■2024年4月9日版
NO | サービスレベル項目例 | 規定内容 | 測定単位 | 回答 |
---|---|---|---|---|
(可用性) | ||||
1 | サービス時間 | サービスを提供する時間帯(設備やネットワーク等の点検/保守のための計画停止時間の記述を含む) | 時間帯 | 24時間365日(計画停止/定期保守を除く)となります |
2 | 計画停止予定通知 | 定期的な保守停止に関する事前連絡確認(事前通知のタイミング/方法の記述 を含む) | 有無 | 有 ご担当者宛に個別にご連絡させて頂きます |
3 | サービス提供終了時の 事前通知 | サービス提供を終了する場合の事前連絡確認(事前通知のタイミング/方法の記述を含む) | 有無 | 無 現状定義しておりませんが判明次第サイト、およびご担当者様に通知させて頂きます。 |
4 | 突然のサービス提供停 止に対する対処 | プログラムや、システム環境の各種設定データの預託等の措置の有無 | 有無 | 無 現状定義しておりません |
5 | サービス稼働率 | サービスを利用できる確率((計画サービス時間-停止時間)÷計画サービス時間) | 稼働率(%) | 99.9% ※定期・臨時メンテナンスに伴うダウンタイムを除く参考値とさせて頂いております |
6 | ディザスタリカバリ | 災害発生時のシステム復旧/サポート体制 | 有無 | 有 国内遠隔地のデータセンターにデータをデータをバックアップしております。 ※遠隔地に予備システムの構築はございません。 |
7 | 重大障害時の代替手段 | 早期復旧が不可能な場合の代替措置 | 有無 | 有 緊急時カルテとしてネットワーク等に障害が発生した場合など、閲覧専用のHTMLカルテを医療機関様に設置されたNAS等に自動保存する仕組みをご提供していす |
8 | 代替措置で提供するデータ形式 | 代替措置で提供されるデータ形式の定義を記述 | 有無(ファイル形式) | 有 HTML形式 |
9 | アップグレード方針 | バージョンアップ/変更管理/パッチ管理の方針 | 有無 | 有 お客様に影響のある機能変更等を伴うアップデート は、サイトまたはご担当者様に個別にお知らせさせて頂きます |
(信頼性) | ||||
10 | 平均復旧時間(MTTR) | 障害発生から修理完了までの平均時間(修理時間の和÷故障回数) | 時間 | 60分を目標としております |
11 | 目標復旧時間(RTO) | 障害発生後のサービス提供の再開に関して設定された目標時間 | 時間 | 6時間を目標としております |
12 | 障害発生件数 | 1年間に発生した障害件数/1年間に発生した対応に長時間(1日以上)要した障害件数 | 回 | 2023年度のメインサービスに関する障害は3件です。(※ユーザー様環境に係わる障害は除きます) 対応に1日以上要した障害はございません |
13 | システム監視基準 | システム監視基準(監視内容/監視・通知基準)の設定に基づく監視 | 有無 | 有 社内基準に則り監視を実施しております |
14 | 障害通知プロセス | 障害発生時の連絡プロセス(通知先/方法/経路) | 有無 | 有 ユーザー様個別に通知させていただきます |
15 | 障害通知時間 | 異常検出後に指定された連絡先に通知するまでの時間 | 時間 | 30分以内を目安としております |
16 | 障害監視間隔 | 障害インシデントを収集/集計する時間間隔 | 時間(分) | 常時監視 |
17 | サービス提供状況の報告方法/間隔 | サービス提供状況を報告する方法/時間間隔 | 時間 | 現在サイト等での報告は行っていません。 |
18 | ログの取得 | 利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等) | 有無 | 管理者向けページにて各種ログの参照機能をご用意しています |
(性能) | ||||
19 | 応答時間 | 画面の応答時間 | 時間(秒) | データ量(過去のカルテ記載件数など)により左右されますが、平均で0.5~1秒程度となります。医療機関様設備の負荷状況によっては遅延が生じることがございます。 |
20 | 遅延 | 画面の応答時間の遅延継続時間 | 時間(秒) | 処理が遅延した場合、30秒でタイムアウトとなり切断されます |
21 | バッチ処理時間 | バッチ処理(一括処理)の応答時間 | 時間(分) | 定期的なバッチ処理はございません |
(拡張性) | ||||
22 | カスタマイズ性 | カスタマイズ(変更)が可能な事項/範囲/仕様等の条件とカスタマイズに必要な情報 | 有無 | 有 ユーザー様のご要望に応じて有償にてご対応いたします |
23 | 外部接続性 | 既存システムや他のクラウド・コンピューティング・サービス等の外部のシステムとの接続仕様(API、開発言語等) | 有無 | 有 外部サービスや部門システム等に最適化した連携に対応しております |
24 | 同時接続利用者数 | オンラインの利用者が同時に接続してサービスを利用可能なユーザ数 | 有無 | 無 医療機関様ごとにAPサーバーをご用意していますため、接続台数に応じてサーバーを拡張して対応いたします |
25 | 提供リソースの上限 | ディスク容量の上限/ページビューの上限 | 処理能力 | 無 規定となる容量上限に達した場合、医療機関様ごとのサーバーにおいて個別に拡張対応を行うため基本的に制限はございません |
(サポート) | ||||
26 | サービス提供時間帯(障害対応) | 障害対応時の問合せ受付業務を実施する時間帯 | 時間帯 | サービス運用に係わるような障害発生に伴う緊急対応に関しては24時間365日対応いたします |
27 | サービス提供時間帯(一般問合せ) | 一般問合せ時の問合せ受付業務を実施する時間帯 | 時間帯 | 一般的なお問い合わせに関しては営業時間内(平日9:00~17:30)でお願いしております |
(データ管理) | ||||
28 | バックアップの方法 | バックアップ内容(回数、復旧方法など)、データ保管場所/形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法 | 有無/内容 | 有 ・ データベース: 日次で世代別バックアップしています ・日次で遠隔地データセンターにバックアップをレプリケーションしています |
29 | バックアップデータを取得するタイミング(RPO) | バックアップデータをとり、データを保証する時点 | 時間 | データベースは 直近12時間前まで保証しています |
30 | バックアップデータの保存期間 | データをバックアップした媒体を保管する期限 | 時間 | バックアップはクラウド上に保持しており、外部媒体へは保管しておりません。 保存期限は以下の通りです。 ・ データベース: 2日間 |
31 | データ消去の要件 | サービス解約後の、データ消去の実施有無/タイミング、保管媒体の破棄の実施有無/タイミング、およびデータ移行など、利用者に所有権のあるデータの消去方法 | 有無 | 有 データベースは保管期間経過後に削除いたします |
32 | バックアップ世代数 | 保証する世代数 | 世代数 | データベースは3世代 |
33 | データ保護のための暗号化要件 | データを保護するにあたり、暗号化要件の有無 | 有無 | 有 バックアップされたデータに関しては暗号化しております |
34 | マルチテナントストレージにおけるキー管理要件 | マルチテナントストレージのキー管理要件の有無、内容 | 有無/内容 | 無 APサーバーは各ユーザー個別に管理していますが、DBサーバーは共有のためストレージの分離は行なっていません。ただし、システム管理者のみしかアクセスすることはできません。 |
35 | データ漏えい・破壊時の補償/保険 | データ漏えい・破壊時の補償/保険の有無 | 有無 | 無 |
36 | 解約時のデータポータビリティ | 解約時、元データが完全な形で迅速に返却される、もしくは責任を持ってデータを消去する体制を整えており、外部への漏えいの懸念のない状態が構築でき ていること | 有無/内容 | 有 カルテに関しては緊急時カルテとしてHTML形式でのバックアップできる仕組みがあります。サービスのご解約時はデータベースおよび関連するファイルなどすべて消去いたします |
37 | 預託データの整合性検証作業 | データの整合性を検証する手法が実装され、検証報告の確認作業が行われていること | 有無 | 有 カルテなど診療記録に係わるデータは詳細なアクセスログを保存する仕様となっています。またユーザー管理者向けにログを参照する機能も標準で提供しております。 |
39 | 入力データ形式の制限機能 | 入力データ形式の制限機能の有無 | 有無 | 有 アプリケーションでチェックおよび制限しています |
40 | データの外部保存方針 | データ保存地の各種法制度の下におけるデータ取扱い及び利用に関する制約条件を把握しているか | 把握状況 | データはIDCフロンティア社が管理するDC(北九州リージョン)に保存しております。 |
(セキュリティ) | ||||
41 | 公的認証取得の要件 | JIPDECやJQA等で認定している情報 処理管理に関する公的認証(ISMS、プライバシーマーク等)が取得されていること | 有無 | 無 |
42 | アプリケーションに関する第三者評価 | 不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること | 有無/実施 状況 | 無 |
43 | 情報取扱い環境 | 提供者側でのデータ取扱環境が適切に確保されていること | 有無 | 有 運用者は限定されております |
44 | 通信の暗号化レベル | システムとやりとりされる通信の暗号化強度 | 有無 | 有 ユーザー様環境とサービス間の通信は、VPNおよびTLS1.2 以上の暗号化された通信を利用しております |
45 | 会計監査報告書における情報セキュリティ関連事項の確認 | 会計監査報告書における情報セキュリティ関連事項の監査時に、担当者へ以下の資料を提供する旨 「最新のSAS70Type2監査報告書」 「最新の18号監査報告書」 | 有無 | 無 |
46 | マルチテナント下でのセキュリティ対策 | 異なる利用企業間の情報隔離、障害等の影響の局所化 | 有無 | 有 データベースやサーバーのテナントごとの分離を行っています。 |
47 | 情報取扱者の制限 | 利用者のデータにアクセスできる利用者が限定されていること利用者組織にて規定しているアクセス制限と同様な制約が実現できていること | 有無/設定 状況 | 有 通常システム管理者のみにアクセスを限定しております。 ただしサポート |
48 | 情報取扱者の行動把握 | 情報取扱者が不審な行動をした際、検知できるか | 有無/設定 状況 | 有 管理者によるパスワード等の設定変更の通知はございます |
49 | ネットワークのセキュリティ対策 | ファイアウォールでの侵入遮断、IDSでの侵入検知などの対策を行っているか | 有無/設定 状況 | ーザーごとのIPアドレス制限やポート制限などファイアウオールによるアクセス制御を行っております |
50 | セキュリティインシデント発生時のトレーサビリティ | ユーザーIDをログ検索に利用できるか、ログの保存期間は適切な期間が確保されており、利用者の必要に応じて、受容可能に期間内に提供されるか | 設定状況 | ID(アカウント)でのアクセスログの検索が可能です。アクセスログはサービスの提供期間中(ログの保存期間など設定なく継続的に)ご利用できます。 |
51 | ウイルススキャン | ウイルススキャンの頻度 | 頻度 | 以下のようになっております。 サーバ → ウイルス対策ソフト導入なし 運用者端末 → 随時スキャン |
52 | 二次記憶媒体の安全性対策 | バックアップメディア等では、常に暗号化した状態で保管していること、廃棄の際にはデータの完全な抹消を実施し、また検証していること、USBポートを無効化しデータの吸い出しの制限等の対策を講じていること | 有無 | 有 バックアップはクラウド上に保持しており、持ち出し可能な外部媒体への保管は行わないようにしております |