用語集

医療ガイドライン

「医療ガイドライン」とは「医療情報ガイドライン」とも呼ばれ、個人の医療に関する情報(病歴等)を扱う「医療情報システムやサービス」を利用する医療機関・介護事業者等および外部委託された情報処理事業者(開発会社やデータセンター、クラウド事業者等)に対して、厚生労働省、経済産業省、総務省が定めたルールである。

「医療ガイドライン」では、医療情報システムやサービスのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を要求事項として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目は「必須項目」「推奨項目」が定められており、「必須項目」については最低限守るべきルールであり、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められることのある内容となる。

3省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境を用いて医療機関が「医療情報システム」を利用する場合にはすべてのガイドラインの対策項目を満たす必要がある。これまで3省がそれぞれガイドラインを定めていたが、2020年8月に経済産業省・総務省によりシステムやサービスの提供事業者に対するガイドラインを統合しており、「3省2ガイドライン」と総称することもある。

厚生労働省

  • 「医療情報システムの安全管理に関するガイドライン第5版」(2017年5月告示)

医療機関・介護事業者等が守るべきルールである。病院内システム等を含む医療機関で扱う「医療情報システム」を運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容を提示している。
第5版においては、改正個人情報保護法の施行に伴い介護事業者が本ガイドラインの対象に指定された他、IoT利用における規定の追加やBYODに関する規定の改定、クラウド環境利用時に一般的なSSL通信における規定が追加された内容となっている。

総務省・
経済産業省

クラウド形式で医療情報システムを提供する場合に、提供事業者が経済産業省「情報処理事業者ガイドライン」と総務省「クラウド事業者ガイドライン」(後述)の両方を参照して対応する必要が生じていることから、総務省・経済産業省において2つのガイドラインの統合・改定が図られ、2020年8月に公開された。
新ガイドラインでは、要求事項が①提供する医療情報システム・サービスの内容に応じたリスク度合いに応じて、リスク分析に基づき対策を求める分野と、②法令等の制度上の要求事項に基づき一律の対応を求める分野に区別された。
前者については、従来の一律の要求事項に対応することが必ずしも求められないこととなったが、別紙として旧総務省・経済産業省ガイドラインで示された要求事項を整理・統合した「対応項目」が示されており、当該対応項目への対応状況を確認することは必須と定められており、当面は従来のガイドラインへの要求事項への対策をベースとした対策が求められる。

経済産業省
  • 「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(2012年10月告示)

総務省・経済産業省ガイドラインの前身の1つである。医療機関から外部委託を受けて「医療情報システム」を運営する情報処理事業者が守るべきルールである。運営事業者の管理体制やシステムの設置場所、システム保守時のセキュリティ対策が含まれている。

総務省
  • 「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン第1版」(2018年7月告示)

総務省・経済産業省ガイドラインの前身の1つである。クラウド環境等ネットワークを通じて医療機関・介護事業者等にサービスとして「医療情報システム」を提供する運営事業者が守るべきルールである。サービスを提供するにあたり、サービス提供元として対応するべきセキュリティ対策が含まれる。
以前の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」「ASP・SaaS における情報セキュリティ対策ガイドライン」に対して、広くクラウドサービス事業者を対象とし、改正個人情報保護法の施行に合わせた厚生労働省ガイドラインの改定に対応する形式で改定された。

医療機関においては、院内の医療情報システムは当然のことながら、外部事業者に委託した場合であっても管理責任を問われる立場となる。利用する外部事業者の情報システムについても、ガイドラインに準拠したセキュリティ対策がなされているか把握する必要がある。そのためには「医療ガイドライン」の内容を理解して医療情報システムの構築・運営をしている専門事業者と協働して医療情報システムの導入・運営を行うのが有用である。
一方、医療情報システム・サービスを提供する事業者においては、総務省・経済産業省ガイドラインに準拠した上で、利用者となる医療機関が定める厚生労働省ガイドラインに基づく運用方針との調整が求められる。

 


メディエイドにおいては、これまで様々な医療クラウドを活用したサービスを提供して参りました。サービス提供にあたり、厚生労働省・経済産業省・総務省の3省2ガイドラインの内容を読み込み、同ガイドラインに沿った医療クラウドを構築してきました。

この医療クラウド構築でのノウハウを元に、医療機関でのクラウドサービス利用時におけるガイドライン準拠をサポートするコンサルティングサービスを提供しております。
医療クラウドを構築されるサービス提供者の方、また医療クラウドを利用される医療機関の方でお困りの方は、お気軽にお問合わせください。

お問い合わせはこちら

 

関連記事

  1. モバイルヘルス
  2. リサーチキット(Research Kit)
  3. Continua
  4. HealthKit
  5. マイナンバー(医療等ID)
  6. 患者エンパワーメント
  7. 電子版お薬手帳
  8. 医薬品関連マスタ
PAGE TOP