- コラム
医療情報を適切に管理するためにサービス提供事業者が行うべきこととは?
医療情報を適切に管理するために国が定めたガイドライン、「医療情報システムの安全管理に関するガイドライン」(「以下、厚生労働省版医療情報ガイドライン」という)の第6.0版が令和5年5月に発行されました。
厚生労働省のホームページでは、ガイドラインの改定情報の他に『医療機関等におけるサイバーセキュリティ対策チェックリスト』も掲載されています。
これによると、サイバー攻撃への対応として、サイバーセキュリティ対策チェックリストへの対応及びサイバーセキュリティの適正状況によっては、行政による立入検査が可能であるとされています。
1. 医療機関におけるサイバーセキュリティ対策チェックリスト(令和5年6月)
医療機関等及びサービス提供事業者におけるサイバーセキュリティ対策として、以下を実施するよう求められています。
- 3省2ガイドラインを参照の上、適切な対応
- 優先的に取り組むべき事項を取りまとめたサイバーセキュリティ対策チェックリストの活用
上記チェックリスト項目(3)に、医療機関確認用には『事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう』、事業者確認用には『医療機関に製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出した』のチェック項目があります。つまり、医療機関には提出の確認義務があり、サービス提供事業者には提出義務があるのです。
また、厚生労働省版医療情報ガイドライン(第6.0版)【概説編】にも、当該事業者からサービス仕様適合開示書(※1)もしくはJAHISチェックリスト(※2)等情報提供を受けることにより、当該事業者と医療情報システムの安全管理上のリスクについて共通の理解を得た上で、リスク管理に関する合意形成(リスクコミュニケーション)を図ることが求められる、と明示されています。
- ※1 総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に規定
- ※2 保健医療福祉情報システム工業会(JAHIS)の JAHIS 標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書(略称:MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical Information Security)』ガイド」で示されているチェックリスト
- ※ 補足:現状、サービス提供事業者は医療機関等から、JAHISチェックリスト(MDS/SDS)及びサービス仕様適合開示書を求められています。(2023年10月現在)
2. 製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)
厚生労働省が求めているこの文書は、厚労省版医療情報ガイドラインに対応しており、改定状況は以下の通りです。現在のバージョンは、最新の厚労省版医療情報ガイドラインに対応しています。
2021年3月 「製造業者/サービス事業者による医療情報セキュリティ開示書Ver.4.0」発行
(厚労省版医療情報ガイドライン第5.1版」対応)
2023年6月 「製造業者/サービス事業者による医療情報セキュリティ開示書Ver.4.1」発行
(厚労省版医療情報ガイドライン第5.2版」対応)
2023年8月 「製造業者/サービス事業者による医療情報セキュリティ開示書Ver.4.1」追加
(厚労省版医療情報ガイドライン第6.0版」対応)
2-1.MDSチェックリスト
MDSは医療情報システムに関する対応状況を示すチェックリスト(Manufacturer Disclosure Statement for Medical Information Security)であり、記載対象の単位は、製造業者が提供する医療情報システムです。
例)電子カルテシステム、医事会計システム、PACS等
2-2.SDSチェックリストとは
SDSは医療情報システムを用いたサービスに関する対応状況を示すチェックリスト(Service Provider Disclosure Statement for Medical Information Security)であり、記載対象の単位は、サービス事業者が提供する医療情報システムを用いたサービスです。
例)電子カルテサービス、PACSサービス、リモートメンテナンス等
上記、MDS/SDSチェックリストの記載内容は、記載した製造業者/サービス事業者が全責任を負う自己宣言書です。
現在、医療分野において、サービス提供事業者が医療機関等に、システム・サービスを導入する場合、医療機関等がサービス提供事業者のサイバーセキュリティ対策状況を把握するためにMDS/SDSチェックリストの提出を求めてきています。そのため、サービス提供事業者は、サイバーセキュリティの確保のため、医療情報ガイドラインへの対応及びMDS/SDSチェックリストの作成を進めていくことが重要と考えます。
関連するソリューション・製品
- 医療
昨今、医療情報の電子化が進んでいます。従来は紙媒体で管理/やり取りしていた医療情報を電子化することで、業務の効率化が期待できます。しかし、電子化された医療情報の保存にはITシステムの構築・運用が不可欠です。医療機関をはじめとする医療関連団体・企業では、IT専門家の不足・不在による運用管理の難しさ、IT投資コスト、ITセキュリティ・ソフトウェアのバージョンアップなど、新たな課題が浮き彫りとなってきています。そうした医療情報の電子化にまつわる課題の解決手段として、クラウドが注目されています。
キヤノンITソリューションズでは、医療情報ガイドライン(3省2ガイドライン)に準拠したクラウド活用ソリューションの提供を通じて、お客様の医療ITにかかわる課題を安全・安心に解決できるようにご支援いたします。
※医療情報ガイドライン(3省2ガイドライン)とは、医療情報システムの構築・運用を行う医療機関等や医療機関等から医療情報を受託管理する事業者・団体向けに医療情報の安全管理策を示した厚生労働省、総務省、経済産業省の3省が発行するガイドラインです。
■こんな課題をお持ちのお客様におススメ■
・紙媒体での医療情報の管理にリスクを感じている
・IT専門家の不足・不在により、医療情報の電子化が進まない
・医療システムの運用を効率化したい/コストダウンしたい
・現行のシステムをクラウドへ移行したいが、医療情報ガイドライン(3省2ガイドライン)に対応できる人材がいない
- 医療IT クラウドコンプライアンスサービス
医療機関、医療系メーカー、ヘルステック企業、および医療業界への参入を検討している企業が、医療情報を取り扱うシステムをアマゾン ウェブ サービス(以下、AWS)上に構築する際に遵守するべき「医療情報ガイドライン(3省2ガイドライン)」。医療ITクラウドコンプライアンスサービスは、そうしたガイドライン対応とAWS初期構築/アカウント提供をいたします。
医療情報ガイドライン(3省2ガイドライン)・情報セキュリティ・AWSに精通したコンサルタントが、AWSの初期設定からサポート。そのため、専門知識が無いお客様であっても、システム基盤に関する基準を満たす環境設定が可能です。また、監査情報の取得設定も代行。お客様側での設定手続き不要で、当社提供の監査用ツールから必要な情報をシンプルな操作で取得できます。
コンサルタントがガイドラインに沿ったお客様の対応方針の策定を、他社事例等をもとにご支援いたします。 - 医療IT クラウドコンサルティングサービス
医療情報システムをクラウド化する際の課題となる医療情報ガイドライン(3省2ガイドライン)への対応。キヤノンITソリューションズの3省2ガイドラインに精通したセキュリティ専門チームがご支援します。
主要メンバーには、医療情報システム監査人補、公認情報セキュリティ監査人、ISMS審査員補、ISO/IEC27017 クラウドセキュリティ審査員などの医療・情報セキュリティ関連の資格保有者および、AWS Certified Solution Architect – ProfessionalなどのAWS認定資格保有者がおります。医療・セキュリティとシステム現場の視点からご支援いたします。