「3省2ガイドライン」とは、厚生労働省、経済産業省、総務省の3省が作成した、医療情報を保護するためのガイドラインです。具体的にどのようなガイドラインで、クリニックではどのようなことに気を付ける必要があるのかを解説します。
3省2ガイドライン策定の経緯は?
3省2ガイドラインは、もともとは3省それぞれが個別にガイドラインを策定していたため、「3省3ガイドライン」でしたが、令和3年8月に経済産業省と総務省のガイドラインが統合されたことによって、「3省2ガイドライン」の名前で呼ばれるようになりました。
厚生労働省の「医療情報システムの安全管理に関するガイドライン」は「医療情報システムの安全管理に関するガイドライン 第5.2版」にバージョンアップ。総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイド雷」、経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」は、総務省・経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に統合されています。
3省2ガイドラインの概要は?
2つのガイドラインにおける「医療情報」とは、いずれも「医療に関する患者情報を含む情報」と定義されています。これには、医療従事者が作成・記録した情報以外に、医療従事者の指示に基づいて介護事業者が作成・記録した情報も含まれています。近年、電子カルテを筆頭に医療情報を扱うシステムが発展し続けているため、システムの安全性を保つためのガイドラインの策定が必須となったというわけです。
では、2つのガイドラインにはどんな違いがあるかというと、「医療情報システムの安全管理に関するガイドライン」は主に医療機関向けで、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は主にシステムやサービスを提供するベンダー向けとなっています。
厚生労働省「医療情報システムの安全管理に関するガイドライン」とは?
続いては、それぞれのガイドラインを個別にみていきましょう。まず、厚生労働省のガイドラインは、最新のものは令和5年5月に公開された第6.0版です。ガイドラインの対象者は、医療機関などで医療情報システムの導入、利用、保守および廃棄に関わる人。対象となる医療情報システムは、医療情報を保存するシステムのみならず、医療情報を扱う情報システム全般で、医療情報システム・サービス事業者によって提供されるシステムに加えて、医療機関等において自ら開発・構築したシステムも含まれます。
参照:厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版 概説編」
厚生労働省「医療情報システムの安全管理に関するガイドライン」の概要は?
「医療情報システムの安全管理に関するガイドライン」は、大きく3つのセクションで構成されています。まずは、「経営管理編」。組織の経営方針を策定して、意思決定を担う経営層を対象としたセクションで、経営層として遵守・判断すべき事項や、企画管理やシステム運営の担当部署および担当者に対して指示または管理すべき事項についてまとめられています。
続く「企画管理編」は、医療情報システムの安全管理の実務を担う担当者を対象としたセクションです。組織体制や情報セキュリティ対策に係る既定の統制などの安全管理の実務を担う担当者として、遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示または管理をおこなうにあたって遵守すべき事項がまとめられています。
そして、「システム運用編」が対象としているのは、医療情報システム実装・運用の実務を担う担当者。医療情報システムを構成する情報機器、ソフトウェア、インフラなどの各種資源の設計、実装、運用などの実務を担う担当者として適切に対応すべき事項についてまとめられています。
参照:厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版 経営管理編」
参照:厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版 企画管理編」
参照:厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版 システム運用編」
「医療情報システムの安全管理に関するガイドライン第5.2版」と第6.0版との違いは?
前述の通り、「医療情報システムの安全管理に関するガイドライン」が第5.2版から第6.0版へと改定されたのは令和5年5月です。
では、第5.2版と第6.0版ではなにが違うかというと、まず、第5.2版策定より後の令和4年6月の閣議決定で、保険医療機関・薬局において、令和5年4月からオンライン資格確認の導入が原則義務化されることとなったことを踏まえ、医療機関にこれまで以上にネットワーク関連のセキュリティ対策の必要性について理解してもらえるよう、全体構成の見直しがおこなわれています。
また、クラウドサービス利用における課題や必要な対策、ゼロトラスト思考を踏まえたネットワーク上の対策、新技術ならびに制度および規格の変更への対応などに関しては、中長期的に検討を継続する必要があるとして、技術面に関する最新の動向、巧妙化する医療機関へのサイバー攻撃の状況などを踏まえた内容面の見直しもおこなわれています。
参照:「医療情報システムの安全管理に関するガイドライン第6.0版」の骨子(案)について(概要)
総務省・経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは?
続いては、総務省・経済産業省のガイドラインをみていきましょう。前述の通り、こちらのガイドラインの対象者は、医療機関等との契約に基づいて医療情報システム・サービスを提供する事業者です。
全6章から構成されるガイドラインのうちメインとなっているのは、第5章の「安全管理のためのリスクマネジメントプロセス」。ここでは、「リスクアセスメント」「リスク対応」「記録作成および報告」の3つについて詳しく説明されています。
たとえば、「リスクアセスメント」に関しては、「リスク特定」→「リスク分析」→「リスク評価」の流れで実施すると説明して、それぞれの手順の説明。「どこにどのような機器や記憶媒体があるのかを明らかにする」「機器同士の接続や記憶媒体の搬送を明らかにする」「人が扱う機器や記憶媒体における情報の処理を明らかにする」「人が直接扱わない機器における情報の処理を明らかにする」とした工程を解説しています。
また、「リスク対応」に関しては、「リスク対応の選択肢の決定」→「リスク対応策の設計・評価」の流れで実施することを説明。「記録作成および報告」に関しては、「医療機関等とのリスクコミュニケーションの実施」および「文書・既定の作成」について解説しています。
参照:総務省・経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要
ガイドラインは常に最新版をチェックし続けよう
2つのガイドラインのうち、クリニックにとって特に重要なものは「医療情報システムの安全管理に関するガイドライン」ということになりますが、前述の通り、こちらは最新のバージョンは令和5年5月に公開された第6.0版で、医療情報システムの進化に伴い、今後も改定されていくことが想定されます。そのため、必要な対策を確実にとっていくためには、アップデートを常に追っていくことがとても大切なので、インターネットなどでこまめに情報をチェックするようにしてくださいね。ちなみに、ガイドラインは総計100ページを超えるので、全部読もうとしたらかなり時間がかかりますが、ネット上には、厚生労働省が作成した、主な改定ポイントのみをまとめた総計34ページのPDFも公表されているので、ぜひ参考にしてみてください。
「医療情報システムの安全管理に関するガイドライン 第6.0版」主な改定ポイント
特徴
対象規模
オプション機能
提供形態
診療科目
この記事は、2023年7月時点の情報を元に作成しています。