nodocaセキュリティガイドライン

 

nodocaセキュリティガイドライン

アイリス株式会社

 
アイリス株式会社(以下、「当社」といいます)は、当社が提供する感染症診断支援システム「nodoca」(以下、「nodoca」といいます)のセキュリティに関し、以下のとおり、ガイドラインを策定し、これを遵守して参ります。

nodocaのサイバーセキュリティ

  • 概要
    当社が提供する医療機器やサービス及び医療機関のネットワークやPCにはソフトウェア等が含まれており、サイバーセキュリティ上のリスクがあります。当社が提供するソフトウェア機能によっては、個人情報保護法又はその他の関連法令やガイドラインの対象となるデータや保護すべき機密データ等が含まれる場合があります。ここでは、nodocaの製品構成要素である、nodocaカメラやnodocaクラウドの提供基盤であるAWSクラウド、医療機関(院内)ネットワーク/PCのサイバーセキュリティについて説明します。

    nodocaの製品構成要素であるソフトウェア(以下、「nodocaソフトウェア」といいます)は、医療機器に組み込むソフトウェアを含むヘルスソフトウェアのためのプロセス規格であるJIS T 81001-5-1:2023(以下、JIS T 81001-5-1)の箇条4~箇条9に規定するアクティビティの全てには従うことなく開発されたトランジションヘルスソフトウェアです。

    nodocaソフトウェア においては、JIS T 81001-5-1の箇条4に規定するアクティビティを実施し、また、箇条5.2、5.7 及び7.1~7.3 の要求事項とのギャップ分析を行い、ギャップ解消アクティビティを実行するとともに、箇条6~箇条9に適合させるための移行計画を確立することにより、JIS T 81001-5-1の附属書Fのトランジションヘルスソフトウェアに対するアクティビティへの適合宣言が行われています。

  • お問い合わせ先
    サイバーセキュリティ侵害の疑いが生じた場合や、サイバーセキュリティに関連する質問がある場合は、以下へお問い合わせください。

    サイバーセキュリティに関する情報請求先
    電話番号:0120-380-331(アイリスコミュニケーションセンター)

1 nodocaのサイバーセキュリティ環境

1-1. プライバシーポリシー

  • 「nodocaプライバシーポリシー」所定の安全管理措置に基づき、情報資産を脅威から保護します。なお、当社の個人データの取扱方法は、「個人情報の保護に関する法律についてのガイドライン(通則編)」の「10-2 個人データの取扱いに係る規律の整備」 に則って規定しています。

  https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/

1-2. アクセス管理

  • 当社では、従業員の入退社・異動等に応じたアカウントの管理、運用を徹底を厳格に行っています。また、ユーザーアカウントの共有使用を禁止し、デフォルトパスワード削除などのセキュリティ対策も実施しています。

 

2 nodocaのセキュリティコントロール

2-1. セキュリティ基準

  • 医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律(医薬品医療機器等法)、3省2ガイドライン(厚生労働省が公表する「医療情報システムの安全管理に関するガイドライン」及び経済産業省・総務省が公表する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」)、AWSが提唱するWell-Architected フレームワーク、独立行政法人情報処理推進機構(IPA)の安全なウェブサイトの作り方を参考にし実装しています。

2-2. 責任分解点
  • 当社の責任範囲は、サービスレベル合意書(SLA)の2 章で規定したとおり、当社が開発するソフトウェア及びAWSクラウドの責任共有モデルにおけるサービス利用者の領域に限られ、医療機関ネットワーク/PCの構成要素はその範囲対象外とします。

  https://aws.amazon.com/jp/compliance/shared-responsibility-model/

  • 医療機関(院内)ネットワーク/PCのセキュリティについては、前掲「医療情報システムの安全管理に関するガイドライン」などに基づいて、適切な対策を実施することを推奨いたします。

  https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html


2-3. リスク軽減

  • 主にネットワーク境界セキュリティ(ネットワーク制御機能/認証機能)、ホストセキュリティ(パッチ/脆弱性管理)、セキュリティ監視(侵入検知/ログ取得/イベント監視)等による多層防御で、サイバーセキュリティ保護を実現します。
  • 多層防御が対応している主な脅威は、なりすまし(偽装)、データの改ざん、情報の暴露(漏洩)、サービス不能(DoS)、権限の昇格、不正アクセス、マルウェア感染、不正改造(HW/SW)等とします。
  • nodocaのセキュリティ残留リスクについては、多層防御等により適切にリスクコントロールを行い、受容可能な状態にします。
  • nodocaの既知のセキュリティリスクに対する軽減策は、脆弱性の定期スキャンに加えて第三者セキュリティ機関による定期的な脆弱性診断の実施、脆弱性の修正対応やソフトウェアを最新状態に保つ等の対策を講じます。


2-4. アクセス管理

  • nodocaの利用開始及び終了に合わせたユーザー作成/削除等のID管理の実施、ユーザー向けの認証及び安全なトークンの実装、特権管理者における2要素認証(2FA)の有効化を行います。また、nodocaクラウドのアクセスはユーザーとパスワードの認証を必要とし、TLSによって通信を暗号化します。
  • nodocaに必要なソフトウェアのインストール、運用及び保守に要求されるセキュリティの権限は、最小権限の原則に基づき、システムの機能やユーザー役割、サービスに応じて必要な権限を付与します。


2-5. ソフトウェア管理、脆弱性管理

  • nodocaのセキュリティ要求対象となるソフトウェアバージョンの特定や脆弱性の修正や更新は、SBOM(ソフトウェア部品表)等で管理し、リスク分析・評価後に対策を講じます。
  • OS/フレームワーク/ミドルウェア等のEOL情報を収集し、適切に運用管理します。
  • 当社よりnodocaカメラのソフトウェア更新プログラムを提供することがあります。その場合、対象機器に該当ソフトウェアの適用を求めることがあります。


2-6. クラウドセキュリティとデータ保護

  • AWSクラウドへの通信は暗号化(TLS1.2以上)を実施します。
  • AWSクラウドへ格納するデータ及びデータベースは記憶領域の暗号化を実施します。
  • AWSクラウドの仮想プライベートクラウドやファイアウォールなどによるネットワーク制御を実施します。
  • AWSクラウドのWebアプリケーションファイアウォールを使用して、Webアプリケーションへの高度な攻撃などを防御します。
  • AWSクラウドへの不正アクセスや脅威を検出するための機能を有効化して保護します。
  • AWSクラウドのコマンドラインや各種操作ログなども含んだ監査ログを保全して定期的にレビューを実施します。
  • AWSクラウドのバックアップ機能などによりデータを保護します。


2-7. インシデントレスポンス

  • セキュリティインシデントに対応する体制を整え、nodocaを提供する環境を迅速かつ適切に保護します。

 

以上

2024年3月27日制定



                                
TOPページに戻る