医療情報システムの安全管理ガイドラインについて解説!効率的な対応方法とは?

medical-systems_img.webp

2023年(令和5年)5月、厚生労働省より「医療情報システムの安全管理に関するガイドライン 第6.0版(以下:医療情報安全管理ガイドライン)」が公開されました。

ちなみに、同年7月に経済産業省・総務省から公開された「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版」とあわせて、これらのガイドラインは3省2ガイドライン」といわれています。

本記事では、3省2ガイドライン策定の経緯や、各ガイドライン最新版のポイントを詳しく解説します。対応を効率化するための方法もご紹介しますので、医療情報システムを取り扱う医療機関の担当者はぜひ最後までご覧ください。

医療情報システムの3省2ガイドラインとは

medical_systems_guideline.png

3省2ガイドラインとは、医療情報システムを取り扱う医療機関と事業者に対し、医療情報を安全かつ適切に運用するための指針を示したものです。

3省とは「厚生労働省・経済産業省・総務省」を指し、2ガイドラインは「医療機関向け」「医療情報システムを提供している事業者向け」に公開されているそれぞれのガイドラインを意味しています。

▼医療機関向け
厚生労働省:医療情報安全管理ガイドライン

▼事業者向け
経済産業省・総務省:医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

現在の3省2ガイドラインになるまでの流れ

medical_systems_flow.png

もともと、3省が策定している医療情報システムに関するガイドラインは全部で4つ存在していました。(3省4ガイドライン)

厚生労働省医療情報安全管理ガイドライン
経済産業省医療情報を受託管理する情報処理事業者における安全管理ガイドライン
総務省ASP・SaaSにおける情報セキュリティ対策ガイドライン
総務省ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン

その後、まず総務省が公開した2ガイドラインが一つに統合され、さらに対象をPaaSやIaaS等のクラウドサービス事業者まで拡大したことから、「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」という名前に変更となりました。(3省3ガイドライン)

さらに2018年には、医療情報を取り巻く環境の複雑化や、複数のガイドラインに対応しなければならない事業者の負担を鑑み、経済産業省と総務省のガイドラインも統合されることとなりました。

それ以降、現在まで3省2ガイドラインの形が継続されています。

医療情報システムに関する各ガイドラインが重要視される理由

medical_systems_important.png

通常の個人情報を取り扱う情報システムに関するガイドラインがすでに存在しているにも関わらず、なぜ医療情報システムだけ個別にガイドラインが公表されているのでしょうか。

厚生労働省が策定している「医療情報安全管理ガイドライン」では、医療情報システムにおける安全管理の目的について以下のような内容が記されています。

参考

医療情報システムで取り扱う医療情報の重要性

医療情報システムで取り扱う医療情報は、患者の病歴といった機微性の高い個人情報を多く含んでいます。
よって医療情報が適切に管理されなかった場合、患者の生命や体の安全に直接影響を及ぼす可能性があるため、これらの情報は慎重に取り扱わなければなりません。

一方で、医療機関の間で適切に医療情報が提供・共有されることは、患者へ継続的に医療を提供することにもつながります。

こうした観点において、医療情報を安全かつ適切に運用できる医療情報システムの存在は非常に重要なのです。

医療情報システムにおける安全管理の必要性

上記の通り、医療情報には多くの機微情報が含まれています。
したがって、それを取り扱う医療情報システムに求められる安全管理が、一般的な情報システムに求められるものよりも高い水準となるのは自明でしょう。

例えば医療情報システムがサイバー攻撃に遭った場合、システムの停止が患者の生命の危険につながる可能性すら否定できません。

実際、2020年にはドイツにある大学病院のシステムがランサムウェア攻撃によってダウンし、救命医療を受ける予定だった女性を受け入れられず、別の病院へ転送された末に死亡してしまったというショッキングなニュースがありました。

その後の捜査で、女性の当時の容態から「サイバー攻撃と患者の死亡には関連性がない」と結論付けられましたが、医療情報システムの安全が脅かされた際にこうした事態が発生するのは時間の問題とする論調もあります。

このような悲劇を未然に防ぐためにも、医療情報システムの安全管理には通常より厳しい基準が求められているのです。

医療情報システムの安全管理に関するガイドライン

medical_systems_risk.png

ではここからは、各ガイドライン最新版の内容についてみていきましょう。

厚生労働省から公開されている「医療情報安全管理ガイドライン」は、医療情報システムの安全管理や、e-文書法等の法令へ適切に対応するための対策を示したものです。
2023年(令和5年)に改定された第6.0版では、医療情報システムの安全管理に対する実効性の観点から、全体構成が見直されるなど大きな改定がありました。

具体的には、医療情報システムの安全管理に関わる読者の属性ごとに章が分かれ、より具体的な技術についても言及されるようになっています。

医療情報安全管理ガイドライン 第6.0版の構成
概説編全読者向け
経営管理編意思決定・経営層向け
企画管理編システムの安全管理者向け
システム運用編システムの運用担当者向け

そのほか、主な改定のポイントは下記の通りです。

改定ポイント① 外部委託、外部サービスの利用に関する整備

クラウドサービスの普及に伴い、サービスの特徴を踏まえたリスクを整理し、医療機関とサービス提供者間の責任分界に対する内容が追加されました。

例えば経営管理編においては、クラウドサービス事業者と医療機関との間で責任分界を書面で可視化するよう求めています。またシステム運用編では、さらに具体的な責任の分担内容などが記されています。

改定ポイント② 情報セキュリティに関する考え方の整理

近年のサイバー攻撃の実情を鑑み、従来の境界防御型思考だけではなく、ゼロトラストネットワーク型思考も取り入れたセキュリティ対策の実施が推奨されるようになりました。

関連記事

以前から、医療業界のセキュリティ対策として「ネットワーク分離」という手法が用いられてきました。
これは、インターネットに通信可能な事務系と、インターネットに繋がれていない診療系とで完全にネットワークを分け、診療系ネットワークのみで医療情報を取り扱うことによって情報を守るという考え方です。

しかし近年、ネットワーク分離以外のセキュリティ対策が手薄になっていること・リモート接続によるシステム保守といった外部からのアクセスを伴うメンテナンスサービスが増加していることなどを背景に、医療機関へのサイバー攻撃が相次いでいます。

参考

こうしたことから、ガイドライン第6.0版では、ネットワーク分離(=境界防御型思考)とあわせて、院外/院内問わずすべてのシステムを監視するというゼロトラスト型思考を取り入れた対策が示されています。

改定ポイント③ サイバーセキュリティ対策チェックリストの追加

上記の2点に加え、今回から新たに「医療機関等におけるサイバーセキュリティ対策チェックリスト」も公表されました。

このドキュメントでは、医療情報安全管理ガイドラインに記載された内容のなかでもより優先的に取り組むべき事項についてチェックリスト形式で提示されています。

「医療機関確認用」「薬局確認用」「医療機関に関わる事業者用」「薬局に関わる事業者用」の4つにわけられており、それぞれ法令に基づく立ち入り検査の際に確認されることが明言されているため、ある程度強制力を伴っている文書だといえるでしょう。

~立入検査時、チェックリストを確認します~

医療法第 25 条第1項に基づく立入検査では、病院、診療所および助産所においてサイバーセキュリティ確保のために必要な取組を行っているかを確認することとしています。
立入検査では「医療機関確認用」、「事業者確認用」の全ての項目について、1回目の確認の日付と回答等が記入されていることを確認します。
(中略)
日頃の確認に加え、立入検査前は改めてチェックリストを用いてサイバーセキュリティ対策の状況を確認しましょう。

引用

チェックリストの内容は、医療情報システムの安全管理に関わる体制構築から具体的な管理・運用の方法まで、いくつかの項目に分かれています。

ちなみに、特に技術的な項目については手作業での対応がほぼ現実的でない内容も含まれていることから、現在医療機関では関連したセキュリティツールを導入する機運が高まっているようです。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

medical_systems_check.png

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインは、前述の通り総務省と経済産業省が公開していた2つのガイドラインを1つに統合したものです。

医療情報安全管理ガイドラインが医療機関向けのものであるのに対し、このガイドラインは医療情報システムに関わる下記の事業者が対象となっています。

・医療機関と直接契約するなどして医療情報システムを提供している事業者
・直接契約関係になくとも、サプライチェーンの一部として医療情報システムまたはサービスを提供している事業者
・患者等の指示に基づいて医療機関から医療情報を受領する事業者

引用

2020年(令和2年)の第1版公開以降、このガイドラインにおいて大規模な改定はおこなわれてきませんでした。
しかし巧妙化するサイバー攻撃への対応の必要性がより深まったことから、2023年(令和5年)に第1.1版が公開されています。

主な改定のポイントは以下の通りです。

改定ポイント① より具体的な事例や要件を追加

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版では、同年に改定された医療情報安全管理ガイドライン 第6.0版の内容に対応するよう、さまざまな点で記載内容の追加・修正がおこなわれています。

例えば医療機関と医療情報システム提供事業者間での責任分界に関する考え方について、事業者目線での留意事項を改めて明記したほか、事業者が医療機関へ提供すべき情報などについても具体的な記載が追加されました。

また、医療情報システムに関わるリスクの合意形成において、医療機関側とのコミュニケーションがうまくいかなかった例として「徳島県つるぎ町半田病院」のランサムウェア被害をコラムとして掲載するなど、近年発生したインシデント事例も交えた内容に変更されています。

改定ポイント② 医療情報安全管理ガイドライン 第6.0版への対応表を更新

医療情報安全管理ガイドライン 第6.0版との対応表も更新されました。

参考

ちなみに、表の中では医療情報安全管理ガイドラインとの対応以外に、統合前の2ガイドラインに対する対策項目も含まれています。
加えて、対象項目を満たしたことによって対応できるリスク例も記載されているので、具体的な事例を想定しながら各項目を確認できるよう工夫されています。

ガイドラインの対象となる事業者の方は、一度目を通しておくとよいでしょう。

医療情報安全管理ガイドラインへの対応は、IT資産管理ツールの導入がおすすめ

ここまで、3省2ガイドラインの策定経緯や最新版の概要についてご紹介しました。

なかでも医療情報安全管理ガイドラインの改定に付随したサイバーセキュリティ対策チェックリストの登場は、なかなかセキュリティ対策の実施が遅れがちであった医療業界においては大きなターニングポイントといえるでしょう。

しかし、前述の通りチェックリストの中には手作業での対応が難しい内容も含まれているのが実情です。とはいえセキュリティ関連ツールの導入を検討しようにも、どのツールがどの項目に対応しているのか、分かりにくいと悩んでいる担当者も多く聞かれます。

チェックリストに対応したいものの、何から始めればよいのかわからない...とお悩みであれば、まずはIT資産管理ツールの導入を検討してみてはいかがでしょうか。

例えばIT資産管理ツールSS1を導入すれば、チェックリスト内の複数の項目について要件を満たすことが可能です。また直接要件を満たせずとも、運用の効率化に役立てられる機能を多数搭載しています。

medical_systems.matome.png(IT資産管理ツールを活用できるチェックリスト項目 ※2024.08現在)

IT資産管理ツールとセキュリティチェックリストの関係については、下記のセミナーでも解説しています。
いつでもどこでもご覧いただけるオンデマンド配信型のコンテンツですので、気になる方はぜひご視聴ください。

参考
著者プロフィール
SS1LAB編集部
IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!

次の記事

次の記事

IT資産管理

情シス業務を効率化する方法とは?最適なツールや選定ポイントを解説

情シス業務を効率化する方法とは?最適なツールや選定ポイントを...

情シス業務を効率化する方法とは?最適なツールや選定...

情シス業務を効率化する方法とは...

2024年09月09日

前の記事

前の記事

セキュリティ対策

復元まで考慮してバックアップを運用できていますか?

復元まで考慮してバックアップを運用できていますか?

復元まで考慮してバックアップを運用できていますか?

復元まで考慮してバックアップを...

2024年08月16日