目次
医療情報システムの安全管理に関するガイドラインとは
「医療情報システムの安全管理に関するガイドライン」とは、医療機関の導入するシステムについてどのように管理や運用をしていくべきか、その指針・対策内容がまとめられたものです。
初版は平成17年に策定されており、その後各種法改正やITの進展、サイバー攻撃に関する情勢を受けて何度も改定が行われてきました。
第6.0版においては、「ガイドラインに対する内容理解の促進」、そして「安全管理の実効性を上げる」という目的に即して、本文を大きく次の3編に分けて構成しています。
① 医療機関における意思決定者が読むべき「経営管理編」
② システムの管理者が読むべき「企画管理編」
③ システムを実際に扱う運用者が読むべき「システム運用編」
またこれらに加え、各編を読む上で知っておきたい前提知識や考え方をまとめた「概説編」もあります。
▽出典
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)」(https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html)
概説編
「概説編」では、経営管理編・企画管理編・システム運用編という各編に共通の内容(ガイドラインの目的や前提の考え方など)をまとめています。
例えば、同ガイドラインが対象としている医療機関とは何か、医療情報や文書の範囲、医療情報システムとは何か、といったことも概説編で言及されています。
《同ガイドラインの対象》
- ・医療機関:「病院」「クリニック」「歯科医院」「薬局」など多様な医療機関
- ・医療情報:医療についての患者情報(個人識別情報)を含む情報
- ・文書:法定の保存義務とは関係なく、医療情報が含まれる文書全般
- ・医療情報システム:電子カルテなど特定のシステムに限らず、いわゆる「レセコン」などのシステムも広く含む
経営管理編
「経営管理編」は、医療機関における経営方針を示し、意思決定を行う立場にある経営陣を対象とした内容となっています。経営者が遵守すべきこと、判断すべきこと、指示すべきことなどがまとめられています。
例えば、安全管理に関わる責任のことであったり、リスク評価を踏まえた管理のことであったり、技術的なことではなく組織運営にとって重要な事柄が記載されています。特に責任問題については経営陣が注視すべきポイントです。
企画管理編
「企画管理編」は、医療機関のシステム運用・安全管理の企画について、実務を担う担当者が読者となることを想定しています。セキュリティ対策に関するマニュアルなど、内部規程を整備する人物などは目を通しておきたいところです。
この担当者自身が何を遵守すべきなのか、システムの運用担当者への指示に関わることなどがまとめられています。また、システムがクラウドかオンプレか、運用責任担当者がいるかいないかで、参照するページが異なってくるため注意が必要です。
なお、クラウド型のシステムを運用するときは、ベンダーなどの事業者との契約内容によっては一部簡略化できる事項もあります(マニュアルの整備や安全管理に関わるエビデンス、技術的な対策管理など)。
システム運用編
「システム運用編」は、システムの実装から運用を担う方を読者として想定した内容となっています。経営陣や企画管理者の指示に基づいて実務に対処する方が、どのような事項に対応すべきなのか、そのときの考え方などが示されています。また、こちらでもシステムがクラウドかオンプレか、運用責任担当者がいるかいないかで、参照するページが異なってくるため注意が必要です。
なお、システムの実装や運用においてもクラウド型・オンプレミス型の違いは重要です。企画管理編同様、クラウド型においては一部簡略化できるケースがあります。
医療情報の扱い
医療機関では、多種多様な個人情報、それも非常にセンシティブな情報を数多く取り扱います。例えば次のような情報です。
《医療機関で取り扱う医療情報の例》
- ・診療記録
- ・手術記録
- ・処方箋
- ・看護記録
- ・紹介状
- ・調剤記録 など
これらに限らず、医療を提供するにあたってはさまざまな情報が発生し、あるいは情報を入手することになります。
そしてこれらは基本的に個人情報保護法上の「個人情報」に該当しますし、より厳格な取り扱いが求められる「要配慮個人情報」にも該当することがあります。
※個人情報保護法上の「個人情報」:生存する個人の情報であって、個人が特定できるものまたは個人識別符号(マイナンバーなど)が含まれるもののこと。
※個人情報保護法上の「要配慮個人情報」:人種や信条、前科、そして病歴など、特に取り扱いに配慮が必要な個人情報。
病院での診療などを経て知り得た情報は要配慮個人情報に該当する可能性があり、要配慮個人情報に該当する場合は、より一層保管や外部への提供などについて注意をしないといけません。
令和5年5月に第6版に改定!改定の背景とは
医療機関は医療を提供する施設ですので、社会的役割・社会的な責任が大きいと考えられています。そんな医療機関がサイバー攻撃を受けてしまうと、最悪の場合、医療の提供ができない事態に追いつめられる恐れがあります。
サイバー攻撃も年々巧妙化・多様化しており、ベンダー側が安全性の高いシステムを提供することだけでなく、医療機関側も適切な管理・運用に対する高い意識を持つことが求められています。
それにもかかわらず、医療機関の経営陣が「システムについてはよくわからないから、担当者に任せている」「セキュリティ対策は丸投げしている」といった状態だと安全な環境を構築することはできません。
サイバー攻撃による脅威がますます大きくなってきたこと、それに対して経営者の意識が十分に高まっていないこと、オンライン資格確認の導入が原則義務化されたことなど、こうした背景を受けて第6.0版ではガイドラインの構成が見直され、経営者の役割がはっきりさせられたのです。
改定のポイントとは
ガイドラインの構成が全体的に見直されたことに加え、「外部委託等における責任問題」「情報セキュリティに対する考え方」「新技術や規格への対応」に関しても整理されています。
外部委託、外部サービスの利用に関する整理
全てのシステムを自院で完結させている医療機関ばかりではありません。近年はクラウドサービスも多数展開されており、低コスト・高効率での導入や運用ができる環境が整ってきています。
ただし、このように外部サービスを利用する場合や外部委託を行う場合、責任の所在については明確化しておく必要があります。例えばベンダーが提供する電子カルテのクラウドサービス(SaaS)を利用するとき、その土台部分(PaaSやIaaS)についても管理運用を任せることになり、自院で負う責任範囲は比較的狭くなります。
一方でSaaS部分については自院で開発し、その土台部分のPaaSやIaaSについてのみ他社に任せるときは、SaaS部分は自院で責任を負うのが一般的です。
こうしたクラウドサービスの特徴を踏まえた責任分界の考え方などが整理されています。
情報セキュリティに関する考え方の整理
情報セキュリティ一般に関わる考え方も整理され、ガイドラインにて示されています。
災害やサイバー攻撃等を受けての非常事態への対応、システム障害等の非常時における対応・対策、その他ネットワークの安全性に関わる「ゼロトラスト」の考え方などが示されています。
※「ゼロトラスト」:内部のネットワークであっても信用せず高い水準で安全性を検証し、情報への脅威を防ぐ考え方。この考えに基づく場合、院内のネットワークだからといって安心せず、アクセスしてくる全通信の監視を目指すことになる。
なお、同ガイドラインではゼロトラスト思考に基づく対策を必須としているわけではありません。リスク分析の結果を踏まえ、費用対効果も考慮した上で判断することが望ましいと言及されています。
新技術、制度・規格の変更への対応
本人確認・利用者認証など、新たな技術も年々登場しています。新たな制度や規格もシステム運用者としては無視することができません。
そこで、こうした技術等の導入で必要になるネットワーク機器等の安全管理などについても整理されています。
システム上の本人確認や認証に関しては厳格な信頼性が必要ですので、多要素認証の導入検討、企画管理者による認証等の方法に関する規程の策定などを進めていくことが求められます。
医療機関における情報システムの安全管理はなぜ必要なのか
情報セキュリティ対策は、情報を預けている個人の権利利益を守るために重要なことです。このことは医療分野に関わらず全ての事業者に共通しています。
しかし医療機関の持つ医療情報は、病歴など機微性が高い情報を多く含んでいます。情報システムの安全管理がなされていない場合、単に情報が流出してしまうだけでなく、適切なときに適切な情報にアクセスできなくなって、患者さんの生命や身体に危険が及ぶ可能性もあります。
つまり、医療の提供を途切れさせることなく、継続的に提供するためにセキュリティ対策は必要なのです。
医療機関におけるサイバーセキュリティ対策チェックリストとは?対応は必要?
セキュリティ対策が重要だということが理解できても「実際何から手をつければいいのかわからない」と悩まれる方が多いのが現状だと思います。
そのような方は、厚生労働省が公表する「医療機関におけるサイバーセキュリティ対策チェックリスト」に沿って確認を進めていきましょう。チェックリストへの対応が、同時に同ガイドラインへの対策にもなります。
次のようにチェックリストが構成されていますので、まずは「1回目」のところで現状を確認しましょう。
| チェック項目 | 確認結果 (日付) |
|||
|---|---|---|---|---|
| 1回目 | 目標日 | 2回目 | ||
| ●●● | 〇〇〇 | はい・いいえ ( / ) |
( / ) |
はい・いいえ ( / ) |
| : | : | : | : | : |
この時点で全て「はい」に該当する必要はなく、2回目のチェックで「はい」になるよう対策を進めていきます。
また、「令和5年度中」「令和6年度中」といった表記も記載されていますので、その期間中の対応を目指しましょう。いきなり全てに対策を講じてくのは難しいため、ひとまず「令和5年度中」の項目に絞って取り組むとよいでしょう。
なお、チェックリストへの対応については動画の方で詳しく説明しておりますので、こちらも参照していただければと思います。
https://www.phchd.com/jp/medicom/park/event/movie/cl-policy-guidelineサイバー攻撃に遭う前にチェックリストの確認を
「医療情報システムの安全管理に関するガイドライン 第6.0版」が公表されていますが、一言一句追っていくのは非常に大変です。そこでまず求められるのは、チェックリストに沿って現状を確認していくことです。今年度中にチェックを終えることを目指しましょう。
チェック項目によっては自院だけでの対応が難しいかもしれませんので、そんなときはベンダーを頼りに一緒にチェックを進めていくことも検討しましょう。放置することが罰則などにつながるわけではありませんが、大きな事故が起こる前に、早急に取り組むことが推奨されます。
