医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）について解説！

医療情報システムのガイドラインは、厚生労働省、経済産業省、総務省が協力して策定した指針です。「医療情報システムの安全管理に関するガイドライン」と「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2種類があります。2つのガイドラインは、３省２ガイドラインとも呼ばれます。

ガイドラインは医療情報システムのセキュリティ対策やプライバシー保護のための取り扱い方法を定めており、前者は医療機関を対象とし、後者は医療機関と契約してシステムやクラウドサービスを提供する事業者向けに策定されています。ガイドラインは、患者の機密情報を適切に保護しながら、医療のデジタル化を安全に推進するための基準です。

医療情報システムの安全管理に関するガイドラインは、患者の病歴など機微性の高い個人情報を多く含む医療情報を適切に管理するための指針です。機微性の高い情報が適切に扱われない場合、患者の生命や体の安全に直接影響を及ぼす可能性があるため、慎重に取り扱わなければなりません。

慎重な取り扱いが求められるため、医療情報システムは一般的な情報システムよりも高い安全管理水準が設定されています。近年の改定では、クラウドサービスの普及に対応し、サービスの特性に関連するリスクの整理や、医療機関とサービス提供者間の責任分界点に関して新たな内容が追加されました。

出典：厚生労働省/医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）

対象者

医療情報システムの安全管理に関するガイドラインは、医療機関で医療情報システムの導入から運用、廃棄までに関わるすべての人が対象です。
医療機関の対象として挙げられるのは、次の施設です。

• 病院
• 一般診療所
• 歯科診療所
• 助産所
• 薬局
• 訪問看護ステーション
• 介護事業者
• 医療情報連携ネットワーク運営事業者

対象となるシステムは事業者提供のものだけでなく、医療機関が自ら開発・構築したシステムも含まれます。

目的

医療情報システムの安全管理に関するガイドラインの目的は次の通りです。

• 医療情報システムで取り扱う情報の重要性を理解する
• 医療情報システムの有用性を理解する
• 医療情報システムの安全管理の必要性を理解する

それぞれの詳しい内容を解説します。

医療情報システムで取り扱う情報の重要性を理解する

ガイドラインの目的の1つは、医療情報システムで取り扱う情報の重要性の理解を促すことです。医療情報は患者の生命や体の安全に直接関わるため、適切に管理しなければなりません。
医師や医療チームから十分な説明を必要とするインフォームド・コンセントの観点からも、医療機関や患者との信頼関係に基づいて取り扱われるべき情報であり、医療機関の業務範囲内での適切な管理が求められます。

医療情報の特性を理解し、適切な安全管理体制の構築によって、患者の権利を守りながら医療の質の向上を支援することを目指しています。

医療情報システムの有用性を理解する

医療情報システムの安全管理に関するガイドラインの目的として、医療情報システムの有用性の理解促進も挙げられます。電子化された医療情報の活用は、医療行為の効率化と正確性を向上させ、医療従事者や患者の負担を軽減する役割を果たします。また、外部の医療機関や患者自身との医療情報の共有や連携を図ることで、地域医療やチーム医療でより質の高い医療の提供が可能となり、個人の健康増進にもつながることが期待できるでしょう。

システムの有用性を正しく理解し、適切な安全管理と効果的な活用のバランスを取ることで、医療のデジタル化によるメリットを最大限に引き出せます。

医療情報システムの安全管理の必要性を理解する

医療情報システムの安全管理に関するガイドラインの目的には、安全管理の必要性の理解も含まれています。医療情報はその機微性から、一般的な情報システムよりも高い安全管理基準が求められており、システムの信頼性を確保しなければなりません。

患者の個人情報や診療データは繊細な情報であるため、取り扱いには特別な配慮と厳格な管理体制が必要です。ガイドラインは、医療機関が安全管理の必要性を十分に認識し、適切な対策を講じることで、患者からの信頼を維持しながら医療情報システムを効果的に活用できるよう支援しています。

必要な要素

医療情報システムの安全管理に必要な要素として、次の内容がガイドラインで示されています。

• 機密性（Confidentiality）
• 完全性（Integrity）
• 可用性（Availability）

それぞれの要素が医療情報にとってなぜ必要かを解説します。

機密性（Confidentiality）

医療情報システムの安全管理に必要な要素として、機密性があります。機密性が高いとは、情報資産に対して許可された者のみがアクセスできる状態です。機密性が適切に確保されない場合、不正アクセスや情報漏えいが発生し、医療情報が不正利用される深刻な問題につながりかねません。

患者の診療情報や個人データなどの機微な医療情報を保護するためには、アクセス制御や認証システムの導入、暗号化などの技術的対策を講じることで、権限のない第三者からの不正アクセスを防ぐことが求められています。

完全性（Integrity）

医療情報システムの安全管理に必要な要素として完全性も挙げられます。完全性が欠如すると、医療判断に重大な支障をきたす可能性があります。具体的には、表示されるべき情報の欠落や、不完全または不正確な形での表示など、誤診や不適切な治療につながるリスクとなりかねません。

患者の診療記録や検査データの完全性を確保することは、適切な医療提供の基盤となるため、データの改ざん防止機能やバックアップシステムの整備など安全管理対策が必要です。

可用性（Availability）

医療情報システムの安全管理に必要な要素の1つが可用性です。可用性とは、必要な時に情報システムや医療情報へ適切にアクセスできる状態を維持することを指します。可用性が確保されない場合、医療従事者が必要な時に患者情報にアクセスできず、医療サービスの提供に重大な支障をきたします。

情報システムが利用できなかったり、利用目的に応じた適切な速度での処理がなされなかったりすることで、診療行為や医療判断に必要な医療情報の利用が妨げられるため注意が必要です。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインは、経済産業省と総務省が共同で制定している指針です。元々それぞれ別々に定めていた2つのガイドラインを見直し、2021年8月に第1版として統合されました。

その後、厚生労働省の「医療情報システムの安全管理に関するガイドライン（第6.0版）」への対応や、医療システムのクラウド化の普及などの状況変化を踏まえ、事業者の利便性向上を図る観点から2023年7月に改定されています。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインは、医療情報を扱うシステムやサービスを提供する事業者が、患者の機微な情報を適切に保護しながら、安全で効率的なサービス提供を実現するための指針です。

出典：経済産業省/医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

対象者

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインは、医療機関などとの契約に基づき医療情報システムやサービスを提供する事業者が対象です。直接的な契約関係がない事業者であっても、サプライチェーンの一部として本ガイドラインの対象範囲に含まれます。

対象となる事業者は、提供する医療情報システムやサービスについて、医療機関等との間で義務や責任に関する明確な合意形成を行うこととされています。責任分界点を明確にし、患者情報の適切な保護と医療サービスの質を確保することが目的です。

目的

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインの目的は次の通りです。

• クラウドサービスの活用とガイドライン対応の負担軽減
• 情報セキュリティ要求の多様化への対応
• 国際規格・他ガイドラインとの整合性

ガイドラインに準拠するには目的を理解しておかなければなりません。

クラウドサービスの活用とガイドライン対応の負担軽減

事業者における安全管理ガイドラインの目的の1つは、クラウドサービスの活用とガイドライン対応の負担軽減です。医療情報の外部保存を含むクラウドサービスの普及に伴い、事業者は複数のガイドラインへの対応が必要となり、負担が増大していました。

事業者はクラウド事業者ガイドラインと情報処理事業者ガイドラインの両方を参照する必要があり、効率的な対応が求められていることが課題です。そのため、ガイドラインの統合により、事業者の負担を軽減しつつ、医療情報の安全な取り扱いを確保することを目指しています。

情報セキュリティ要求の多様化への対応

事業者における安全管理ガイドラインのもう1つの目的は、情報セキュリティ要求の多様化への対応です。情報処理技術の急速な進展とサイバー攻撃の高度化・巧妙化に伴い、医療情報システムに求められるセキュリティ要件は拡大・多様化しています。

すべての事業者に対して一律の基準を適用することは現実的ではありません。事業者ごとに異なるリスクベースアプローチに基づいた柔軟な対応を可能にし、それぞれの状況に応じた適切なセキュリティ対策を講じられるよう支援することを目指しています。

国際規格・他ガイドラインとの整合性

事業者向け安全管理ガイドラインは、ISO規格や総務省のガイドラインなど他の情報セキュリティ基準との整合性確保も目的の1つです。

対応が必要なガイドラインや規格として次のものが挙げられます。

• ISO/IEC 27001
• ISO/IEC 27002
• ISO/IEC 27005
• ISO/IEC 27017
• ISO/IEC 27018
• クラウドサービス提供における情報セキュリティ対策ガイドライン

事業者の対応範囲が拡大する中、国際基準との調和により効率的な対応を可能にしています。

医療情報システムのセキュリティ対策においては、「医療機関等におけるサイバーセキュリティ対策チェックリスト」が重要な役割を果たしています。チェックリストは、医療機関等が優先的に取り組むべき具体的な対策項目を明示し、実効性のある安全管理体制の構築を促すものです。

チェック項目には、医療情報システム安全管理責任者の設置をはじめ、アクセス権限の管理、ログの取得・管理、ウイルス対策、バックアップ体制の整備など、具体的かつ実践的な対策が含まれています。

医療情報システムのセキュリティ対策として、IDaaS（Identity as a Service）の導入も効果的な手段です。IDaaSにより、医療従事者のユーザー認証が強化されるとともに、システム管理者によるアクセス管理の効率化が実現し、医療情報を扱うクラウド環境全体のセキュリティレベルをさらに向上させられます。

特に複数のシステムを利用する医療機関は、認証の統合による利便性向上とセキュリティ強化の両立が期待できるでしょう。

まとめ

今回の記事では、医療情報システムの安全管理に関するガイドラインを解説しました。医療情報システムのガイドラインは、厚生労働省、経済産業省、総務省が協力して策定した指針です。「医療情報システムの安全管理に関するガイドライン」と「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2種類があります。

前者は医療機関を対象とし、後者は医療機関と契約してシステムやクラウドサービスを提供する事業者向けに策定されています。

それぞれのガイドラインの対象者や目的を解説しましたので、医療機関としてセキュリティ対策に取り組む方の参考になれば幸いです。