第七話 外部保存の注意点とは?[Page 3/4]
今回のキーワード:安全性、中立性、第三者認証、PDCAサイクル、ISMS、VNA
| イチロー: | 「すなわち、厚労省の安全管理ガイドラインを満たした運用をしてもらうってことですよね?」 |
||||||
| 志位: | 「その通り。我々は医療機関の監督官庁である厚労省のガイドラインに従って運用しているけど、事業者側は彼らの監督官庁である経産省が、厚労省のガイドラインに対応した形で事業者向けのガイドラインを出しているんだ。これを、『医療情報を受託管理する情報処理事業者向けガイドライン』と言うんだ。さらに、ネットワークを介してデータをやり取りすることになるから、通信事業の監督官庁である総務省からも『ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン』などのガイドラインを出している。外部保存サービスを提供する事業者は、これら3省から出されている4つのガイドラインをきちんと満たした仕組みや運用を提供しなくてはならないんだ。」
| ||||||
|
 |
| 志位: | 「うーん、そう思いたいけど、やはり第三者認証は欲しいところだね。」
|
| くらら: | 「だいさんしゃにんしょう?」
|
| 志位: | 「うん、我々のような貴重なデータを管理する立場としては、サイバーセキュリティ対策は最も重要な仕事のひとつなんだ。セキュリティ対策というのは、ある時に何か対策をすれば、あとはほったらかしでいい、というものではないよね。常に状況を注視し、必要なアップデートを行い、運用も常に見直しながら改善していくことが求められているんだ。でも、仕事はいっぱいあって忙しいから、誰にもチェックされないと、ついつい後回しにしてしまうことになる。でも、問題が起きてから後悔しても遅いんだ。データ漏えいや滅失などが起きれば、病院として大きく信用を失いかねない。だから、データを預かってもらう事業者にも、定期的に第三者によるチェックを受けてもらい、PDCAサイクルを回しながら常に改善を行っているところが望ましいね。」
|
| くらら: | 「ぴーでぃーしーえー?」
|
| イチロー: | 「Plan-Do-Check-Actの頭文字をとった言葉だよ。計画を立てて(Plan)、その計画に沿って実施して(Do)、実施したことをチェックして(Check)、問題点を見つけたら改善方法を次の計画に反映させる(Act)。これをサイクルとして定期的に回していくことで、継続的な改善が可能になるんだ。」
|
| |
| 志位: | 「そう、それこそがISMSの基本だね。」
|
| くらら: | 「あいえすえむえす?」
|
|
|
| くらら: | 「なるほど!継続的に安全性を高めているサービスかどうかを確かめたくても、私たちが企業やデータセンターを訪問して審査をするのは難しいですし、大変ですから、私たちはその事業者がISO27001の認証を取得しているかどうかを確認すればいいんですね。」
|
| 志位: | 「そうだね。ただ、外部保存サービスとしての認証を取得しているかどうかは、気を付けるべきだね。」
|
| くらら: | 「どういうことでしょうか?」
|
ベンダーを選定する際に重要な中立性とは?
