厚生労働省ロゴ
文字サイズ

業務要件・セキュリティ要件

実施事項【 Step1 計画 7. システム化方針決定】

POINT
  • 業務要件は、システム開発の初期の工程で定義するもので、「何を実現したいのか」という目的、対象とする業務、業務に関与する主体(人物、組織、情報システムなど)、業務で取り扱う情報、業務時に主体が用いる利用環境・手段を洗い出します。
  • 業務要件を俯瞰できる「システム概要図」を作成します。「どのような情報が、どこからどこに、どのような手段を介してやりとりされるのか」といった情報システムの構築に必要な「情報の流れ」を把握することができます。
  • 業務要件が明らかになっていないとシステムが肥大化し、構築費用や保守費用として跳ね返るだけでなく、ユーザのニーズに合致しないシステムが構築され、利用されない(使いにくい)システムとなることがありえます。
  • 業務要件をふまえ、構築する医療情報連携ネットワークに必要なセキュリティ対策とそのための要件を検討します。
業務要件・セキュリティ対策検討手順の全体像
出所:内閣サイバーセキュリティセンター「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」をもとに一部改編
業務要件についての検討事項
手順 検討事項
ステップ1
目的および業務の洗い出し
目的設定 システム構築の目的※1を定める
業務の洗い出し 目的に見合う業務※2を整理する
ステップ2
業務の特徴の整理
主体の洗い出し 業務に関与する主体(人物、組織、情報システムなど)※3を洗い出す
情報の洗い出し 主体ごとに業務概要を整理し、各業務にて取り扱う情報※4を整理する
システム化対象の決定 導入目的をふまえ、システム化対象とする業務を決定する ※利用者のニーズを考慮し、システム化対象業務の業務手順や関連する組織における責任、権限なども定義しておく
業務に用いる環境の決定 業務の実施にあたって各主体が用いる利用環境・手段を整理する(端末、ネットワークなど)
ステップ3
システム概要図の作成
システム対象業務、主体、取り扱う情報、情報の取扱いおよび交換に用いる環境、主体・情報システム・関連する他の情報システムの関係を記載し、情報の流れを把握する。また、情報セキュリティに関する脅威が発生しやすい箇所、すなわちリスクを検討すべき箇所を特定する
ステップ4
業務要件の詳細化
主体 人数規模、主体分類、集合特性(特定、不特定)、所属、アクセス頻度、利用時間、信頼性
情報 データ量、所有者、公開・提供範囲※4、漏えい時の影響度、不正改変時の影響度、取扱い(閲覧のみ、変更あり)、保存(サーバ内に保存(期限なし)、サーバ内に保存(期限あり)、保存しない)、完全性の事後検証(必要、不要)
利用環境・手段 伝達手段(Webブラウザ、専用ソフトウェア、媒体)、処理環境(サーバ、クライアントPC、携帯電話)、通信環境、外部からの遠隔利用の要否、信頼性(異常停止の許容時間)
出所:情報システムに係る政府調達におけるセキュリティ要件策定マニュアル (内閣サイバーセキュリティセンター)に基づいて作成
  • ※1 例えば慢性疾患(糖尿病など)患者の重症化予防
  • ※2 上記業務の場合、受診勧奨、治療、紹介、逆紹介、保健指導など
  • ※3 上記業務の場合、病院、診療所、保険者、専門医、かかりつけ医、各合併症の専門医、保健師、その他医療情報連携ネットワーク利用者、電子カルテやレセコンなどが該当します。
  • ※4 上記業務の場合、患者基本情報、専門医の治療内容、処方薬、検査結果、健診データなど
  • ※5 医療情報連携ネットワークの場合、参加機関が登録した利用者全て、国家資格保有者に限る、情報種別に応じて閲覧制限をするなど様々なパターンがあります。
セキュリティ要件についての検討事項
手順 検討事項
ステップ5
対策方針の検討
基本的なセキュリティ対策のための要件のうち、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」中の判断条件を参考に、業務要件をふまえて優先的に実施すべき対策を検討する

≪セキュリティ対策要件≫

  • 侵害対策:通信回線対策、不正プログラム対策、セキュリティホール対策
  • 不正監視・追跡:ログ管理、不正監視
  • アクセス・利用制限:主体認証、アカウント管理
  • データ保護:機密性・完全性の確保
  • 物理対策:情報搾取・侵入対策
  • 障害対策(事業継続対応):構成管理、可用性確保
  • サプライチェーン・リスク対策:情報システムの構築などの外部委託における対策、機器などの調達における対策
  • 利用者保護:情報セキュリティ水準低下の防止、プライバシー保護
ステップ6
対策要件の決定
セキュリティ対策要件を検討のうえ、調達仕様書に記載する対策要件を決定する
ステップ7
調達仕様書への反映
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」中の仕様書記載例などを参照して調達仕様書の該当部分に記載する
出所:情報システムに係る政府調達におけるセキュリティ要件策定マニュアル (内閣サイバーセキュリティセンター)に基づいて作成
TOPへ戻る
ページの先頭へ戻る