3省2ガイドラインとは？ 押さえるべきセキュリティ対策をご紹介

3省2ガイドラインとは、電子的に医療情報を取り扱う事業者が、適切な情報保護のため準拠すべきとされるガイドライン（指針）のことです。

これには厚生労働省が策定したものと、経済産業省・総務省の策定したものの2つがあり、3省が提示する2つのガイドラインということから、「3省2ガイドライン」と呼ばれています。

3省2ガイドラインの概要

3省2ガイドラインは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つから構成されます。

直接医療情報を扱い、それを管理・活用して患者に医療サービスを提供する医療機関はもちろん、医療機関から委託されて管理を担う事業者や、現場で用いるシステムやプラットフォームを提供する事業者など、医療関連情報を取り扱うことに関わる事業者であれば、例外なくこれらのガイドラインに対応することが求められます。

3省2ガイドライン制定の背景

近年はあらゆる産業現場にとってITが不可欠となり、日常業務を支える重要インフラとなっています。その生産性向上とビジネス進化における寄与は革命的といって良いほどで、多大かつ多方面に及んでいることは、もはや疑いの余地もありません。

医療現場もまた、カルテ情報や予約管理、会計・事務など大量のデータを扱う場であり、正確で迅速な処理と活用が大きな益を生むと見込まれる領野です。社会の医療ニーズの増加と人手不足を考慮すれば、効率化が急務であることも明らかでしょう。

しかし、そこで扱われる情報はほとんどが個人に関わる機密情報であり、情報の正確性は命に関わるものであるため管理には重大な責任が発生します。DX化によるメリットが大きい一方、セキュリティリスクも深刻で、高度かつ行き届いた対策が必要不可欠なのです。

また、医療機関は基本的に個々独立した組織として運用されてきた背景などから、データの機密性に比して情報セキュリティの対策にかかる知識やリソースが十分でないケースも多い状況があります。

その現状のまま、重要な医療情報が巧妙化を増すサイバー攻撃にさらされる事態は避けなければなりません。こうした背景から、必要なガイドラインが策定されるに至ったのです。

ガイドラインの概要

厚生労働省の医療情報システムの安全管理に関するガイドラインは、患者の電子カルテなど、厳重な保護が必要な医療情報を適切に管理するため定められたもので、個人情報保護法やe-文書法、医療法、医師法などに基づき作成されています。

技術面の進化や発生したセキュリティインシデントなどを受け、定期的な見直しが行われており、2023年6月現在は2023年5月31日公開の第6.0版が最新版として適用されています。

ガイドラインの対象者

病院や一般診療所、薬局、歯科診療所、介護事業者、訪問看護ステーション、医療情報連携ネットワーク運営事業者などの医療機関が対象であり、その現場で情報管理を担う責任者が対象者です。その他、レセプト業務などを受託する一部ベンダーも対象になります。

なお厳密な対象者ではありませんが、今日の社会における医療情報共有の裾野は広がっているため、同省はヘルスケアに関連する事業者らにも、一読し基礎知識をつけてほしいと呼びかけています。

ガイドラインの内容

ガイドラインは概説編、経営管理編、企画管理編、システム運用編の4つから成ります。概説で共通の前提となる内容や考え方を示し、経営管理編では組織の経営方針や意思決定を行う層が遵守すべき事項、システム運営担当者らに指示・管理すべき事項をまとめています。

また企画管理編では、医療情報システムの安全管理実務を担う人に対し、組織体制やセキュリティ対策にかかる規程整備などの統制方法などを、システム運用編では、現場でシステムの実装や運用実務を担う担当者が機器やソフト、インフラをどう扱うかといった点での適切な対応などを中心に示しています。

システム構築の仕方からリスク分析の方法、攻撃者への対応、運用にかかる責任の所在、電子保存の要求事項、情報の適切な破棄方法まで幅広く具体的に記載されており、対象者がとるべき行動を正しく理解できるようになっています。

チェックリスト

厚生労働省では、「医療機関のサイバーセキュリティ対策チェックリスト」と題した資料提供も進めています。

ガイドラインのうちのサイバーセキュリティ対策に特化した内容ではありますが、運用面で重要なセキュリティ対策の強化を図るにあたり、現状の把握と必要な対応の確認と整理が行える有用な資料です。ぜひ活用しましょう。

経済産業省では、総務省とともに「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を定めています。

ガイドラインの概要

かつて同省では「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」として、外部保存などのために医療情報の受託管理業務を担う事業者が、その安全性を確保するために実装すべき管理策を示し、準拠するよう求めていました。

一方、総務省でもガイドラインを作成し、クラウドサービスで安全に医療データを保護するための満たすべき事項や事業者責任のあり方、医療機関との合意の仕方などを示していました。

しかし時代が進むにつれ、システムのクラウド化が急速に広がり、外部保存をクラウド上で行う受託サービスなどが増加、経済産業省と総務省の両要件に対応する必要があるなど、対象者における負担の増大も含め、実態に合わない面が生じてきたことから、2つの省のガイドラインを統合し、分かりやすく1つにまとめたものとしました。

それがこのガイドラインであり、一律に要求事項を定めるのではなく、リスクマネジメントプロセスを定義する形でまとめられている点に特徴があります。

ガイドラインの対象者

医療機関などとの契約に基づき、医療に関する患者情報を含むデータを取り扱うようなシステムを提供する事業者が対象者です。

情報には、医療従事者が作成したもののほか、その指示に従って介護事業者が作成・記録したものなども含まれます。

なお、医療機関らと直接的な契約関係にない場合でも、医療情報システムに必要な資源や役務を提供する事業者、患者らの指示で医療機関などから医療情報を受け取る事業者も対象になります。一方で患者から直接医療情報を受け取る場合には、対象事業者となりません。

ガイドラインの内容

まず、重要な医療情報を扱うシステムやサービスの提供者として、安全管理面で担うべき義務や責任が示されています。システムのライフサイクルを構成する要素ごとの責任についても明らかにされ、医療機関との情報のやり取りを適切化する手法、互いの役割分担の明確化についてもまとめられました。

その上でメインとなっているのは、想定されるリスクを洗い出し、必要な対策を施すよう求めるリスクマネジメントプロセスを記載した部分です。運用上、生じうるリスクの特定や分析、評価方法、適切な対処・報告方法などが詳しく示されています。

総務省では、かつて「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と呼ばれる指針を策定していました。さらにそれ以前には、ASP・SaaSに焦点を当てた「ASP医療ガイドライン」を設けていましたが、クラウドサービス類型の変化など時代に合わせて内容を改善、名称も上記のように改めていました。

その後、2020年8月に経済産業省のガイドラインと統合・改定を行い、先述の2省による「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」として公表、準拠を求めています。

ガイドラインの概要

上記経緯より、経済産業省欄の解説をご参照ください。

ガイドラインの対象者

統合により、経済産業省欄と同じになっています。先述部分をご参照ください。

ガイドラインの内容

こちらも経済産業省欄の解説と同じです。そちらをご参照ください。

多くの医療機関におけるセキュリティ対応が後手に回る中で、業界を取り巻くサイバー脅威は年を経るごとに高まっています。

世界中の医療機関にとって、患者の安全とプライバシー、日々の業務遂行を深刻な危険にさらす攻撃は、早急に対応すべき重大な関心事になっているのです。

ランサムウェア

ランサムウェアとは、身代金を要求するマルウェアで、感染したコンピュータを強制ロックしたり、データを不正に暗号化したりするなどし、利用できない状況を作り出します。そして、それを元通りにして欲しい場合には身代金を払うよう脅迫してくるのです。

2021年には、アイルランドの公的医療サービスを提供する母体、保険サービス委員会（HSE）のITシステムがランサムウェア攻撃を受け、システム停止という深刻な事態に陥りました。

国内でも、2022年には大阪急性期・総合医療センターや、鳴門山上病院でランサムウェア攻撃を原因とする電子カルテシステムや院内LANの障害が発生、通常診療が行えなくなるなどしています。

マルウェア『Emotet』

「Emotet」は、米国国土安全保障省が最も破壊力があるとした、きわめて強い感染力をもつマルウェアです。

不正メールの添付ファイルが主要感染経路でその点に新しさはありませんが、実際の業務でやりとりされたメール形式に倣うなど巧妙な標的型メール攻撃の形式をとり、情報を窃取するほか、他のウイルスも媒介、ネットワークで次々に感染が広がるため、被害が甚大となりやすい特徴があります。

一度収束しても、周期的に活動が活発になる傾向があり、医療業界でもたびたび攻撃が確認されています。2022年には、秋田赤十字病院や医療法人健昌会の一部PCが感染し、その職員や法人を名乗る不審なメールが複数発信された事例がありました。

その他セキュリティ事故例

この他にも、医療業界ではさまざまな要因によるセキュリティ事故が発生しています。

思わぬところがセキュリティホールとなるケースもあるため、幅広い事例を参照した対策が必要です。

第三者によるサイバー攻撃

悪意のある攻撃者によるサイバー攻撃、不正アクセスの例は多く、2021年には岡山大学病院で医師が個人的に使用していたクラウドサービスのIDやパスワードがフィッシング詐欺で窃取され、同クラウド上にあった患者関連のファイルが流出する事件がありました。

また、2022年には医療法人ラポール会青山病院がサイバー攻撃に遭い、システム障害となる事例が、名古屋大学医学部附属病院では総当たり攻撃の不正アクセスで、個人情報が流出する可能性のある事例が発生しました。

サードパーティでのミス

医療機関の委託先となったサードパーティでの過失例もあります。2019年には、予防医療事業や在宅医療事業を手がけるケアプロ株式会社で、AWS（Amazon Web Service）ストレージの公開／非公開設定におけるミスから、委託先のデータが外部から閲覧可能になっていたという問題が発覚しました。

また、2020年には墨東病院が業務委託していた株式会社セノーで患者情報の記載された資料を誤ったメールアドレス宛に送信、情報漏洩が発生しています。

内部不正

外部からの攻撃だけでなく、内部で不正が起こるリスクもあります。2020年には広島市立リハビリテーション病院で、職員が私物のUSBメモリを持ち込み、患者の個人情報を含むデータを保存、外部に持ち出す事件が発生しました。

また、2022年には徳島県立海部病院で、職員が興味本位に患者の電子カルテ情報を閲覧、SNSで流出させるという問題も生じています。

物理的紛失などの過失

院内や組織内のミスとして、デバイスやメモリの紛失を原因とする事例も多くみられます。2022年には、昭和大学歯科病院で、患者の個人情報を保存したカメラデバイスを紛失、画像データが流出した可能性があると伝えられました。

また、個人情報を含むUSBメモリ、SDカード、電子カルテ用端末のPCの紛失も度々発生しています。

このほか、姫路赤十字病院では、カルテ開示時に入院患者の情報リストを印字した書類を裏紙として用いてしまう業務ミスでの情報流出があり、熊本大学病院では患者情報や手術記録などを記した書類を誤廃棄、漏洩につながった事故がありました。

深刻な被害事例も増加していることから、医療機関においては十分なセキュリティ対策が欠かせません。厚生労働省では医療法に基づく立入検査項目にも「サイバーセキュリティ確保のための取組状況」を加えるなど、より必要な措置を十分に講じるよう強く求めています。

先のガイドラインに従いながら、各所対応を進めることが必要ですが、そのうちの一部についてご紹介します。

多要素認証

ガイドラインでは、情報のアクセス権限を適切に管理し、システムの利用者を確認する際の多要素認証を導入するよう推奨しています。令和9年度時点での稼働を想定する医療情報システムでは、二要素認証の採用が原則ともされており、対応が必要でしょう。

多要素認証とは、複数種類の要素を用いて本人確認をする手法で、ID・パスワードといった利用者の記憶によるもの、指紋や静脈、虹彩など利用者の生態的特徴を用いた生体情報、ICカードなどの物理媒体の3通りを主な要素に、独立した2つ以上の要素組み合わせで認証を実行します。

これによって単独要素に頼る認証方式より、高い強度を保つことができ、第三者への情報流出やデータ改ざん、なりすましなどのリスクにも対処しやすくなります。

生体認証

生体認証は、人間の身体的特徴や行動特徴をもとに個人を認証するものです。

指静脈や手のひら静脈、指紋、顔、虹彩、音声、掌紋などがありますが、薬剤を用いる医療従事者は指紋が薄くなるケースもあることや、それぞれの偽造のしにくさ、認証精度などを総合的に判断した場合、指静脈・手のひら静脈、顔、虹彩認証といったものの採用が増えています。

パスワード管理

パスワードは、二要素認証のひとつとして用いる場合、類推されやすいパスワードを用いることのないよう、利用する関係者全員に対し、設定可能なパスワードに制限を設けることが必要とされています。使い回しをしないといった基本の周知徹底も重要です。

システム内のパスワードファイルは、不可逆変換による暗号化の状態で管理・運用することが要求され、システムの運用担当者であっても、各利用者のパスワードを推定できないようにしておかねばなりません。

また、利用者のパスワード失念や漏洩が発生した場合に備え、担当者がパスワード変更を行う場合には、該当者の本人確認を徹底するとともに、その手法を書類コピーなどの方法で記録に残すこと、変更後のパスワードは利用者本人以外が知り得ない方法で通知することが必要です。

もちろん、漏洩が発覚した場合やその恐れがある場合には、速やかにパスワード変更を含む処置を講じることも必要とされています。

セキュリティ対策ソフト

医療機関で用いるPCやネットワーク機器などには、外部からの攻撃に備えた技術的対策を施す必要があります。セキュリティ対策ソフトの導入は、その基本のひとつに挙げられています。

巧妙化し進化する最新のウイルスにも対応した感染防止の機能や、不正アクセスを感知し遮断する、アラートを発するといった機能など、脅威に備えたソフトを導入しましょう。

常に最新バージョンで用いることなど、基本的なポイントは一般と同様ですが、高い安全性を確保する観点から、より高度な仕組みを備え、医療機関向けに最適化したセキュリティソフトを提供している企業もあります。

そうした企業では、ガイドラインに準拠し、安全な運用が図れるよう、ソフト提供だけでなく、堅牢なシステムの開発・構築にかかるコンサルティングや支援サービスをあわせて提供しているケースも多くなっています。これらを活用することも有効でしょう。

保存データのバックアップ

データの保存場所が外部攻撃や災害など何らかの理由により損傷し、重要な情報が書き換えられたり消失したりする場合もあります。ガイドラインでは、そうした場合に備え、日頃から適切にバックアップをとり、それを用いて情報を毀損前の状態に戻せるようにしておくことを求めています。

また、万が一復元が不可能な場合が生じても、その損傷範囲が容易に特定できるようにすることが重要とし、データの保存性の確保にかかる安全管理対策を細かく指定しています。

情報が不正に改ざんされることなく、真正に保たれることももちろん重要ですから、この真正性確保のための対策とあわせ、医療機関内に保存する場合と、ネットワークを通じ外部に保存する場合の2ケースに分けて整理し、それぞれ具体的に示されています。内容に沿った対策を徹底しましょう。

3省2ガイドラインとは何かに始まり、その制定背景や具体的内容、医療業界が直面するサイバー脅威の最新実態、必要な対策まで詳しくご紹介しました。

医療の世界においても、今後はますますITの活用、DXが進むと考えられます。それは社会全体に大きなメリットをもたらしますが、一方で新たに情報という観点からも、患者の安全・安心を十分に守ることが大きな課題となります。

技術進展や攻撃の巧妙化を踏まえ、ガイドラインも順次改定されています。最新の内容をよく確認し、それに準拠した適正な運用で次世代医療を切り拓いていきましょう。