厚労省の「医療情報システムの安全管理に関するガイドライン」とは？内容を解説

国を挙げてデジタル社会を推進している現在、医療業界にもデジタル化・クラウド化が求められています。

本記事では、医療情報の取り扱いにおける、いわゆる「3省3ガイドライン」（厚労省・経済産業省・総務省が策定）について、特に厚労省の「医療情報システムの安全管理に関するガイドライン」を中心に解説していきます。

医療情報のデジタル化とは？医療業界で進むデジタル改革

2021年9月に予定されるデジタル庁の設置に象徴されるように、日本政府は現在、デジタル社会の構築を推進しています。このデジタル化の流れは医療業界にも及んでおり、厚生労働省（以下：厚労省）も、医療機関がICT（情報通信技術）を活用することを推奨しています。ここで、「医療業界におけるICTの活用」とは、具体的に何を意味するのでしょうか。

医療現場においても既に、検査や診断のための電子機器の活用をはじめ、院内の事務的な業務システムや会計システムの利用など、デジタル化しているところは多くあります。

しかし、それらはいずれも院内のオンプレミスな環境において完結しており、医療機関同士、あるいは地域ぐるみの情報連携は未だ進んでいないのが現状です。つまり、医療業界におけるデジタル化において、目下の課題となっているのは、「医療情報のクラウド化」であると言えるでしょう。

組織ごと、場所ごとに孤立しているオンプレミスなシステムとは対照的に、クラウドはプラットフォームや情報の共有に長けていることに特徴があります。例えば、現状の医療体制では、患者は別の医療機関を受診するたび、検査や診断を受け直すことが多いでしょう。

しかし、地域全体の医療機関がクラウドによる情報共有を行うことで、同じ患者への重複する検査・診察を省き、転院処理などへの円滑化につながるでしょう。つまり、地域全体での医療の質を向上させていけるのです。

厚労省も、ICTを活用したネットワークを構築することで、地域における医療機関等の間で情報連携を進める重要性を説いています。

医療情報をデジタル化する上で知っておきたい「3省3ガイドライン」

上記のように、日本の医療業界では現在、医療情報のデジタル化やクラウド化が求められています。しかし当然ながら、医療情報は重要な個人情報なども含んでおり、その取り扱いには十分な注意が必要です。

これについて、厚労省・経済産業省・総務省の3省は、それぞれ医療情報のデジタル化及びクラウド化に伴う安全管理についてガイドラインを策定しており、これらを総称して「3省3ガイドライン」と呼びます。

その内訳について言えば、厚労省が策定したのが「医療情報システムの安全管理に関するガイドライン」、経済産業省（以下：経産省）が「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」、総務省が「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」となります。（各ガイドラインの本文は、後述のURLから参照可能です。）

それぞれは、「誰に向けたガイドラインなのか」という点で根本的に異なります。厚労省が策定したガイドラインは、病院や診療所、薬局などの「医療機関」あるいは「介護事業体」などに向けられたものです。対して、経産省と総務省のものは、そうした機関から情報システムの取り扱いについて委託を受ける「情報処理業者」に向けたものです。

2020年からは「3省2ガイドライン」へ統合

上記の「3省3ガイドライン」において、経産省と総務省のガイドラインは、想定している対象業者が重複しうることは明らかでしょう。こうした事情を受け、2020年8月からは経産省と総務省の発表内容は統合され、「3省3ガイドライン」は新たに「3省2ガイドライン」になりました。

つまり、情報サービスを扱う事業者に対するガイドライン（経産省・総務省）と、医療機関向けのガイドライン（厚労省）というように、シンプルに分けられることになったのです。
それぞれのガイドライン本文は、下記から参照してください。

医療機関が対象の「医療情報システムの安全管理に関するガイドライン」とは

以下では、厚労省による「医療情報システムの安全管理に関するガイドライン」について、その概要を解説します。

ガイドラインの内容

既に述べたように、本ガイドラインは主に医療機関に向けて、医療情報システムの安全管理について説くものです。このガイドラインは、最新の情報セキュリティ対策やクラウド技術の進展などを踏まえて、2021年1月に従来の「5版」から「5.1版」に改訂されました。

その構成としては、「全10章＋付則事項2点」となっています。情報の電子化についての基本的な考え方・注意点、具体的な事例も含んだ安全管理の仕方・運用方法、そして情報システムの委託を外部の事業者に行うにあたっての選定方法など、多岐に渡って詳細に説明されています。

ガイドラインを活用して医療情報を管理するポイントは？

このガイドラインにおいては、医療情報の適切な管理について幅広く述べられています。とりわけ医療情報のデジタル化に焦点を当てて読んだ場合、その核となるのは、「電子的な医療情報の安全な管理の仕方」、「電子的な医療情報を取り扱う上での管理者の責任」、「電子保存における注意点」の3点に集約できるでしょう。

第一に情報管理の安全な仕方について、ガイドラインでは「組織的安全管理対策」「物理的安全対策」「技術的安全対策」「人的安全対策」の4つが挙げられています。組織的安全管理対策とは、医療情報の取り扱いについての規定や手順書を整備し、自己点検などによって確認することです。

次に、物理的安全対策とは、入退館の管理や機器の盗難・紛失防止などを意味し、技術的安全対策は不正アクセスやマルウェアへの対策など、電子的な技術的対策のことを指します。

そして、最後の人的安全対策とは、従業員と守秘義務契約を交わしたり、研修を行ったりして、人による誤りを防止することです。今後、医療情報のデジタル化・クラウド化が進んでいく際には、とりわけ技術的対策の重要性がますます強まっていくことでしょう。

第二に、電子的な医療情報を扱う上での管理者責任としては、「通常時の責任」と何かトラブルが生じた際の「事後の責任」の2つに分けて説明がされています。

まず、通常時の責任として挙げられるのは、情報の管理の仕方について患者に説明する「説明責任」と、情報システムの管理を業者に任せきりにせず定期的な報告やチェックを行う「管理責任」、そしてサイバー攻撃などの進化に対して「継続的にセキュリティ対策の見直し・更新を行う責任」です。

一方、「事後の責任」としては、トラブルの発生やその内容について患者や監督官庁などに報告する「説明責任」、そしてトラブルに対する原因究明や損害の填補、再発防止策を実施する「善後策を講じる責任」が挙げられます。

さらに、情報システムの構築には外部の事業者も関係してくるため、情報漏えいなどがあった際の責任の所在について、医療機関が責任を持つ範囲はどこまでなのかを、さまざまな場合に分けて「責任分界点」として説明しています。

第三に電子保存における注意点としては、「真正性の確保」と「見読性の確保」、そして「保存性の確保」について述べられています。

真正性の確保とは、電子化した情報について、その作成責任の所在を明確にし、虚偽入力や改竄、ほかの患者情報との混同などが行われていないかを確認し、情報の正確性を確保することです。見読性の確保は、情報を電子化しても、必要なときに必要な人がその情報を肉眼で読み取れる状態で保存することを示します。最後の保存性の確保は、上記の真正性や見読性を保ちながら、法令などで定められた必要な期間に渡ってその情報を保護しておくことを意味します。

この保存性を確保するには、最初に述べた情報管理の安全対策を遵守することが重要になります。