厚労省「医療情報システムの安全管理に関するガイドライン」に「パスワードは2ヶ月以内に定期的に変更」が加わった決定的瞬間!

仮まとめ……からの怒涛の追加。最初のGL改定のニュースから改定結果まで。
25

2016/12/21にこんなニュースがありました。

CBニュース @CBnews_now

狙われる医療機関「サイバー攻撃に備えを」-厚労省検討会作業班がGL改定案 cabrain.net/news/article/n…

2016-12-21 21:09:01
Mitsuhiko Maruyama @maruchan_MM

_φ(・_・=>狙われる医療機関「サイバー攻撃に備えを」-厚労省検討会作業班がGL改定案(医療介護CBニュース) - Yahoo!ニュース headlines.yahoo.co.jp/hl?a=20161221-… #Yahoo

2016-12-23 04:37:48

「医療情報システムの安全管理に関するガイドライン」 (平成17年3月31日通達、平成19年3月30日改正、平成20年3月31日改正、平成21年3月31日改正、平成22年2月1日改正、平成25年10月10日改正、平成28年3月31日改正)を改正しようという話。
元は「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」(平成17年3月31日付 医政発第0331009号・薬食発第0331020号・保発第0331005号 各都道府県知事・各社会保険事務局長宛 厚生労働省医政局長・医薬食品局長・保険局長通知)の別添として規定された。

でも実は前からこんな話が。

くのいち (Kunoichi)℗ @kuno_ichi

最低限のガイドラインに「パスワードは定期的に変更し(最長でも2ヶ月以内)」って書かれてる。厚生労働省の文書。 医療情報システムの安全管理に関するガイドライン 第4.2版(平成25年10月) ow.ly/H8Yil #security

2015-01-12 10:53:27
motoyuki @motoyuki

「パスワードの定期的な変更を求めない」という最近の常識が通用する業界はうらやましいなぁ。これが医療関係になると厚労省のガイドラインが「最低限のガイドライン」として「パスワードは定期的に変更し(最長でも2ヶ月以内)」となってるし : mhlw.go.jp/file/06-Seisak…

2015-08-19 11:32:27
yancya @yancya

ほんとやめて -> "パスワードは定期的に変更し(最長でも 2 ヶ月以内)、極端に短い文字列を使用しないこと。" / “医療情報システムの安全管理に関するガイドライン 第 4.2 版 - 厚生労働省” htn.to/up6UHS

2016-08-10 17:56:37
とびうお @flying_fish_man

パスワードの定期変更がセキュリティーを強化せず、むしろ危険になる可能性あると言われているけど、うちの電子カルテは定期的に変更するように言ってくる。調べてみるとMHLWガイドラインで「最低限の実施事項」に指定されていて加算が取れなくなるらしぃ。何だかなー

2016-12-01 22:24:35
とびうお @flying_fish_man

(1)パスワードは定期的に変更し(最長でも 2 ヶ月以内)、極端に短い文字列を使用しないこと。英数字、記号を混在させた 8 文字以上の文字列が望ましい。(2) 類推しやすいパスワードを使用しないこと。 | 医療情報システム (続く) tl.gd/nn6u93

2016-12-01 22:35:07
とびうお @flying_fish_man

定期変更+英数字混在させて8文字以上+再利用禁止にすると、どうしても類推しやすいパスワードになってしまってかえってセキュリティー低下する可能性があるという意見がある。2か月毎にパスワード変えて覚えてられないわー

2016-12-01 22:39:38
とびうお @flying_fish_man

でも病院は厚生労働省のガイドラインに従わないといけないし、病院に文句言っても仕方ない。従うしかないので従います。

2016-12-01 22:44:15
kumoha683 @kumoha683

加算が取れなくなることは無いけど、地方厚生局の監査で指摘されるらしいね。パスワードの定期変更。

2016-12-24 16:39:14

[2017.3.19追記]
ここで言う監査とは、厚労省HPに3/15に追加されたっぽい以下のページで(後述)。
保険診療における指導・監査

と、ここでこの方が。

Hiromitsu Takagi @HiromitsuTakagi

パスワードの件は指摘出てるかな。 cabrain.net/news/article/n… 「サイバー攻撃以外の項目で、委員から修正を求める意見が出たため、今後、各委員の意見を集約し、改定案を修正する。来年1月をめどに改定案のパブリックコメントを募集し、今年度中にガイドラインの改定版を…」

2016-12-24 15:06:49

冒険開始。

ということで、まずどの検討会の話かを探すところから。

nilnil @nilnil26

この件か。第4.4版案でも手付かずだなorz / 第30回 医療情報ネットワーク基盤検討会 審議会資料 |厚生労働省 mhlw.go.jp/stf/shingi2/00…

2016-12-24 16:03:58
医療情報ネットワーク基盤検討会

第30回(H28.12.21)

資料と提示された4.4版の案でも定期変更の部分には手が入っていない。

先のニュースには

nilnil @nilnil26

.@nilnil26 委員の意見が気になるが、来年1月にパブコメ予定か。

2016-12-24 16:13:52

とあるので、まだ確定ではないものの、気になる内容が。

nilnil @nilnil26

.@nilnil26 想定リスクに「パスワードを定期的に変更せずに使用しているために、パスワードが推測される可能性が高くなっている」ってリスク対応手段を原因にして、「最低限のガイドライン」で「定期的に変更し(最長でも2ヶ月以内)」はねぇだろpic.twitter.com/Vdqy3reLb3

2016-12-24 20:42:44
拡大
拡大
拡大
拡大
nilnil @nilnil26

.@nilnil26 しかも想定リスクの直後に「このような対策を徹底することは一般に困難であると考えられ、その実現可能性の観点からは推奨されない」ので「(2要素認証)を採用することが望ましい」と言っているのに。

2016-12-24 20:45:17
nilnil @nilnil26

.@nilnil26 「今後、認証に係る技術の端末への実装状況等を考慮し、できるだけ早期に対応することが求められる」「認証技術の端末等への実装状況等を鑑み、本ガイドライン第4.4版の公表から約10年後を目途に「C.最低限のガイドライン」とすることを想定する」定期変更求める?

2016-12-24 20:47:40
残りを読む(164)

コメント

kzt @kztiam 2016年12月27日
オカルトチューンめいた発想はどんな連中がするんだろうか...
1
bluemonkshood @bluemonkshood 2016年12月27日
そもそも、暗証番号なんて、看護師に「先生指示出してください。」医師「手が離せないから、替わりに打ち込んでくれ、IDは△△パスワードは○○」ヘタすると、パソコンに付箋つけて、貼ってある。セキュリティを強化するなら、指紋認証だと思う。
4
Ishida Brain Dam'd @tbs_i 2016年12月27日
今時これを新たに追加するとか、さすがお役所仕事だなあ。
4
@po_hp1 2016年12月27日
当社が導入してる某システム、半年ごとにパス変えないといけないのだが、割と最近まで管理責任者(俺様1人)しか書き換え権限ない上にCSVアップロードとかできなくて、その時期になると気が遠くなりそうになりながら1件1件書き換え&通知してたわ。
1
葉山一郎 @yzfr13 2016年12月27日
武田先生が降臨召される前にきれいに着地してほしい案件ですね。
0
Tsuyoshi CHO @tsuyoshi_cho 2017年1月7日
手袋してること多そう&手洗いで指紋薄いかもしれないので、光彩認証かなぁ?、すくなくともパスワードの変更がそんなに必要ならパスワードがソリューション(手垢が付いてるが)として合ってないんだろう。
1
弁護士 吉峯耕平(「カンママル」撲滅委員会) @kyoshimine 2017年1月31日
お疲れさまでした。 5月頃をめどに、大掛かりな改正があると思います。そのときに、さらっと、撤回されるといいですね。
0