医療の現場では、患者の個人情報など漏えいが許されない情報が多く、厳重な注意が必要です。
電子カルテや遠隔医療に向けたICT技術の活用など、医療分野はIT活用の進歩が続く領域でもあります。医療事業者の業務効率向上による人材不足の解消、新たな医療サービスによる患者へのメリットの供与など社会的意義も大きいです。
一方で、扱う情報の重要性の高さから、情報管理での問題が起きた場合には社会的影響は大きいものとなります。問題の起きないITによる仕組みづくりと、運用上のルールを定めることが必須です。
本項で紹介するガイドラインは、医療機関での情報システムにおける安全管理について定めたものです。医療機関および情報システム・サービス事業者の両者に向けたガイドラインについて、概要や事例について紹介します。
また、組織のセキュリティご担当者様へ、LRMでは、必要かつ作るのが大変な情報セキュリティポリシーの作り方とサンプルをまとめた資料を無料で配布しています。
医療情報システムのガイドラインとは
2023年時点で日本国内の医療情報システムに関するガイドラインの代表的なものは、下記の二つです。
厚生労働省による「医療情報システムの安全管理に関するガイドライン」は、医療関係者に向けた情報システム利用におけるセキュリティ対策などが定められています。
また、経済産業省、総務省による「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、医療情報システムを提供する情報処理事業者に向けた内容で、クラウドサービスを含めた情報システムの医療への提供時の要求事項などが主な記載内容となります。
医療情報システムのガイドラインの内容
より詳細に、各ガイドラインの内容について紹介します。
厚生労働省「医療情報システムの安全管理に関するガイドライン」
医療機関等における情報システムでの安全な情報管理について定めています。患者の情報を守り、情報セキュリティの面で安全・安心な医療機関を運営するために守るべき内容です。
以下、確認すべきとして挙げられている内容の例です。
- セキュリティの責任者を置くこと(組織体制の構築)
- 情報へのアクセスを適切に制御
- IoT(モノのインターネット)機器の管理
- パソコンの外部持ち出しに関する⽅針や規程の整備
- BYODの原則禁⽌(スマホなど個人の情報機器、公衆無線LANなどは医療システムでは利用しない)
- サイバー攻撃などへの対応
- バックアップ
- 利用が終了した情報の破棄
経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
医療機関に情報システムを提供する事業者向けの情報の安全管理について定めたガイドラインです。
従来、クラウドサービス提供事業者向けには総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」がありましたが、現在では統合されています。
この資料は、下記の構成になっています。
- 基本方針
- ガイドラインの対象(医療情報、事業者の定義)
- 医療情報の安全管理に関する義務・責任
- 対象事業者と医療機関等の合意形成
- 安全管理のためのリスクマネジメントプロセス
- 制度上の要求事項
情報セキュリティポリシーの作成・運用のポイントがサンプル付きでわかる資料はこちら。
医療情報システムのガイドラインを適用した事例
これらのガイドラインは発行から一定の期間が過ぎ、多くの医療機関や事業者がガイドラインにそって医療情報を取り扱っている事例が存在します。
AWS
クラウドサービス提供事業者であるAWS(Amazon Web Services)では、AWSの環境で医療情報を取り扱うシステムを構築する際に参照されるガイドラインへの対応のための「医療情報システム向けAWS利用リファレンス」の文書作成にあたって、AWSパートナー各社を支援しています。
当該の文書はAWSパートナー各社のHPよりダウンロードできるほか、AWSとしても利用者が医療情報システムの要件に対応するための各種サービス、関連情報を提供しています。
保健・医療・福祉情報セキュアネットワーク基盤普及促進コンソーシアム
保健・医療・福祉情報セキュアネットワーク基盤普及促進コンソーシアムは、「保健・医療・福祉の各分野において、セキュアなネットワーク基盤を効率よく実現すること」を目的とした団体です。『「医療情報システムの安全管理に関するガイドライン」の実装事例に関する報告書』として、厚生労働省のガイドラインを実装した事例についての報告を行っています。
医療情報に関するネットワーク構築を行う際の参考となりますが、2007年の報告のため技術的な点についてはアップデートが必要です。
これらの医療情報システムのガイドラインは3省2ガイドラインと呼ばれる
下記の2つのガイドラインは、医療に関する情報を取り扱う事業者が準拠するべきガイドラインとして、まとめて「3省2ガイドライン」と呼ばれています。
いずれも、医療情報システムを利用して安全で適切に情報を管理・運用するための指針となるものです。
医療情報システムの3省2ガイドラインについては、「3省2ガイドラインとは?制定の背景や変更点を解説」でも詳しく紹介しています。
まとめ
医療情報を扱うシステムでは個人情報を扱うため、医療機関、情報システム事業者ともに注意が必要です。医療情報システムの安全管理について、医療機関には厚生労働省から、情報システム事業者には経済産業省・総務省からガイドラインが発行されています。医療情報システムに携わる関係者は、内容を熟知し対策が必要です。
LRM株式会社の3省2ガイドライン準拠支援コンサルティングサービス
LRM株式会社では、医療情報を扱う情報システム・サービスの提供事業者向けに「3省2ガイドライン準拠支援コンサルティングサービス」を提供しています。
医療機関と情報システム・サービス事業者間の契約においては、3省2ガイドラインへの準拠を求められることが一般的です。もちろん、提供するシステム・サービスにおいても契約内容を実現しているしている必要があり、契約とそぐわない場合には訴訟に発展することもあります。
医療情報を扱う情報システムを取り扱う際には3省2ガイドラインへの対処が必須といえ、本サービスは準拠に向けた支援を行うコンサルティングサービスです。