| 項番 | チェック内容 | 適合状況 | 対象アプリ | 備考 |
|---|
| 2-ア |
サーバ、端末PC、ネットワーク機器の台帳管理を行っている |
未対応 |
全アプリ |
クラウドサービス利用のため物理台帳は不要だが、利用サービス一覧の文書化が必要 |
| 2-イ |
リモートメンテナンス(保守)を利用している機器の有無を事業者等に確認した |
適合 |
全アプリ |
Supabase/Firebase/Vercelのサービス契約で確認済み |
| 2-ウ |
事業者から医療情報セキュリティ開示書(MDS/SDS)を提出してもらう |
一部 |
endaivisitcare |
Supabase SOC2レポート確認済み。Firebase/Vercelは未確認 |
| 2-エ |
利用者の職種・担当業務別のアクセス利用権限を設定している。管理者権限対象者の棚卸しを行っている |
適合 |
endaiEditorialvisitcare |
Supabase RLSポリシーで role ベースアクセス制御を実装済み |
| 2-オ |
退職者や使用していないアカウントを削除または無効化している |
一部 |
全アプリ |
手動対応可能だが、定期棚卸しの運用ルールが未策定 |
| 2-カ |
セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している |
適合 |
全アプリ |
npm audit / dependabot による依存パッケージ管理。Vercel/Supabaseはマネージド |
| 2-キ |
パスワードは英数字、記号混じり8文字以上とし、定期的に変更している。多要素認証、または13文字以上の場合は定期変更不要 |
適合 |
endaiEditorial |
Supabase Auth でパスワードポリシー設定済み |
| 2-ク |
パスワードの使い回しを禁止している |
適合 |
全アプリ |
各サービス固有のパスワード。開発者はパスワードマネージャ使用 |
| 2-ケ |
USBストレージ等の外部記録媒体の接続を制限している |
対象外 |
— |
Webアプリのためクライアント側USB制御は対象外 |
| 2-コ |
多要素認証を導入している。または令和9年度までに実施予定である |
一部 |
endaiEditorial |
管理者向けMFA未実装。Supabase AuthはMFA対応可能だが未有効化 |
| 2-サ |
サーバのアクセスログを管理している |
未対応 |
endaivisitcareEditorial |
Supabase pg_audit / カスタム監査ログテーブル未実装 |
| 2-シ |
バックグラウンドで動作している不要なソフトウェア及びサービスを停止している |
適合 |
全アプリ |
マネージドサービス利用のため不要プロセスなし |
| 2-ス |
ネットワーク機器の接続についての脆弱性対策を実施している |
適合 |
全アプリ |
HTTPS強制(HSTS)、CSP設定済み。Vercel/Supabaseのネットワーク層で保護 |