厚労省「医療情報システムの安全管理に関するガイドライン」に「パスワードは2ヶ月以内に定期的に変更」が加わった決定的瞬間!

仮まとめ……からの怒涛の追加。最初のGL改定のニュースから改定結果まで。
32
前へ 1 2 ・・ 8 次へ

今回の版からタブレットとスマホの扱いが追加されたものの……

nilnil @nilnil26

.@nilnil26 「タブレットPC及びスマートフォン」でもご覧の通り。尚、参考→ nisc.go.jp/security-site/… pic.twitter.com/BFXM89HuEf

2016-12-24 21:00:05
拡大
拡大
拡大

尚、このガイドラインの後ろには表があるのだが、

nilnil @nilnil26

.@nilnil26 「付表1 一般管理における運用管理の実施項目例」、「付表2 電子保存における運用管理の実施項目例」にも記述有。 pic.twitter.com/6dp1PuIOmY

2016-12-24 21:04:21
拡大
拡大
拡大

パスワードの定期的変更について言及しているところは以上なのだが、

nilnil @nilnil26

.@nilnil26 あと気になるのは、このガイドラインは従来からの対策の蓄積、ISMSの取込(managementとcontrol区別せえよ)、法令や各種規制・標準の反映をしているが、外部文書参照で済ませている所もあり、定期変更をこのガイドラインから消しても参照先の記述は? pic.twitter.com/VIzLyffuyw

2016-12-24 21:13:03
拡大
拡大
nilnil @nilnil26

.@nilnil26 参照先文書も見直すとなると部局、省庁、業界の壁がでかい。更には国際標準も参照しているとなると……。逆に海外標準で「定期変更するな」と書かれたらどうするよ?

2016-12-24 21:31:17
SATO Schuko @SATOSchuko

役人さまはreferenceを大切にするから、NIST800-63に将来ぶち当たった時点で「定期変更云々」に何かが起きる(予言

2016-12-24 20:52:52

と、ここまで来たら気になるじゃないっすか。
ということで、

nilnil @nilnil26

.@nilnil26 いつからこんな記述に? と思って、久々に「「パスワードの定期的変更」の歴史」ネタを少し。

2016-12-25 21:20:30

初版を探してみる。

nilnil @nilnil26

.@nilnil26 6.5「B. 考え方」(1)の記述は、第12回医療情報ネットワーク基盤研究会(H16.12.22) mhlw.go.jp/shingi/2004/12… で示された第1版の案 mhlw.go.jp/shingi/2004/12… からあった(当時5章)。 pic.twitter.com/D8GpNq34LS

2016-12-25 21:21:31
拡大

第12回 医療情報ネットワーク基盤検討会(H16.12.22)

nilnil @nilnil26

.@nilnil26 だが「C. 最低限のガイドライン」には2ヶ月以内云々という文言はなく、議事録 mhlw.go.jp/shingi/2004/12… にもそんな話は出ていない。一方次の会議 mhlw.go.jp/shingi/2006/11… で示された正式版には入ってしまっている。 pic.twitter.com/uxlH4GvR9d

2016-12-25 21:23:06
拡大

第1版はH17.3.31公表。
第13回 医療情報ネットワーク基盤検討会(H18.11.8)の資料として提示されたものが現在でも見られる(PDF)。

そしてここがクライマックス!

nilnil @nilnil26

.@nilnil26 12回の会議でこの後パブコメにかけるというので、e-Govを検索すると、2005/3/1-14募集 search.e-gov.go.jp/servlet/Public…2005/4/7結果 search.e-gov.go.jp/servlet/Public… がまだ残っているのを発見。

2016-12-25 21:24:04
nilnil @nilnil26

.@nilnil26 募集時の1版案 search.e-gov.go.jp/servlet/PcmFil… にも6.5 Cの記述に2ヶ月以内云々は出ていないが、パブコメ結果 search.e-gov.go.jp/servlet/PcmFil… のコメントで修正受理されているのを発見! 要らんことしやがったのは誰だ?! pic.twitter.com/m3jW8TVYod

2016-12-25 21:25:23
拡大
拡大
拡大

誰だ?! こんな要らんこと吹き込んだ輩は?
2ヶ月ってどっから出てきた数字だよゴルァ!!

一方、これを受けた厚労省医政局も……

nilnil @nilnil26

.@nilnil26 しかも「パスワードの *有効期間* を最長でも2ヶ月以内」としているところ、事務局で「管理者と利用者のなすべき責任を区分した上で、修正」した結果、システム側での技術的対応(有効期間満了で強制変更促す等機能)の余地を残さず利用者の留意事項にしてしまった

2016-12-25 21:26:10

さらにもっと古い、第1版が統合したという古いガイドラインはというと……

nilnil @nilnil26

.@nilnil26 尚、改定履歴にある「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」 www1.mhlw.go.jp/houdou/1104/h0… には詳細なパスワード管理に関する記述はなかった。

2016-12-25 21:32:14
nilnil @nilnil26

.@nilnil26 同じく改訂履歴にある「医療・介護関連機関における個人情報保護のための情報システム運用管理ガイドライン」とやらは「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」 mhlw.go.jp/houdou/2004/12… のことらしいが記述無。

2016-12-25 21:40:16
前へ 1 2 ・・ 8 次へ