3省2ガイドラインとは？制定の背景や変更点を解説

あらゆる分野で活用の進むIT技術。
デジタルにデータを扱うことにより利便性、業務効率、正確性、作業品質の向上などのメリットを得ることができるため、当然のことなのかもしれません。 

特に多忙で機密性の高い情報を扱う医療分野でも、その傾向は顕著です。
電子カルテ、保険証の照合、医療技術への活用など社会的に貢献度の高い用途で活用が進んでいます。
医療従事者の重要性の高い業務を効率化することには非常に高い価値があるといえます。 

一方で、医療現場で扱われる情報は個人情報や行政からの情報など、重要かつ機密性の高いものが多いという特色があります。
医療に関する情報の管理には重大な責任が発生し、そのための基準が必要です。 

そこで、厚生労働省、経済産業省、総務省の3者から、医療情報の取扱者に向けてガイドラインを用意しています。
これが「3省2ガイドライン」と呼ばれるものです。令和2年の8月より以前の「3省3ガイドライン」から「3省2ガイドライン」という制度に変更されました。 

本記事では、3省2ガイドラインについて、制定にあたっての背景や変更点などを解説します。 

また、LRM株式会社では、医療機関や情報システム・サービスの提供者に向けた、3省2ガイドラインに準拠した取り組みへの支援サービスを提供しています。 
ご検討していただけますと幸いです。

3省2ガイドラインとは

3省2ガイドラインは、医療に関する情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインです。本ガイドラインは厚生労働省によるものと、経済産業省・総務省によるものの2つで構成されています。3省が発行する2つのガイドラインのため3省2ガイドラインと呼ばれます。

厚生労働省

医療情報システムの安全管理に関するガイドライン

経済産業省・総務省

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

厚生労働省のものは医療機関、経済産業省・総務省のものは医療に関わるシステム・サービス提供事業者に向けて作成されています。
いずれも、医療情報システムを用いて安全かつ適切に情報を運用・管理するための指針を示すものです。

3省2ガイドラインが制定された背景

近年、業務効率化などを目的として医療現場やその周辺でのITを活用したシステムの普及が進んでいます。
医療という緊急性の高い業務において、情報を扱う業務を効率化することは、そのサービス提供の速度と品質を向上させることが見込めるため歓迎すべきことです。 

しかし、そこで扱われる情報は個人情報を含む機密情報が多く、管理者には重大な責任が問われます。
また、その管理・運用は様々な法令に基づいて適切に実施する必要があります。
これに対応する取り組みを行うためにガイドラインが用意されています。 

医療の現場やその周辺で利用されるITシステムは例として下記のようなものがあります。

いずれも大量のデータを扱う仕組みであり、データには個人情報などの機密情報を含みます。また、ネットワークに接続することを前提とした仕組みも多くあります。利便性の高いものですが、それだけにセキュリティリスクを負うことにもつながっています。 

データの重要性に反して、医療機関は個々に独立した組織であることなどが要因となり、情報セキュリティ対策に十分な取り組みができていない事例がみられます。
こうしたセキュリティインシデントへの迅速な対応の必要性もガイドライン制定の背景の一つです。 

医療分野におけるセキュリティインシデント事例

医療現場やその周辺に対するサイバー攻撃の増加が顕著です。ランサムウェアによる被害などが表面化しており、医療の業務に直接的な影響が出る事態も度々発生しています。
以下にその例をあげます。

また、日本医師会総合政策研究機構の2020年の調査によると、過去三年間で日本国内の医療機関で発生したインシデントとして、下記がみられました。 

サイバー犯罪者にとって、医療機関がターゲットの一部となっていることは間違いないといえるでしょう。 

3省3ガイドラインからの改正点

従来は厚生労働省、経済産業省、総務省のそれぞれがガイドラインを定めており、「3省3ガイドライン」の形をとっていました。さらにさかのぼれば「3省4ガイドライン」だった時期もあります。 

2021年8月に経済産業省のガイドラインと総務省のガイドラインが統合されたことにより、「3省2ガイドライン」となりました。
従前は、経済産業省のものは情報処理事業者向け、総務省のものはクラウド事業者向けとなっており、業務領域や事業者が重複していることが統合を行った理由となっています。 

この統合において、大きな変更点は下記の3点です。 

ガイドライン確認の負担減少

改正以前は、情報処理ベンダーは経産省のガイドラインを、クラウドベンダーは総務省のガイドラインを参照していました。
しかし、今や様々なサービスでクラウドの利用が進んでおり、医療分野においても「医療情報の外部保存をクラウドサービスとして提供するベンダー」が数多く生まれてきました。 

この状況を受けて、2省のガイドラインを1つのガイドラインに統合しています。
情報処理ベンダーとクラウドベンダーの混合が進んでおり、2省でガイドラインを分けることが現実的ではなくなったたことがその理由です。 

この統合以前は、厚労省のガイドラインに対応するために、総務省と経産省2つのガイドラインを確認する必要があり手間となっていました。
統合されたことにより医療機関や情報処理ベンダー等の負担が軽減されています。 

柔軟な対策の選択

改正前のガイドラインは「ベースラインアプローチ」はと呼ばれる記載項目の全てに対応する必要があるものでした。
このアプローチでは、ベンダーが実際に提供しているサービスや製品の特徴によって、ガイドラインとは異なる対策の方が効率的な場合がありました。 

改正後のガイドラインでは一律に要求事項を定めることはせず、個々の医療情報システムにおけるセキュリティリスクを洗い出した上で、それらリスクに応じた対策を行う「リスクベースアプローチ」という方針が取られています。
一定のセキュリティ基準を保ちながら、各ベンダーが自らの提供するシステムやサービスに応じて、適切な対策方法を柔軟に選択できるように変わっています。

医療機関等との密なコミュニケーション

医療の情報を扱う医療機関は患者に対して個人情報などに関する守秘義務を負います。
一方、情報処理ベンダーは医療機関などに対して、患者の情報などに関して安全管理措置を講じる義務を負うという関係です。 

契約時に医療機関とベンダーは、契約書やSLAといった文書によってこの関係について明示的な合意を形成する必要があります。
さらには、契約後も新たな脅威の出現や事故発生による対策の見直しなど状況の変化に応じて、合意を再度形成、維持していくことも必要です。 

しかしながら、医療機関はITやセキュリティに関する専門知識を有していない場合も多くあります。
この合意やそのための契約文書の作成で、コミュニケーションロスが発生する場合がありました。 

今回の新しいガイドラインでは、医療情報システム特有のリスクに応じて適切な対応を行うためのリスクマネジメントのプロセスが定められています。
プロセスに従って医療情報システムを提供する際に想定されるリスクを洗い出してから、対策案を実行するように変わりました。 

これにより、ベンダーはプロセスに従うことで適切な対応が実施可能となります。
さらには、ガイドラインの共有により医療機関などへの説明も行いやすくなり、緊密なコミュニケーションを支えます。 

LRMの3省2ガイドライン準拠支援コンサルティングサービス

医療機関における情報システムや情報管理においては、3省2ガイドラインに沿った取り組みが必要とされます。
しかしながら、対象範囲も広く、専門的な知識が必要で、どこから手を付けるべきなのか難しい内容です。 

そのような場合に活用できるのが、LRMの「3省2ガイドライン準拠支援コンサルティングサービス」です。
LRM株式会社では、医療機関や情報システム・サービスの提供者に向けた、3省2ガイドラインに準拠した取り組みへの支援サービスを提供しています。 

まとめ

3省2ガイドラインは、医療に関連した情報システムや情報管理を行う医療機関や情報処理ベンダーが、医療情報の保護を目的として従うべき内容をまとめたガイドラインです。
医療に関連して扱う情報には個人情報などの機密情報を含んでおり重要性が高く、近年ではサイバー犯罪のターゲットとなることもあるため、医療情報を扱う際には高いセキュリティが求められます。 

3省2ガイドラインに沿った仕組みや取り組みが医療機関と情報処理ベンダーには求められますが、対象範囲が広く専門知識も必要となるため、支援サービスの活用も視野に入れるとよいでしょう。