Glossary
「医療情報ガイドライン」とは、個人の医療に関する情報(病歴等)を扱う「医療情報システムやサービス」を利用する医療機関・介護事業者等および外部委託された情報処理事業者(開発会社やデータセンター、クラウド事業者等)に対して、厚生労働省、経済産業省、総務省が定めたルールである。厚生労働省のガイドラインは医療機関・介護事業者等向けのガイドライン、経済産業省と総務省のガイドラインは情報処理事業者(開発会社やデータセンター、クラウド事業者等)を対象としている。
2010年に厚生労働省によって「診療録等の保存を行う場所について」の一部改正が通知されるまで、電子化された診療録は、医療機関や医師会・自治体など医療機関に準ずる場所に設置されたサーバで管理されていたが、本改正によって一定の基準を満たした民間業者が運用するサーバで管理することが認められた。このように医療分野のクラウドサービス利用が解禁された一方で、「要配慮個人情報」である医療情報を取り扱うクラウドサービスは、非常に高い品質のセキュリティが求められることから、厚生労働省、経済産業省、総務省の3省が、医療機関および医療情報を取り扱うクラウドサービス事業者・情報処理事業者に対するガイドラインをそれぞれで策定し(医療情報ガイドライン)、医療分野においてクラウドサービスを利用する際のルール・守るべき規範を公開した。
「医療情報ガイドライン」では、医療情報システムやサービスのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を要求事項として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目は「必須項目」「推奨項目」が定められており、「必須項目」については最低限守るべきルールであり、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められることのある内容となる。
3省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境を用いて医療機関が「医療情報システム」を利用する場合にはすべてのガイドラインの対策項目を満たす必要がある。これまで3省がそれぞれガイドラインを定めていたが、2020年8月に経済産業省・総務省によりシステムやサービスの提供事業者に対するガイドラインを統合しており、「3省2ガイドライン」と総称することもある。
なおデジタル技術の進展に伴い、昨今では医療機関における診療時などの医療領域でのデジタル活用にとどまらず、予防や健康増進といったヘルスケア領域でのデジタル活用が行われるようになってきた。ヘルスケア領域においては、個人が自身の医療情報やデータを記録し、これらをもとに企業などがサービスを提供する「PHR(Personal Health Record/パーソナルヘルスレコード)」などが広まりつつあり、ヘルスケア領域でのセキュリティ対策も一定の基準が求められてくる。このPHRに関しては医療情報ガイドラインの中では一時触れられていたこともあるが、現在では述べられていない。
現状でPHRに関して基本となるセキュリティ対策としては、厚生労働省・総務省・経済産業省が2021年4月に公表した「民間PHR事業者による健診等情報の取扱いに関する基本的指針」の別紙には「本指針に係るチェックシート」という内容に、事業者の情報セキュリティや個人情報の取り扱いに関するチェックリストがあり、参考になると考えている。その中には、組織的・技術的・人的・物理的セキュリティ対策が含まれ、中小規模の事業者でも着手しやすい基本的な内容となっている。PHRサービス事業者はこれを参照することで、基本的なセキュリティ対策を実装できる。
PHRとしては、マイナポータルで参照可能な健診等情報も含まれ、マイナポータルと連携した利用者へのサービス提供にあたって本指針に定められた対策が求められる。
PHR情報を扱う医療機関の場合には、そのPHR情報を診療で利用するのであれば、医療情報ガイドラインに則る必要がある。その点については、厚生労働省「医療情報システムの安全管理に関するガイドライン 第5.2版」の「3. 本ガイドラインの対象システム及び対象情報」において、医療情報(医療に関する患者情報)を扱う全ての情報システムと、それらのシステムの導入、運用、利用、保守及び廃棄に関わる人及び組織を対象としており、「3.4. 取扱いに注意を要する文書等」において、「診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像」に関しては法令により対象となる文書以外であっても個人情報の保護について留意しなければならない、と書かれている。
医療情報ガイドラインおよび「民間PHR事業者による健診等情報の取り扱いに関する基本的な指針」では、対象となる事業者に対して、プライバシーマークもしくはISMS認証(ISO27001)の取得が求められている。
経済産業省・総務省のガイドラインの要求事項はこれらの第三者認証の要求事項と類似する部分も多く、第三者認証取得に向けた活動を行うこともガイドラインへの対策には有効である。
メディエイドではISO27001を取得し、医療ヘルスケア領域でのセキュリティ支援サービスを提供しております。詳細は、サービスサイトにてご紹介しております。