〝むくげ〟です！

今回は令和3年1月に第5.1版が策定された厚生労働省の『医療情報システムの安全管理に関するガイドライン』について、ガイドラインの概要と5.1版での主な改定ポイントについて簡単に説明していきたいと思います。

その前に、医療情報を取り扱う際の事業者が準拠すべきガイドラインについての概要についてご説明します。

『3省2ガイドライン』：医療情報の保護に関するガイドライン

医療情報は患者の個人情報をはじめ配慮すべき情報を含んでいる為、情報の管理・運用・記録・保存は様々な視点において適切に実施していかなければなりません。

そのため、医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインが厚生労働省・経済産業省・総務省によって策定されてきました。

従来は、厚生労働省の『医療情報システムの安全管理に関するガイドライン』に加え、経済産業省の『医療情報を受託管理する情報処理事業者における安全管理ガイドライン』、総務省の『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』というガイドラインが策定されていて、3省3ガイドラインと言われていました。

経済産業省のガイドラインは『医療情報の外部保存を受託する情報処理事業者向け』、
総務省のガイドラインは『医療情報の処理をクラウドサービスで提供する事業者及び団体向け』
としてある程度の線引きができている状態でしたが、昨今では、医療情報の外部保存を含んだクラウドサービスとして提供されていることが多くなっており、経済産業省・総務省、両方のガイドラインに該当する情報サービスの形が増えてきてしまいました。さらに、それぞれのガイドが定めているセキュリティ対策の観点には相違点等があり事業者の対応が困難になってしまいました。

そのため経済産業省と総務省のガイドラインが統合・見直しされ、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」が策定されました。

2020年8月から、ガイドラインの一つ目が、厚生労働省の「医療情報システムの安全管理に関するガイドライン」、二つ目が経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」となり。厚生労働省、経済産業省、総務省の3省が発行する2つのガイドラインとして、3省2ガイドラインと呼ばれるようになりました。

「医療情報システムの安全管理に関するガイドライン」

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」

厚生労働省『医療情報システムの安全管理に関するガイドライン』とは

先に記載しました通り、『医療情報システムの安全管理に関するガイドライン』とは、厚生労働省が策定した医療分野の情報システムにおけるガイドラインとなります。

このガイドラインは

①法令等により求められる要件を満たすための実行指針
②医療に関わる情報を医療機関等の資産と捉え、これを継続的に保護していくためのプロセスに関する手引書

という役割を担っており、上記の役割を遂行する為の手引きとして

• 電子的な医療情報を扱う際の責任の在り方
• 電子的な医療情報を扱う際の考え方
• 電子的に医療情報を交換若しくは提供する際の考え方
• 法令等により求められる医療情報の保護要件を満たすための具体的な実行指針

といった内容に沿って説明されています。

又、ガイドライン内で記載される様々な指針に対しては、4つの項目に分けて対応策を示し説明する形となっております。

A．制度上の要求事項

法律、厚生労働省通知、他の指針等の要求事項について記載されます。

B．考え方

要求事項の解説及び原則的な対策方針について記載されます。

C．最低限のガイドライン

『A 制度上の要求事項』の要求事項を満たすために必ず実施しなければならない対策が記載されます。

D．推奨されるガイドライン

実施しなくても 『A 制度上の要求事項』の要求事項を満たすことが可能であるが、説明責任の観点から実施
した方が理解を得やすい対策が記載されます

各ガイドラインの指針に対し、制度上の要求事項と考え方を理解し、最低限実行すること・実行しておくと良い対策を順立てて理解・実行することができます。

ガイドラインの全体把握と運用を助けてくれる『読本』

ガイドラインは、遵守しなければならない法令や情報資産を守るための手段等について細かく解説されており、内容や分量がもなかなかボリュームがあります。また、法令や規則等も複雑に絡んでくる為、一読しただけで全体図を把握するのは難しいと思われます。

そのため、厚生労働省からさらにガイドラインの趣旨を易しく解説した『医療情報システムを安全に
管理するために（第 2.1 版）「医療情報システムの安全管理に関するガイドライン」全ての医療機関等の管理者向け読本』が公開されています。

医療情報を扱う事業者の管理者は、まずはじめに上記の読本を確認し全体図を把握しつつ、必要に応じてガイドラインで該当箇所を参照し対策を講じていく形をとるとよいとされています。

医療情報システムを安全に管理するために（第 2.1 版）

厚生労働省『医療情報システムの安全管理に関するガイドライン』第5.1版の主な改定ポイント

最新の第5.1版では大きく4つの改定ポイントがありました。

1.クラウドサービスへの対応

• クラウドサービス事業者との責任分界(※)に関する考え方を追記
• 外部保存を受託する事業者の選定基準について、クラウドサービス事業者に関する内容も含め記載

※どこからどこまでが誰の責任であるか範囲をわけ、責任の内容も明確にすること

2.認証・パスワードの対応

• 令和9年度時点で稼働している医療情報システムを、今後、新規導入又は更新に際しては、二要素認証又はこれに相当する対応を最低限のガイドラインとして記載
• 安全と考えられる推定困難なパスワードに関する要件化

3.サイバー攻撃等による対応

• 一定規模以上や地域で重要な機能の医療機関等について、情報セキュリティ責任者(CISO)等の設置や、緊急対応体制(CSIRT等)の設備等を要請。
• コンピューターウイルスの感染等によるサイバー攻撃を受けた(疑い含む)場合等、所菅官庁への連絡等への必要な対応、そのための体制の整備構築等を明記。

4.外部保存受託業者の選定基準対応

外部保存事業者の選定基準について、

• 行政機関等や民間事業者等の異なる基準を一本化
• 医療情報を格納する機器等が、国内法の適用を受けることの確認を追記(医療情報を格納する機器等は全て国内法の適用対象となる必要がある)
• 外部保存を受託する事業者選定の確認事項を追記

 

※厚生労働省『政策について』より参照

上記の改定ポイントの様に、最新の第5.1版においては、クラウドサービスの普及に伴うセキュリティリスクなどにも対応するための改定が行われており、医療分野・医療関係におけるIT技術の利用や基幹システムの利用、外部委託などの細かい部分まで策定されてされています。

ガイドラインに対し堅実な対策と対応をとることが、医療という「重要インフラ」を安定させ地域社会の安全安心を守ることに繋がっていきます。

弊社では、ひとり情シス救済/ネットワークセキュリティ/IT-BCP運用/ITプロジェクト支援など、専門知識をもったスタッフがあなたの企業のIT 社員として、時間単位で業務を請け負う、コーポレートエンジニア事業(スマート社員(旧:コアスタッフ))としてIT人材の準委任型契約タイムシェアサービスを提供しています。

弊社では医療機関様のコーポレートエンジニアとして、日進月歩で進化するネットワーク技術に対し、『3省2ガイドライン』を遵守した医療情報の取り扱いができる環境構築のサポートをさせていただいております。

IT人材不足・知識不足・過剰業務を、専門知識を持つ私たちが解決させていただきます。