- コラム
医療情報の取り扱いに関する法令・ガイドラインの動向
まず、初めに医療情報とは、診療の過程で患者の身体状況・病状・治療について、医療従事者が知りえた情報をいいます。一般的にはカルテ(診療記録)に記載される情報です。
法的に保存義務のある医療情報を電子的に保存する場合、以下の3つの要件を遵守する必要があります。
- 電子保存に関する要件(e-文書法)
電子保存の三原則(真正性、見読性、保存性)の確保が求められる - 外部保存に関する要件(外部保存改正通知)
保管場所については、これまでは医療機関等が管理する場所と限定されていたが、民間事業者(クラウド事業者含む)が設置するデータセンターへの保存が解禁された - 個人情報保護に関する要件(個人情報保護法)
患者情報は個人情報であり要配慮個人情報であるため、取り扱う際に留意すべき安全管理措置への対応が求められる
上記3つの要件を集約した内容を、厚生労働省が「医療情報システムの安全管理に関するガイドライン」として制定しました。また、総務省・経済産業省は、その医療情報ガイドラインをもとに「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を制定しています。これらのガイドラインはまとめて“3省2ガイドライン”と呼ばれています。
下図に医療情報を取り巻く規制についてまとめました。
医療機関等は厚生労働省版ガイドラインを、サービス提供事業者は、統合版ガイドラインを遵守する必要があります。
2023年度上半期には、医療分野における法令や医療情報ガイドライン等の改定が行われました。 その背景には、主に以下の二つがあります。
- 医療分野におけるサイバー攻撃の多様化、巧妙化
- 医療におけるクラウドサービス利用の普及
1.法令の改定
以下の法令の改定により、「医療機関等の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない」とされています。
- 医療法施行規則(第14条第2項)
- 医薬品医療機器等の品質、有効性及び安全性の確保等に関する法律施行規則(第 11条第2項)
2.ガイドラインの改定
2-1.厚生労働省版医療情報ガイドラインの主な改定
2023年5月に第5.2版から第6.0版に改定され、主な改定内容は以下の通りです。
- 医療法施行規則の一部改正
- 情報セキュリティに関する考え方の整理
・ネットワーク境界防御型思考/ゼロトラストネットワーク思考
・災害、サイバー攻撃、システム障害等の非常時に対する対応や対策 等 - 新技術、制度・規格の変更への対応
・本人確認を要する場面での運用(eKYCの活用)
・オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置
・新たなネットワーク技術(ローカル5G)の利用可能性、利用場面
・医療情報の共有・提供に関連する法令等の規定や技術・規格の動向
下図の通り、構成が大きく変更されました。
第5.2版は本編と別冊編という構成だったのに対して、第6.0版では4編の構成となり、それぞれのガイドラインの対象者を明確にしています。
2-2.統合版医療情報ガイドラインの主な改定
厚生労働省版医療情報ガイドラインの改定に伴い、2023年7月に第1.05版から第1.1版に改定されました。クラウドサービス利用の普及に伴い、医療機関等によるサービス提供事業者への委託等が増大したことから。委託に基づく責任分界を明確にする必要性がでてきています。以下が主な改定内容です。
- 医療機関等へ合意形成のため情報提供すべき項目が追加
- リスク特定の際の医療情報システム等提供上の代表的な脅威が追加
・ランサムウェア感染
2-3.医療機関等とサービス提供事業者との合意形成(リスクコミュニケーション)
医療機関等のサービス提供事業者への委託等の増大に伴い、両者において合意形成(リスクコミュニケーション)が重要になります。以下にその例を記載しています。
医療機関等は、提供される医療情報システム・サービスの安全管理について基準(厚生労働省版医療情報ガイドライン/統合版医療情報ガイドライン/その他法令等が掲げる基準)を満たしているサービス提供事業者を選定する必要があります。そして、医療機関等は、サービス提供事業者に対する管理監督を、サービス提供事業者はその遵守状況の報告をしなければなりません。
ここまで見てきた通り、医療情報を適切に取り扱うためには、遵守すべき要件(法令・ガイドライン)が数多く存在します。また、これらの改定や内容変更にも常に対応しなければなりません。抜け漏れなく全てをカバーするための体制づくりを、ぜひキヤノンITSにお手伝いさせてください。
関連するソリューション・製品
- 医療
昨今、医療情報の電子化が進んでいます。従来は紙媒体で管理/やり取りしていた医療情報を電子化することで、業務の効率化が期待できます。しかし、電子化された医療情報の保存にはITシステムの構築・運用が不可欠です。医療機関をはじめとする医療関連団体・企業では、IT専門家の不足・不在による運用管理の難しさ、IT投資コスト、ITセキュリティ・ソフトウェアのバージョンアップなど、新たな課題が浮き彫りとなってきています。そうした医療情報の電子化にまつわる課題の解決手段として、クラウドが注目されています。
キヤノンITソリューションズでは、医療情報ガイドライン(3省2ガイドライン)に準拠したクラウド活用ソリューションの提供を通じて、お客様の医療ITにかかわる課題を安全・安心に解決できるようにご支援いたします。
※医療情報ガイドライン(3省2ガイドライン)とは、医療情報システムの構築・運用を行う医療機関等や医療機関等から医療情報を受託管理する事業者・団体向けに医療情報の安全管理策を示した厚生労働省、総務省、経済産業省の3省が発行するガイドラインです。
■こんな課題をお持ちのお客様におススメ■
・紙媒体での医療情報の管理にリスクを感じている
・IT専門家の不足・不在により、医療情報の電子化が進まない
・医療システムの運用を効率化したい/コストダウンしたい
・現行のシステムをクラウドへ移行したいが、医療情報ガイドライン(3省2ガイドライン)に対応できる人材がいない
- 医療IT クラウドコンプライアンスサービス
医療機関、医療系メーカー、ヘルステック企業、および医療業界への参入を検討している企業が、医療情報を取り扱うシステムをアマゾン ウェブ サービス(以下、AWS)上に構築する際に遵守するべき「医療情報ガイドライン(3省2ガイドライン)」。医療ITクラウドコンプライアンスサービスは、そうしたガイドライン対応とAWS初期構築/アカウント提供をいたします。
医療情報ガイドライン(3省2ガイドライン)・情報セキュリティ・AWSに精通したコンサルタントが、AWSの初期設定からサポート。そのため、専門知識が無いお客様であっても、システム基盤に関する基準を満たす環境設定が可能です。また、監査情報の取得設定も代行。お客様側での設定手続き不要で、当社提供の監査用ツールから必要な情報をシンプルな操作で取得できます。
コンサルタントがガイドラインに沿ったお客様の対応方針の策定を、他社事例等をもとにご支援いたします。 - 医療IT クラウドコンサルティングサービス
医療情報システムをクラウド化する際の課題となる医療情報ガイドライン(3省2ガイドライン)への対応。キヤノンITソリューションズの3省2ガイドラインに精通したセキュリティ専門チームがご支援します。
主要メンバーには、医療情報システム監査人補、公認情報セキュリティ監査人、ISMS審査員補、ISO/IEC27017 クラウドセキュリティ審査員などの医療・情報セキュリティ関連の資格保有者および、AWS Certified Solution Architect – ProfessionalなどのAWS認定資格保有者がおります。医療・セキュリティとシステム現場の視点からご支援いたします。