3省2ガイドラインとは？電子カルテ導入時に知っておきたいルール

3省2ガイドラインとは？

3省2ガイドラインは、医療機関や事業者が電子的な医療情報システムを取り扱う際、情報保護のために従うべき指針となります。

3省2ガイドラインは、具体的には厚生労働省の「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つを指します。

医療情報を活用して患者にサービスを提供する医療機関や、現場で用いるシステムなどを管理・提供する事業者などは、3省が提示するガイドラインに準拠しなければなりません。

ガイドラインが統合

従来、厚生労働省・経済産業省・総務省がガイドラインを制定し「3省3ガイドライン」としていました。

しかしながら、2021年8月に経済産業省と総務省の2つのガイドラインが統合されたため、「3省2ガイドライン」となりました。これにより、医療機関や事業者が確認するガイドラインが減り、負担軽減につながりました。

ガイドラインが制定された理由と背景

▼関連記事
医療分野における個人情報保護とは？対象者や注意点を弁護士が解説

電子カルテ等の普及に伴い、安全対策のガイドラインが必要に

ガイドラインが制定された背景として、主に以下の3つが挙げられます。

個人情報の保護
医療情報データの安全な取り扱い
サイバー攻撃からの保護

電子カルテをはじめとする医療情報システムの普及に伴い、患者さんの利便性や医療現場の生産性は格段に向上しました。とはいえ、取り扱われる情報は個人情報が含まれるため、システムの安全性は最も重要視しなければなりません。

近年、医療機関におけるサイバー攻撃の多様化も増しているため、情報セキュリティ対策としてのガイドラインが制定されました。

医療機関と事業者向けのガイドラインが制定

こうした背景から、厚生労働省では医療機関向けに、経済産業省と総務省では事業者向けにガイドラインを制定しました。それぞれのガイドラインは以下の通りで、それぞれホームページ上で閲覧可能です。

●厚生労働省：「医療情報システムの安全管理に関するガイドライン第6.0版」
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
●経済産業省：「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

医療業界における、その他ガイドライン・関連法規

医療業界におけるその他のガイドラインや関連法規は、主に以下のようなものが挙げられます。

厚生労働省：オンライン診療の適切な実施に関する指針（令和5年3月一部改訂）
厚生労働省：「電子処方箋管理サービスの運用について」の改正について（令和5年12月改正）
厚生労働省：オンライン資格確認等、レセプトのオンライン請求及び健康保険組合に対する社会保険手続きに係る電子申請システムに係るセキュリティに関するガイドライン（令和6年1月一部改正）
医師法
医療法
e-文書法（民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律）
国税庁：電子帳簿保存法　など

①厚生労働省のガイドラインとは

厚生労働省が制定している「医療情報システムの安全管理に関するガイドライン」について、概要や対象者、具体的な内容を紹介します。

概要

厚生労働省の「医療情報システムの安全管理に関するガイドライン」は、医療機関に向けたものとなります。

これは、医療機関が電子カルテや医療情報システムを安全・適切に運用・管理するための基準です。主に個⼈情報保護法、e-⽂書法などに基づき、患者さんの個人情報保護やデータ漏洩防止、サイバーセキュリティ対策などが制定されています。定期的に見直されており、2023（令和5）年5月の第6.0版が最新のガイドラインです（2024年1月現在）。

対象者

厚生労働省のガイドライン対象者は、医療機関における全ての医療情報システムの導入・運用・利用・保守および廃棄に関わる者、とされています。

出典：医療情報システムの安全管理に関するガイドライン第6.0版（厚生労働省）（PDF）
https://www.mhlw.go.jp/content/10808000/001102570.pdf

具体的な医療機関の範囲は、以下のように想定されています。

病院
一般診療所
歯科診療所
助産所
薬局
訪問看護ステーション
介護事業者
医療情報連携ネットワーク運営事業者など

ベンダー側も内容の把握が必要？

厚生労働省は「医療情報システムの安全管理に関するガイドライン第6.0 版」に関するQ&A の中で、ベンダー側も医療情報システムの安全管理の観点からも、内容を把握しておくことが望ましいと述べています。

医療情報システムを管理する一次責任は医療機関側にあるものの、システムの構築や安全管理はベンダーや事業者の協力を得て実施されることは多いでしょう。そのためベンダー側には医療機関側が負う責任や遵守すべき内容を理解した上で、より安全なシステムの管理・運用のための協働が求められています。

内容

ガイドラインの構成は以下の4編に分けられ、それぞれ遵守事項と考え方が示されています。

概説編
経営管理編
企画管理編
システム運用編

医療機関が行うべき主な対策は、主に以下のようなものがあります。

情報システム運用責任者の設置
適切なアクセス制御
貸し出し用機器の管理
パソコンの外部持ち出しに関する方針・規定の整備
BYOD（スマホなど個人が持ち歩く情報通信機器）の原則禁止
サイバー攻撃への対応
バックアップデータの活用
専門知識のある者による情報の破棄

出典：医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容（厚生労働省）（PDF）
https://www.mhlw.go.jp/content/10808000/001102596.pdf
出典：医療情報システムの安全管理に関するガイドライン」とは（厚生労働省）（PDF）
https://www.mhlw.go.jp/content/10808000/000644762.pdf

「医療機関のサイバーセキュリティ対策チェックリスト」とは？

厚生労働省では、医療機関におけるサイバー攻撃の事例を踏まえ「医療機関のサイバーセキュリティ対策チェックリスト」を提供しています。チェックリストは、以下のガイドライン等を参考に整理されており、自院のサイバーセキュリティ対策の現状把握に活用できます。

医療情報システムの安全管理に関するガイドライン
オンライン診療の適切な実施に関する指針
電子処方箋の運用ガイドライン
サイバーセキュリティ経営ガイドライン Ver 2.0など

出典：医療機関のサイバーセキュリティ対策チェックリスト（厚生労働省）（PDF）
https://www.mhlw.go.jp/content/10808000/000936167.pdf

②経済産業省・総務省のガイドラインとは

経済産業省・総務省が定めた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」について、概要・対象者・具体的な内容を詳しく解説します。

概要

経済産業省・総務省が制定している「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、これまで経済産業省と総務省それぞれが定めていた2つのガイドラインを見直し、2021年8月、第1版として統合されました。

その後、厚生労働省の「医療情報システムの安全管理に関するガイドライン（第6.0版）」への対応や、システムのクラウド化の広まりなどを踏まえ、事業者の利便性を図る観点から2023年7月に改定されました。

対象者

経済産業省・総務省のガイドラインの対象者は、以下の通りです。

医療機関などとの契約に基づいて医療情報システム等を提供する事業者
医療機関などと直接的な契約関係になくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者
患者さんの指示に基づいて医療機関等から医療情報を受領する事業者

基本的に、医療機関などから医療情報を受け取り、加工や保存などの処理に関連する医療情報システムを提供している場合が対象範囲となります。

内容

ガイドラインの中では、医療情報システムやサービスを提供する事業者が、安全管理のために遵守すべき義務や責任について示されています。また、事業者と医療機関双方の役割分担の明確化についても述べられています。

安全管理のためのリスクマネジメントプロセスでは、医療情報システムのリスクに応じ、特定や分析、評価方法などが詳細にまとめられています。以下、詳しく見ていきましょう。

第5章「安全管理のためのリスクマネジメントプロセス」とは

ガイドライン第5章「安全管理のためのリスクマネジメントプロセス」は、以下3つのプロセスに分かれています。

出典：医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（総務省）（PDF）
https://www.soumu.go.jp/main_content/000703894.pdf

プロセス①　リスクアセスメント

対象事業者が実施すべきリスクマネジメントの第一プロセスは「リスクアセスメント」です。主なステップとして、以下の3つが示されています。

リスク特定
リスク分析
リスク評価

プロセス②　リスク対応

リスクアセスメントの結果をもとにした次のプロセスは「リスク対応」です。主なステップには以下の2つが示されています。

リスク対応の選択肢の選定
リスク対応策の設計・評価

リスク対応策の設計にあたっては、医療機関等に対応を求める事項を整理し、残存するリスクを評価します。

プロセス③　記録作成および報告

リスク対応の評価後「記録作成および報告」のプロセスに進みます。ガイドラインで示されるステップは、以下の2つです。

リスクコミュニケーション
継続的なリスクマネジメントの実践

医療機関などへ情報提供すべき内容の文書化や、双方の役割分担に関する合意形成、運用管理規定の作成などが示されています。

医療業界を脅かすサイバー攻撃

昨今、医療業界においてもランサムウェア等によるサイバー攻撃の事例が報告されています。主なサイバー攻撃の事例には、以下のようなものがあります。

ランサムウェア
マルウェア
内部不正
第三者によるサイバー攻撃

それぞれ見ていきましょう。

▼関連記事
ランサムウェアによる医療機関へのサイバー攻撃

ランサムウェアによる事例

ランサムウェアとは、身代金を要求する不正プログラムのことです。ランサムウェアに感染したコンピュータ内のデータを暗号化、もしくはロックして使用できない状況にし、再度使用できる状態に戻すのと引き換えに身代金（ransom）を支払うよう脅迫します。

医療機関におけるランサムウェア感染に関するインシデント事例は、以下のようなものがあります。

発生時期	内容
2022.1	不正アクセスによるシステム障害発生
2022.6	サイバー攻撃により電子カルテにアクセスできず
2022.10	ランサムウェアによるサイバー攻撃　電子カルテシステム障害
2022.10	ランサムウェア攻撃による電子カルテシステム障害

マルウェアによる事例

マルウェアとは、不正かつ有害な動作を行う意図で作られた悪意のあるソフトウェアやプログラムのことです。悪意のあるソフトウェアは全てマルウェアに含まれ、主なものに、ワーム、トロイの木馬、スパイウェア、Emotet（エモテット）などがあります。

Emotetによる被害の事例は、以下のようなものがあります。

発生時期	内容
2022.2	Emotet系のウイルス感染に伴う不審メール発生
2022.3	Emotet感染による不審メール発生
2022.3	Emotet感染によるなりすましメール発生
2022.5	Emotet感染による不審メール発生

内部不正による事例

外部だけでなく、医療機関の内部で不正が起こる可能性もあります。情報漏洩のインシデントとして挙げられるのは、職員による機密情報・個人情報の持ち出しなどです。

主な事例は、以下のようなものがあります。

発生時期	内容
2022.7	職員が興味本位に患者の電子カルテ情報を閲覧、SNSで流出させ停職4ヵ月の懲戒処分
2022.10	582人分の患者の情報漏洩
2022.11	個人情報を含むSDカード紛失
2023.3	元職員による患者の個人情報の不正取得

第三者によるサイバー攻撃事例

悪意のある第三者による不正アクセスでは、ブルートフォースアタック（総当たり攻撃）と呼ばれる方法でパスワードが解除される事例があります。また、サーバの億弱性が原因で個人情報が流出する事案も発生しています。

主な事例は、以下の通りです。

発生時期	内容
2022.2	第三者の不正アクセスにより個人情報流出
2022.4	不正アクセスによるメールアドレス流出
2022.7	不正アクセスによる個人情報等流出の可能性
2023.7	不正アクセスによる個人情報流出の可能性

医療業界には強固なセキュリティ対策が必要

医療業界では、強固なセキュリティ対策が極めて重要です。ランサムウェアやマルウェアなど、サイバー攻撃の多様化・巧妙化によってインシデント事例は増加傾向にあります。医療情報の機密性を考慮すると、医療業界には強固なセキュリティ対策が必要不可欠です。

近年、オンライン資格確認の導入やクラウドサービスの普及に伴い、今後もガイドラインや関連法規を遵守し、より一層サイバーセキュリティ対策の強化が求められるでしょう。

ISMS認証の取得が推奨されている

3省2ガイドラインにおいては、ISMS認証の取得が推奨されています。ISMS認証とは情報セキュリティ管理の仕組みで、情報セキュリティマネジメントシステムともいわれます。ISMS認証を取得していると、情報セキュリティに関する要件を満たしていると第三者から評価されている証明にもなり、信頼性をアピールできます。