用語集

医療ガイドライン

「医療ガイドライン」とは「医療情報ガイドライン」とも呼ばれ、個人の医療に関する情報(病歴等)を扱う「医療情報システム」を利用する医療機関・介護事業者等および外部委託された情報処理事業者(開発会社やデータセンター、クラウド事業者等)に対して、厚生労働省、経済産業省、総務省が定めたルールである。

「医療ガイドライン」では、医療情報システムのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を「必須項目」「推奨項目」として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目のうち、「必須項目」については最低限守るべきルールとされ、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められる内容となる。

3省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境において「医療情報システム」を運営する場合にはすべてのガイドラインの対策項目を満たす必要がある。ガイドラインを「3省4ガイドライン」と総称することもある。

厚生労働省

  • 「医療情報システムの安全管理に関するガイドライン第5版」(2017年5月告示)

医療機関・介護事業者等が守るべきルールである。病院内システム等を含む医療機関で扱う「医療情報システム」を運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容を提示している。
第5版においては、改正個人情報保護法の施行に伴い介護事業者が本ガイドラインの対象に指定された他、IoT利用における規定の追加やBYODに関する規定の改定、クラウド環境利用時に一般的なSSL通信における規定が追加された内容となっている。

経済産業省
  • 「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(2012年10月告示)

医療機関から外部委託を受けて「医療情報システム」を運営する情報処理事業者が守るべきルールである。運営事業者の管理体制やシステムの設置場所、システム保守時のセキュリティ対策が含まれる。

総務省
  • 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン第1.1版」(2010年12月告示)
  • 「ASP・SaaS における情報セキュリティ対策ガイドライン」(2008年1月告示)

ASP/SaaS等ネットワークを通じて医療機関・介護事業者等にサービスとして「医療情報システム」を提供する運営事業者が守るべきルールである。サービスを提供するにあたり、サービス提供元として対応するべきセキュリティ対策が含まれる。

医療機関においては、院内の医療情報システムは当然のことながら、外部事業者に委託した場合であっても管理責任を問われる立場となる。利用する外部事業者の情報システムについても、ガイドラインに準拠したセキュリティ対策がなされているか把握する必要がある。そのためには「医療ガイドライン」の内容を理解して医療情報システムの構築・運営をしている専門事業者と協働して医療情報システムの導入・運営を行うのが有用である。

 


メディエイドにおいては、これまで様々な医療クラウドを活用したサービスを提供して参りました。サービス提供にあたり、厚生労働省・経済産業省・総務省の3省4ガイドラインの内容を読み込み、同ガイドラインに沿った医療クラウドを構築してきました。

この医療クラウド構築でのノウハウを元に、医療機関でのクラウドサービス利用時におけるガイドライン準拠をサポートするコンサルティングサービスを提供しております。
医療クラウドを構築されるサービス提供者の方、また医療クラウドを利用される医療機関の方でお困りの方は、以下のお問い合わせフォームより、お気軽にお問合わせください。

お問い合わせはこちら

 

関連記事

  1. 患者エンパワーメント
  2. PHR
  3. PRO(Patient Reported Outcome)
  4. GoogleFit
  5. マイナンバー(医療等ID)
  6. インシュアテック インシュアテック
  7. 電子版お薬手帳
  8. 患者調査
PAGE TOP