Glossary
医療情報ガイドラインは、医療機関や介護事業者、クラウドサービス事業者などが、患者の医療情報を安全に管理・運用するために守るべきルールです。このガイドラインは、厚生労働省、経済産業省、総務省の3省が策定しており、医療情報を取り扱うすべての組織に対してセキュリティ対策の指針を提供しています。
医療情報ガイドラインは、医療情報の漏洩や不正アクセスから患者の個人情報を守ることを目的としており、患者の医療データを取り扱う医療機関や情報処理サービス事業者にとっては不可欠な基準です。これにより、デジタル化された医療情報の安全な運用が確立され、医療サービスの質向上に寄与しています。
また医療情報ガイドラインの背後には、いくつかの重要な法令が存在します。それらの法令が医療情報の取り扱いに大きな影響を与えているため、法的な側面も理解することが不可欠となります。他の情報システムに関するガイドラインと異なり、医療情報システムについてに特化したガイドラインが策定される背景については、機微な個人情報を取り扱うという面もありますが、仮にクラウドが海外にあり、海外でそのクラウドが差し押さえられてしまうことで医師法に違反することになる、などのことを回避するためにこのような法令を鑑みたガイドラインとなっています。
医療情報ガイドラインは、もともと「3省4ガイドライン」として知られていました。これは厚生労働省、経済産業省、総務省が共同で策定したもので、医療機関や介護事業者、クラウドサービス事業者が遵守すべきルールを包括的に定めていました。現在は3省2ガイドラインとなっていますが、そこまでの変遷を以下に整理します。
個人情報保護法(2005年施行)やe文書法といった法令の制定が、医療情報の管理と保存に新たな法的枠組みを提供しました。これに伴い、医療機関やサービス提供者は、医療における患者の個人情報を電子化して取り扱うことが認められるとともにこれらの法令に準拠した形で扱う必要が生じ、データの取り扱い基準が厳格化されました。特に、電子化された情報のやり取りが日常的になる中で、患者のプライバシー保護とセキュリティ強化が求められるようになり、これが3省4ガイドラインへと移行する要因の一つとなりました。3省4ガイドラインの時代では、以下の4つのガイドラインで構成されており、ガイドラインへの準拠を確認することがとても大変でした。
・厚生労働省: 医療情報システムの安全管理に関するガイドライン
・経済産業省: 医療情報を受託管理する情報処理事業者における安全管理ガイドライン
・総務省: ASP・SaaSにおける情報セキュリティ対策ガイドライン
・総務省: ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン
2010年代に入ると、クラウドコンピューティングが急速に普及し、医療機関は外部のクラウドサービス事業者やデータセンターを利用して医療情報を管理するケースが増加しました。この技術の進展により、従来の院内管理システムだけでなく、外部のサービスプロバイダーとのデータ共有や管理が重要な課題となり、医療情報ガイドラインはより広範囲のシステムを網羅する必要がありました。これにより医療情報ガイドラインの構成を見直し、従来2ガイドラインに分かれていた総務省のガイドラインですが、2018年に統合され、「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」となりました。これによって3省3ガイドラインとなります。
さらに2020年に、それぞれのガイドラインへの対応負荷やサイバー攻撃の高度化、各種セキュリティ規格の整備に伴い、総務省のガイドラインと経済産業省のガイドラインがさらに統合されて3省2ガイドラインとなり、現在の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」となりました。現在の版は2023年(令和5年)に改定された第1.1版になります。
また厚生労働省の「医療情報システムの安全管理に関するガイドライン」についても、2017年には改正個人情報保護法の施行に伴って第5版が発行されたあと、クラウドサービスやゼロトラスト(ネットワーク内部であっても全てのアクセスを常に検証し、信頼できるかどうかを判断するセキュリティモデル)等の技術動向への対応や、総務省・経済産業省のガイドラインとの整合性を考慮しながら改定され、現在は2023年(令和5年)に発行された第6.0版が最新となります。
なお3省2ガイドラインでは、新たなセキュリティリスクに対応するため、サイバーセキュリティ対策が大幅に強化されています。これに伴い、クラウド事業者や医療機関に対する要件も一層厳格化され、ガイドラインは医療データの外部委託に関する規定をより明確に定めることになりました。
2023年には、オンライン資格確認(※)が原則義務化され、マイナンバーカードを保険証として利用できるようになりました。この措置により、医療機関は患者のデジタル情報をより広範囲で扱う必要が生じ、ネットワーク経由でのセキュリティ対策がさらに重要視されるようになりました。
(※)オンライン資格確認とは?
病院・クリニックなどの医療機関や薬局では、患者が加入している医療保険を確認する必要があります。この作業を「資格確認」と呼びます。従来の資格確認の方法は、患者の健康保険証を受け取り、記号・番号・⽒名・⽣年⽉⽇・住所などを医療機関システムに入力する、というものでしたが、この方法では「入力の手間がかかる」「患者を待たせてしまう」などの難点がありました。また、資格を失効した保険証を患者が提示した場合、医療機関・薬局が保険証の発行元(保険者)に医療費の一部を請求しても医療機関への支払いが行われなかったり、保険者が「元被保険者」である患者の医療費を負担したりすることになる問題がありました。
こうした背景があり、2021年10月に本格運用がスタートしたのが「オンライン資格確認」です。マイナンバーカードを医療機関や薬局などで読み込んでその場で確認する、もしくは健康保険証を提示してそこに記載されている記載番号等をその場で入力して確認するといった内容です。
2023年に発行された「医療情報システムの安全管理に関するガイドライン 第6.0版」は、急速に進む医療デジタル化の中で、特にオンライン資格確認(マイナンバー保険証)の導入に伴い、セキュリティ強化が義務化されています。
ガイドライン第6.0版の分冊化による各編の概要は以下のとおりです。
概説編
ガイドラインの対象とする医療機関等、医療情報や文書、医療情報システムの範囲を示しています。また、ガイドラインの全体構成や各編で共通となる内容をまとめています。医療情報システムの運用形態がクラウド型かオンプレミス型かによる各編における参照事項の違いについても解説しています。
経営管理編
医療機関等の経営層が組織として遵守・判断するべき事項、また企画管理者、システム運用担当者の管理上必要な事項をまとめています。
リスク評価や安全管理のための制度、監査、セキュリティ事故への対策、外部事業者との責任の管理などが含まれます。
企画管理編
医療機関等で医療情報システムの企画を行う担当者が担うと考えられる、医療情報システム運用の組織体制、規程の整備、システム実装・運用をシステム運用担当者に指示、管理する際の遵守事項をまとめています。
システム運用編
医療機関等で医療情報システムを実装・運用する実務担当者が担う、医療情報システムの設計、実装、運用等において遵守する事項をまとめています。
医療情報ガイドラインは、医療機関やクラウドサービス事業者に向けて、以下の3つのセキュリティ対策を要求事項として求めています。
これらの対策は、特に機微情報である医療情報を扱う際に必要不可欠であり、組織が遵守しない場合は法的責任が問われることもあります。
医療情報ガイドラインは、以下の対象者に適用されます。
なおデジタル技術の進展に伴い、昨今では医療機関における診療時などの医療領域でのデジタル活用にとどまらず、予防や健康増進といったヘルスケア領域でのデジタル活用が行われるようになってきました。ヘルスケア領域においては、個人が自身の医療情報やデータを記録し、これらをもとに企業などがサービスを提供する「PHR(Personal Health Record/パーソナルヘルスレコード)」などが広まりつつあり、ヘルスケア領域でのセキュリティ対策も一定の基準が求められています。このPHRに関しては医療情報ガイドラインの中では一時触れられていたこともありますが、現在では述べられていません。
現状でPHRに関して基本となるセキュリティ対策としては、厚生労働省・総務省・経済産業省が2021年4月に公表した「民間PHR事業者による健診等情報の取扱いに関する基本的指針」の別紙に「本指針に係るチェックシート」という事業者の情報セキュリティや個人情報の取り扱いに関するチェックリストがあり、参考にできます。その中には、組織的・技術的・人的・物理的セキュリティ対策が含まれ、中小規模の事業者でも着手しやすい基本的な内容となっています。PHRサービス事業者はこれを参照することで、基本的なセキュリティ対策を実装できます。
PHRには、マイナポータルで参照可能な健診等情報も含まれます。マイナポータルと連携した利用者へのサービス提供にあたっては、本指針に定められた対策が求められます。
PHR情報を扱う医療機関が、その情報を診療で利用する場合、医療情報ガイドラインに従う必要があります。厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版 概説編」の「2.本ガイドラインの対象」において、医療情報とは、医療に関する患者情報(個人識別情報)を含む情報を想定すること、すべての医療情報システムの導入、運用、利用、保守及び廃棄に関わる者を対象とするとなっています。また、ガイドラインで対象とする文書は、医療情報を含む文書全般を想定し、法定の保存義務の有無を問わないとされています。
医療情報ガイドラインおよび「民間PHR事業者による健診等情報の取り扱いに関する基本的な指針」では、対象となる事業者に対して、プライバシーマークもしくはISMS認証(ISO27001)の取得が求められています。
経済産業省・総務省のガイドラインの要求事項はこれらの第三者認証の要求事項と類似する部分も多く、第三者認証取得に向けた活動を行うこともガイドラインへの対策には有効です。
医療機関にデータ管理や情報処理を提供する企業(以下、医療ヘルスケア・サービス提供事業者)が医療情報ガイドラインに準拠していることを示すためには、次のSTEPが医療情報ガイドライン対策となります。これにより医療機関や医療機関向けSIerからの開示要求にいつでも回答できる状態にすることが必要となります。医療機関は利用するシステムの医療情報ガイドライン準拠状況を確認し、医療機関として対策が十分か確認する必要があります。
STEP-1
提供するサービスが医療情報ガイドラインの要求事項を満たしているかどうかを確認します。
STEP-2
医療情報ガイドラインの各要求事項に対してサービス状況を確認し、医療機関・介護事業者等でのシステム利用時に必要な対策を洗い出します。対策として不足がある場合には、改善策を検討し、対策をおこないます。改善策と対策はケースバイケースですが、システム仕様を変更するケース、セキュリティ製品を導入するケース、契約書や規定で対応を行うケースなどがあります。
STEP-3
最終的な対策状況については、明文化をします。
メディエイドでは、医療情報ガイドラインに基づいたセキュリティ対策のコンサルティングを行っております。
「医療情報システムの安全管理に関するガイドライン 第6.0版」では、セキュリティ対策を経営層、安全管理の責任者、システム運用担当者の各層で対応する必要があることが示されました。当社では従来より、医療情報ガイドライン対策として、ガイドラインの要求事項を組織体制・契約の観点、システムアーキテクチャーの観点、システム運用の観点に分類してチェックを可能とするオリジナルなチェックシートを提供しております。チェックのみではなく、実際にPHRプラットフォーム構築や様々な医療ヘルスケア企業向けSI事業で得られた、インフラからアプリ、契約・運用に関する経験とノウハウを活かし、具体的な対策案までご提示させていただく伴走コンサルティング・サービスを提供しています。
またISO27001・ISO27017・Pマーク取得に向けたサポートも提供しています。医療機関やクラウドサービス事業者が必要とするセキュリティ対策の導入や、最新のガイドラインに対応するための具体的な提案を行います。
以下のようなことでお悩みの場合には、お気軽にお問い合わせください
医療情報ガイドライン対応に関するコンサルティングや、ISO27001・ISO27017・Pマーク取得支援については、以下のページをご参照いただければと思います。
>> 医療情報ガイドラインに沿ったセキュリティ対策支援の詳細はこちら
医療ヘルスケア領域におけるセキュリティ全般の詳細な解説はこちら
医療情報ガイドラインを含む医療ヘルスケア領域に関するセキュリティ全般についての解説を以下でおこなっています。
その他メディエイドが提供するサービスのお申し込み・お問い合わせ
その他ニーズに合わせた最適なソリューションをご提案いたします。またメディエイドの提供サービスは以下からご覧いただければ幸いです。