皆さん、3省4ガイドラインと言うものをご存知でしょうか。

単語だけ聞くと聞き馴染みのない言葉かと思いますので、「？」が浮かぶ方が多いのではないかと思います。

3省4ガイドラインとは、簡単に言ってしまうと、電子カルテなど電子化された医療情報を、クラウド上などに保存する際に遵守する必要がある、3つの行政機関から出された4つのガイドラインの通称です。

近年、医療情報のデータ化、クラウドサービスの利活用が進む中で、この3省4ガイドラインへの遵守に向けた取り組みをおこなう企業が徐々に増えてきています。

そこで今回は、この3省4ガイドラインとは具体的にどういったものなのか、少し詳しく触れてみたいと思います。

3省ってどこ？4ガイドラインってどれ？

3省4ガイドラインの3省とは、「厚生労働省、経済産業省、総務省」を指しています。

それら3つの省から、前述のとおり医療情報をクラウド上などに保存する際に遵守しなければならない事項がまとめられた下記4つのガイドラインが出されています。

厚生労働省

• 医療情報システムの安全管理に関するガイドライン

経済産業省

• 医療情報を受託管理する情報処理事業者における安全管理ガイドライン

総務省

• ASP・SaaS における情報セキュリティ対策ガイドライン
• ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン

どんな組織が対象？

上記ガイドラインの対象となるのは、主に病院や診療所、薬局、介護事業者です。

そのほか医療情報を取り扱うクラウドサービス事業者なども対象となります。

具他的な内容は？

それぞれのガイドラインで書かれている内容は異なりますが、全体を通して下記のようなことが言及されています。

• 医療施設の物理的な安全管理
• システムやネットワークの技術的な安全管理
• 情報を取扱う人の人的安全管理
• 医療情報を外部に委託する際の安全管理
• ASP・SaaS事業者が実施すべき情報セキュリティ対策

また、それぞれのガイドラインでは、主には以下のようなことが定められ、「管理策の考え方」「最低限実施すべき対策」「推奨される対策」といったことが提示されています。

• 電子化された医療情報を取扱う責任のあり方
• 医療情報を扱うシステムについての安全管理策
• 診療関係の記録等の情報を外部に保存する際の管理や運用の基準

この3省4ガイドラインは法律ではないため、医療関係者が遵守していなくても法律違反となるわけではありません。

しかし、医療情報は個人情報保護法でも「要配慮個人情報」として定義されており、管理を厳重にしなければならない状況にあります。

そのため、医療関係の情報を取扱う事業者、特にクラウドサービス事業者などはこれらのガイドラインについて項目を満たしていく必要があると言えます。