-
- いいね!52
2016/12/21にこんなニュースがありました。
CBニュース
@CBnews_now
狙われる医療機関「サイバー攻撃に備えを」-厚労省検討会作業班がGL改定案 cabrain.net/news/article/n…
2016-12-21 21:09:01
Mitsuhiko Maruyama
@maruchan_MM
_φ(・_・=>狙われる医療機関「サイバー攻撃に備えを」-厚労省検討会作業班がGL改定案(医療介護CBニュース) - Yahoo!ニュース headlines.yahoo.co.jp/hl?a=20161221-… #Yahoo
2016-12-23 04:37:48「医療情報システムの安全管理に関するガイドライン」 (平成17年3月31日通達、平成19年3月30日改正、平成20年3月31日改正、平成21年3月31日改正、平成22年2月1日改正、平成25年10月10日改正、平成28年3月31日改正)を改正しようという話。
元は「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」(平成17年3月31日付 医政発第0331009号・薬食発第0331020号・保発第0331005号 各都道府県知事・各社会保険事務局長宛 厚生労働省医政局長・医薬食品局長・保険局長通知)の別添として規定された。
でも実は前からこんな話が。
くのいち (Kunoichi)℗
@kuno_ichi
最低限のガイドラインに「パスワードは定期的に変更し(最長でも2ヶ月以内)」って書かれてる。厚生労働省の文書。 医療情報システムの安全管理に関するガイドライン 第4.2版(平成25年10月) ow.ly/H8Yil #security
2015-01-12 10:53:27
motoyuki
@motoyuki
「パスワードの定期的な変更を求めない」という最近の常識が通用する業界はうらやましいなぁ。これが医療関係になると厚労省のガイドラインが「最低限のガイドライン」として「パスワードは定期的に変更し(最長でも2ヶ月以内)」となってるし : mhlw.go.jp/file/06-Seisak…
2015-08-19 11:32:27
yancya
@yancya
ほんとやめて -> "パスワードは定期的に変更し(最長でも 2 ヶ月以内)、極端に短い文字列を使用しないこと。" / “医療情報システムの安全管理に関するガイドライン 第 4.2 版 - 厚生労働省” htn.to/up6UHS
2016-08-10 17:56:37
とびうお
@flying_fish_man
パスワードの定期変更がセキュリティーを強化せず、むしろ危険になる可能性あると言われているけど、うちの電子カルテは定期的に変更するように言ってくる。調べてみるとMHLWガイドラインで「最低限の実施事項」に指定されていて加算が取れなくなるらしぃ。何だかなー
2016-12-01 22:24:35
とびうお
@flying_fish_man
(1)パスワードは定期的に変更し(最長でも 2 ヶ月以内)、極端に短い文字列を使用しないこと。英数字、記号を混在させた 8 文字以上の文字列が望ましい。(2) 類推しやすいパスワードを使用しないこと。 | 医療情報システム (続く) tl.gd/nn6u93
2016-12-01 22:35:07
とびうお
@flying_fish_man
定期変更+英数字混在させて8文字以上+再利用禁止にすると、どうしても類推しやすいパスワードになってしまってかえってセキュリティー低下する可能性があるという意見がある。2か月毎にパスワード変えて覚えてられないわー
2016-12-01 22:39:38[2017.3.19追記]
ここで言う監査とは、厚労省HPに3/15に追加されたっぽい以下のページで(後述)。
保険診療における指導・監査
と、ここでこの方が。
Hiromitsu Takagi
@HiromitsuTakagi
パスワードの件は指摘出てるかな。 cabrain.net/news/article/n… 「サイバー攻撃以外の項目で、委員から修正を求める意見が出たため、今後、各委員の意見を集約し、改定案を修正する。来年1月をめどに改定案のパブリックコメントを募集し、今年度中にガイドラインの改定版を…」
2016-12-24 15:06:49冒険開始。
ということで、まずどの検討会の話かを探すところから。
nilnil
@nilnil26
この件か。第4.4版案でも手付かずだなorz / 第30回 医療情報ネットワーク基盤検討会 審議会資料 |厚生労働省 mhlw.go.jp/stf/shingi2/00…
2016-12-24 16:03:58医療情報ネットワーク基盤検討会
- (H16.4.1意見募集)第8回(H16.5.26)~第23回(H21.11.2)(H22.2.2ガイドライン4.1版公表): 医政局担当
- 第24回(H24.2.20)~: 政策統括官付情報化担当参事官室担当
第30回(H28.12.21)
資料と提示された4.4版の案でも定期変更の部分には手が入っていない。
先のニュースには
とあるので、まだ確定ではないものの、気になる内容が。
nilnil
@nilnil26
.@nilnil26 想定リスクに「パスワードを定期的に変更せずに使用しているために、パスワードが推測される可能性が高くなっている」ってリスク対応手段を原因にして、「最低限のガイドライン」で「定期的に変更し(最長でも2ヶ月以内)」はねぇだろ。 pic.twitter.com/Vdqy3reLb3
2016-12-24 20:42:44
拡大
拡大
拡大
拡大
nilnil
@nilnil26
.@nilnil26 しかも想定リスクの直後に「このような対策を徹底することは一般に困難であると考えられ、その実現可能性の観点からは推奨されない」ので「(2要素認証)を採用することが望ましい」と言っているのに。
2016-12-24 20:45:17
nilnil
@nilnil26
.@nilnil26 「今後、認証に係る技術の端末への実装状況等を考慮し、できるだけ早期に対応することが求められる」が「認証技術の端末等への実装状況等を鑑み、本ガイドライン第4.4版の公表から約10年後を目途に「C.最低限のガイドライン」とすることを想定する」で定期変更求める?
2016-12-24 20:47:40