医療情報ガイドライン

「医療情報ガイドライン」とは

「医療情報ガイドライン」とは、個人の医療に関する情報（病歴等）を扱う「医療情報システムやサービス」を利用する医療機関・介護事業者等および外部委託された情報処理事業者（開発会社やデータセンター、クラウド事業者等）に対して、厚生労働省、経済産業省、総務省が定めたルールである。厚生労働省のガイドラインは医療機関・介護事業者等向けのガイドライン、経済産業省と総務省のガイドラインは情報処理事業者（開発会社やデータセンター、クラウド事業者等）を対象としている。

2010年に厚生労働省によって「診療録等の保存を行う場所について」の一部改正が通知されるまで、電子化された診療録は、医療機関や医師会・自治体など医療機関に準ずる場所に設置されたサーバで管理されていたが、本改正によって一定の基準を満たした民間業者が運用するサーバで管理することが認められた。このように医療分野のクラウドサービス利用が解禁された一方で、「要配慮個人情報」である医療情報を取り扱うクラウドサービスは、非常に高い品質のセキュリティが求められることから、厚生労働省、経済産業省、総務省の3省が、医療機関および医療情報を取り扱うクラウドサービス事業者・情報処理事業者に対するガイドラインをそれぞれで策定し（医療情報ガイドライン）、医療分野においてクラウドサービスを利用する際のルール・守るべき規範を公開した。

「医療情報ガイドライン」の内容

「医療情報ガイドライン」では、医療情報システムやサービスのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を要求事項として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目は「必須項目」「推奨項目」が定められており、「必須項目」については最低限守るべきルールであり、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められることのある内容となる。

「医療情報ガイドライン」への対策

３省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境を用いて医療機関が「医療情報システム」を利用する場合にはすべてのガイドラインの対策項目を満たす必要がある。これまで３省がそれぞれガイドラインを定めていたが、2020年8月に経済産業省・総務省によりシステムやサービスの提供事業者に対するガイドラインを統合しており、「３省２ガイドライン」と総称することもある。

■厚生労働省「医療情報システムの安全管理に関するガイドライン第5.2版」(令和4年3月発行)

医療機関・介護事業者等が守るべきルールである。病院内システム等を含む医療機関で扱う「医療情報システム」を運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容を提示している。第5版においては、情報システムを取り巻く環境・改正個人情報保護法の施行に伴い改定が行われた。主な改定は以下となる。

・介護事業者が本ガイドラインの対象に指定された
・IoT利用における規定を追加
・BYODの原則禁止（第5.2版で改定）
・クラウド環境利用時に一般的なSSL通信における規定が追加
その後も第5.1版において、サイバー攻撃の被害増加に伴う既定の追加、第5.2版ではランサムウェアへの対策や電子署名の整理、第5版で原則禁止としていたBYODに関する改定が行われた。

医療機関におけるマイナンバー保険証の導入により、ガイドラインへの対応が必要となることに伴い、2023年度中にも第6.0版への改定が予定されている。

■経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（令和2年8月発行、令和４年8月改定）

医療情報システム・サービスを提供するクラウド事業者を含む情報システム事業者が守るべきルールである。厚生労働省のガイドラインおよび従来の経済産業省・総務省のガイドラインで策定された安全管理の水準を引き継ぎながら、大きく①情報セキュリティ対策、②関連法令への対策にわけて、前者については情報システム毎のリスクを分析して適切な対策を設計する「リスクベースアプローチ」の採用を求め、後者については必要な要求事項を求めている。なお、従来のガイドラインにおいて策定された要求事項に関しても必要な対策を求めている。旧総務省ガイドラインで策定されたPHRサービスに関する記述は、上記ガイドラインでは除外されている。厚生労働省のガイドライン改正に伴い、本ガイドラインについても2023年度中に第1.1版への改定が予定されている。

ヘルスケア領域におけるセキュリティ

なおデジタル技術の進展に伴い、昨今では医療機関における診療時などの医療領域でのデジタル活用にとどまらず、予防や健康増進といったヘルスケア領域でのデジタル活用が行われるようになってきた。ヘルスケア領域においては、個人が自身の医療情報やデータを記録し、これらをもとに企業などがサービスを提供する「PHR（Personal Health Record/パーソナルヘルスレコード）」などが広まりつつあり、ヘルスケア領域でのセキュリティ対策も一定の基準が求められてくる。このPHRに関しては医療情報ガイドラインの中では一時触れられていたこともあるが、現在では述べられていない。

現状でPHRに関して基本となるセキュリティ対策としては、厚生労働省・総務省・経済産業省が2021年4月に公表した「民間PHR事業者による健診等情報の取扱いに関する基本的指針」の別紙には「本指針に係るチェックシート」という内容に、事業者の情報セキュリティや個人情報の取り扱いに関するチェックリストがあり、参考になると考えている。その中には、組織的・技術的・人的・物理的セキュリティ対策が含まれ、中小規模の事業者でも着手しやすい基本的な内容となっている。PHRサービス事業者はこれを参照することで、基本的なセキュリティ対策を実装できる。
PHRとしては、マイナポータルで参照可能な健診等情報も含まれ、マイナポータルと連携した利用者へのサービス提供にあたって本指針に定められた対策が求められる。

PHR情報を扱う医療機関について

PHR情報を扱う医療機関の場合には、そのPHR情報を診療で利用するのであれば、医療情報ガイドラインに則る必要がある。その点については、厚生労働省「医療情報システムの安全管理に関するガイドライン第5.2版」の「3. 本ガイドラインの対象システム及び対象情報」において、医療情報（医療に関する患者情報）を扱う全ての情報システムと、それらのシステムの導入、運用、利用、保守及び廃棄に関わる人及び組織を対象としており、「3.4. 取扱いに注意を要する文書等」において、「診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像」に関しては法令により対象となる文書以外であっても個人情報の保護について留意しなければならない、と書かれている。