこまで厳格に行われているものなのかというようなところが、問題意識の発端としてあるところを説明したものになっております。
○大山構成員 分かりますが、この議論ではないかもしれませんけれども、それについては、なかなかいろいろな意見が出てくるのではないでしょうかね。
○田中医療情報技術推進室長 承知をしています。
○大山構成員 私も専門ではないので、ここから先は関係者の方にお任せしたいとは思いますけれども、ただ、国民としてはそれなりの対応をしていただいているのだろうと期待をしているところであります。
長くなるといけないので、簡単に質問を1点だけします。先ほど、個人情報の第三者提供に関して話があって、このことを避けるために共同利用型というのを最近あるのでといったような、私の理解が間違っていなければ、そういうふうに私自身理解したのですが、共同利用型と今の形とで、そもそも機微情報である、要配慮情報である医療情報の管理責任、これの責任分界から見たときに何が違うのかというのを、説明していただきたいと思います。今日もし無理であれば、しっかりこれから議論が必要だと思いますが、言うまでもなく機微情報である、要配慮情報である医療情報は、管理者がいない状態でどこかに放置されているということはあってはならないはずであります。この観点から見て、共同利用にすると責任が誰かに責任を集中するのかを含めて、言い方を換えると、患者から見れば、そこに関係している人が誰でもアクセスできるようになってしまうという言い方になるのか、ここを丁寧に説明する必要があると思いますので、意見として申し上げておきます。しっかりと議論していただきたいということです。
○森田座長 ありがとうございました。後半の部分はご意見ということですね。
○田中医療情報技術推進室長 承知をいたしました。しっかりと議論を進めてまいります。
○宇佐美構成員 今ずっと皆様方から御指摘のありました電子署名、HPKIについてです。私どもも再三申し上げておりまして、当団体にはまだ組織としての認証局がございません。MEDISに委託して発行することが可能であることは重々認識しておりますが、現在HPKI、特に電子処方箋で、歯科医並びに薬剤師と、当然HPKIは必要なのであろうということは重々、話も分かります。これからHPKI、アナログで必要だということは本当にその形でいけるのか。また電子処方箋では、セカンドキーというもの、HPKIカードがないときにはどうするのだという案までワーキングで出ていますので、ぜひHPKIカードがない方法を取り入れたという表現で言っていただければと思います。ほかに影響がございますので、先ほど室長からお答えいただいた、今の質問に対応するお答えも、その辺を踏まえていただいていることは重々分かっておりますので、よろしくお願いいたします。
○田中医療情報技術推進室長 御指摘ありがとうございます。規制改革の中では、電子処方箋をどのように広げるか、それも現場の負荷なくというようなことが大前提としてございまして、今まさに御指摘のあったセカンドキーの活用などは、その1つの回答だと私どもも思っております。一方で、それ以外の方法も検討するということを求められているので、まずは検討をしっかりとしていくということだと思っています。明確な現場の負担増にならないような仕組みというのは、私どももお示しをする必要があると思っていますので、実際に実現可能なところを落としどころとして、この作業班及び本ワーキングでガイドラインの改訂案をお示しいただければと思っているところでございます。
○宇佐美構成員 ありがとうございます。もう一言申し上げると、歯科医療機関のイメージを申し上げますと、日に20人、30人、40人と患者さんを診てはパソコンに向かうという作業は現実に行うわけで、その中でHPKIカードを毎回アナログで使っていくというのが実に非効率であるということを、少しイメージとして持っていただければと。顔認証もですけれども、そういうことが可能であればなおさらいいのだろうということで、我々はイメージとして持っていますので、ぜひ新たな手法を検討いただければと思います。お願いします。
○渡邊構成員 先ほどの回答の御発言の中で、現行の紙の運用の中に対する医師の記名、三文判に対する懸念という部分があったかと思うのですけれども、現状は懸念があっても、それを電子化することでクリアできるという体制を、しっかりと構築していくということを考えてほしいと思います。現行がこうだから、HPKIでなくてもいいのではないかという話ではないのではないかと思いますので、よろしくお願いしたいと思います。
○田中医療情報技術推進室長 厚労省も正直申し上げて同じ考えですが、なかなか繰り返しの御説明をしていますが、規制改革会議の立場としては、そこのところについては現場の今の運用を基に考えるべきだというところが、なかなか譲っていただけていないのが現状です。御指摘を踏まえて、私どもも事務局としっかりと議論をしたいと思います。
○山本構成員 質問ではないのですけれども、作業班の班長をしていますので、若干、事務局の説明を補足したいと思います。電子署名に関していうと、とにかく電子署名がきちんと普及して、電子処方箋がきちんと動くことが一番の目的ですので、HPKIを使おうと、それ以外を使おうと、いずれにしても電子署名をするというのは結構大変なことなので、それをどれだけ使いやすいものにするかということは、論点だと思っています。それを積極的に検討していきたいと思っていますし、その1つとして、このドキュメントではクラウド署名と書いていますけれども、経産省等でリモート署名という名前で検討されているように、その場でICカードを使って署名するのではなくて、何らかの方法できちんと本人を認証することで、セカンドキーを使って署名をします。そうすることによってICカードがなくても署名ができますし、ICカードは何万回か使うとICカード本体は壊れますので、それらへの対策にもなるという意味で、本当に利便性を上げるということが1つです。
それと、現在行われているような、記名と三文判といった判子を押すという運用に比べると、電子署名のほうがより厳密になりますし、よりリアルタイムになりますので、現在もたまに起こっている間違いが起こらなくなるという意味では、かなり優れた方法だと思いますので、それをできるだけ負荷をかけないで進めていくということを検討したいと思います。
それから、共同利用の話ですけれども、当然ながら共同利用にするのと、第三者提供にするのでは責任分界が変わってきますけれども、現実の医療の世界では、今例えば診療所と病院が本当に共同で診療されている、あるいは薬剤師さんと診療医師の間で、共同で患者さんのお世話をしているということが結構ございますし、介護との関係もそうで、そういった場合は共同利用型というのを否定することはできない。そういうシチュエーションも当然ながらあり得ると。そのときに仮名加工情報をどう扱うのかというのも、これは1つ間違えると、先ほどご発言があったように、誰でも情報にアクセスできてしまうみたいに誤解を受けてはいけませんし、逆にいうと、システムの設定によってはそうなってしまうような恐れもありますので、これからの議論ではその辺りに関してしっかりとリマークをした上で考え方を述べていきたいと思っています。クラウド署名という言葉が少しあいまいですけれども、リモート署名としていわれている、最近はテレワークについても、印鑑を押すための出勤はいかがなものかといった議論があって、それなりにほかの分野でもしっかり検討されてきていますので、そういうことも含めて、当然ながら医療ですから厳密性はある程度上げないといけないのですけれども、それを含めて検討していきたいと思っていますので、よろしくお願いをいたします。
私からの補足は以上です。
○森田座長 ありがとうございました。今の点はよろしいですね。それでは、次の議事に進めさせていただきたいと思います。
次は議事(2)重要インフラにおけるサイバー事案対応、御講演を内閣官房内閣サイバーセキュリティセンター重要インフラグループの結城参事官にお願いしたいと思います。結城さん、よろしくお願いいたします。
○結城参事官よりご講演
○森田座長 ありがとうございました。いろいろ質問もあろうかと思いますけれども、後でまとめて時間を取っておりますので、そのときお願いいたします。
それでは、続きまして、議事(3)ですけれども、ランサムウエア被害の実態と執るべき対応について。警察庁生活安全局情報技術犯罪対策課の官民連携推進室、齋藤室長から御説明をお願いいたします。よろしくお願いします。
○齋藤官民連携推進室長よりご講演
○森田座長 齋藤室長、どうもありがとうございました。それでは、以上で本日の主要な議題は終了でございますけれども、ただいまの2つの御講演につきまして、また何かその他のことでも結構ですので、御発言はございますか。
○三原構成員 NISCの方々にも、いつもお世話になっておりまして、ありがとうございます。自施設のことで恐縮ですが、サイバーセキュリティ基本法等を背景として、政府統一基準あるいは各種ガイドラインで毎年監査をいただきまして、指導いただいて、かつ翌年度にはフォローもいただいていまして、非常に参考になっております。活動としては非常にありがたく、我々としてもやりやすい状況ですが、一方で、経営層にこのことが必要だという話をしたときに、いつも言われてしまうのが費用をどうするのだというところがありまして、大切なことだということは本当に分かっているので、投資しないといけないというところはもちろんですが、若干、ネガティブとまでは言わないのですけれども、後ろ向きのモチベーションから始まってしまうのが、実は現状です。厚労省にお願いなのかもしれないのですが、ポジティブなモチベーションが発生するようなインセンティブなのか施策なのか、そういうところも御検討いただけたら非常にありがたいかと。多分、施策として進めていただくと国全体としてもセキュリティが上がっていくと思いますし、本当に現場として苦労している者としてはありがたいと感じております。お願い事になるにかもしれませんが、よろしくお願いいたします。
○結城参事官 御質問ありがとうございます。まさに経営層に対しての訴求というものが、どうしても今まで弱かったと思います。今までは経営層にサイバーセキュリティを理解してもらうことを前提とした傾向が見られましたが、スライドの例えば4ページにあるとおり、現在では現場だけでは守り切れずに、組織全体で対応しないと組織の存在自体が今危うくなるような脅威にさらされている状況になっています。例えば、大手重要インフラ事業者の長期にわたる組織統治の問題点から、サービス支障が頻発するなど、トップマネジメントの重要性が改めて重要インフラサービスを提供する際のサイバーセキュリティとして重要であるとの事例が明らかになってきていますし、もう1件の委託先のランサムウエア感染事案で、巨額な特別損失を計上したと公表しています。
従来は、個人情報の漏えいに対して、1件500円のチケットで済ませることがみられました。個人情報が漏えいすれば、500円のチケットを配布して、記者会見すればよいといった相場観があったかもしれません。しかし、時代は変わりまして、そのような対応では、社会で存在することが困難な状況となってきたのではないでしょうか。経営層は必ずしもサイバーセキュリティを熟知する必要はないのかもしれませんが、サイバーリスクを知ってもらい、経営にこれを活かしていただくということを訴求するようなことを、今の第4次行動計画の改定に反映させました。日本医師会の長島委員や厚労省さんとともに検討を進めております。パブリックコメントをぜひご覧いただければと思います。私たちは強烈なプロモーション策をサイバーセキュリティ基本法に基づいて展開しようと思っているのですが、ぜひ後押しもお願いしたいし、もっといい書きぶりとかそういうものがあれば、そこに入れ込みたいと思います。是非、一緒に進んでいきたいと思います。よろしく御協力をお願いいたします。
○田中医療情報技術推進室長 厚生労働省でございます。御指摘ありがとうございます。費用の話はどこにいっても出る話です。今まさに我々だけでお答えをするのは難しいと思っていますが、一方で、サイバーセキュリティだけではなくて、これだけ医療機関の電子化が進む中で、医療機関において対応しなければならないことをしっかりと明示して、そこにインセンティブを考えていかないと、実際には現場で対応してもらえないということは厚労省もよく分かっています。それを具体的にどういう形で進めるかというのはいろいろな局とも相談をして、私どもでお示しできる案をしっかりと運用をしていきたいと思っています。なかなか今まさにここですっと回答できないところはお詫び申し上げたいと思いますが、御指摘については真摯に受け止め、考えてまいります。
○澤構成員 コメントとしてお願いいたします。本日様々な御発表をいただきまして、その中の1つのテーマが分かりやすい、というのがあったかと思います。誰も知らない状態から、みんなが知っている、分かりやすい手法を使って、みんなが知っているということはすごく重要なことかと思うのですけれども、そこから先、もう1つ考えなければいけないことがあるかと思っています。物事を整理して、視点を変えて、理解を促すという「分かりやすい」と、内容を省略・簡略化して分かったつもりになってしまって「分かりやすい」というのは、全く別次元かと。
医療情報システム、電子カルテは10年前ですと、新規考案したり試行錯誤したりというフェーズがあったので、非常によく理解しなければいけなかったのですけれども、最近はいろいろ確立された手順に従うだけで管理できてしまいますので、そういう点で大きい病院であったとしても、情報の専門家ではなくて、例えば一般事務の方が管理している場合というのも結構増えてきているのですね。そのほうが多分、コストが安く管理できるので。一方で、今回のランサムウエアの話のように、日々ネット上で発生している事案はどんどん複雑になってきますので、分かった後に、次に今度は実装するときにはギャップがすごく大きくなっているはずですから、実装とのギャップを今後どうしなければいけないかというのは考えなければいけないかと思いながら、本日の話を聞かせていただいておりました。
○結城参事官 ありがとうございます。セキュリティバイデザインという言葉はよく使われているのですけれども、これが全然実装されていないのだと思います。これはシステムの企画・設計段階からセキュリティを踏まえ、企画・設計し、開発、運用、廃棄という、システムのライフサイクル全体を見通さないと、実はセキュリティバイデザインが意図する実装というのはできないというところもあるかと思います。今回の行動計画の改定には適切に実装するためのガイドラインはもちろん大事なのだけれども、グッドプラクティスの例とか、どうやったらうまくいくのかという例も示そうということにしておりますので、そこを御期待いただければと思っております。
私は部外者で評論家的に言って申し訳ないのですが、基準・認証の専門家としての意見は、今回の安全管理のガイドラインを見たときに、プロセスマップとかモデルが見えにくいと感じています。本安全ガイドラインが扱う範囲、どのようなプロセスになっていて、どういう外とのやり取りになっていて、どこのプロセスのことを言っているのかなどが、把握しづらいように感じます。プロセスマップを作成するなど業務の見える化をして、今言及していることはこの部分を言っているのだということを相互に理解できるようにしてはどうでしょうか。
別の分野で業務を行っていた際、利害関係者とともにプロセスマップを描く作業を行いましたが、これは大変な作業でしたが、利害関係者と一緒に作成したことによって相互理解ができて、その後、推進力になった経験があります。本件も、皆さんで図化をするというのも1つの理解する手法だと思っております。実装というのは、私もずっと長年やってきましたけれども、少しみんなで苦労しないとできないところかと思いますので、よろしくお願いしたいと思います。
○高倉構成員 先ほどから経営層に伝わらない話が出ているのですが、一方で分かっている経営層に話を聞くと、分からないふりをしたほうが一番得なのだと開き直っている方もおられます。要は、僕は分からないからできないのだと言って、逃げ切ろうとする経営層がいます。なので、そういう人たちに逃げられないよという話をどう持っていくかというのも、どこかで詰めていかなければいけないと思っています。
○結城参事官 重要インフラ専門調査会の審議において、有識者の先生から、2006年に企業統治の観点から改正された会社法、それは上場企業に適用されるものですが、この考え方は、非上場企業であっても情報の不適切な対応が問題になるとの指摘がありました。今回の重要インフラ行動計画改定は、サイバーセキュリティ基本法に基づくもので、トップマネジメントがどうあるべきなのかということを明文化し、指針などでの規定化、実施状況の適切な評価方法は、どうあるべきかなどを検討していくこととしています。しかしながら、行動計画に、魂を入れるのは関係者の皆さんひとりひとりの参画と思いますので、ぜひ御協力のほど、よろしくお願いいたします。
○森田座長 それでは、発言を希望される方はいらっしゃいませんので、この辺りとさせていただきたいと思います。
それでは、議事につきまして、事務局にお返しいたしますので、よろしくお願いいたします。
○田中医療情報技術推進室長 事務局でございます。本日は活発な御議論をいただきまして、ありがとうございました。このガイドラインの改定につきましては、本日いただいた御意見も踏まえて進めてまいりますので、どうぞ引き続きよろしくお願いいたします。





 

PDFファイルを見るためには、Adobe Readerというソフトが必要です。Adobe Readerは無料で配布されていますので、こちらからダウンロードしてください。

関連リンク

携帯ホームページ