あらゆる分野でITの活用が進む中、医療の分野でもその進展は活発です。
電子カルテや遠隔医療向けシステム、ウェアラブルデバイスによるバイタルデータの取得など、様々な活用方法が見出されており、普及が徐々に進んできている状況といえます。
ただ、医療分野で扱う情報に含まれる個人情報は、漏えいしないよう厳重な管理が求められます。
本記事では、医療情報システムにおける安全管理についてのガイドライン、通称「3省3ガイドライン(3省2ガイドライン)」について、制定された背景や概要、今後の見通しなどを解説します。
医療情報システムの管理者や担当者、医療機関での利用者は是非とも押さえておきたい情報です。
また、組織の情報セキュリティご担当者様へ、必要だけどなかなか作るのが難しい情報セキュリティポリシーの策定・運用ポイントとサンプルをまとめた資料を無料で配布しています。
これから策定の方も、自社のポリシーをチェックしたい方もご活用ください。
3省3ガイドラインとは
3省3ガイドラインは、医療分野における情報システムの情報管理について定めたガイドラインです。医療分野での情報システムの利用が普及し、情報管理にまつわるインシデントが想定されるようになったことから、関係者で気を付けるべきことを示すために制定されました。
対象者ごとに3つのガイドラインが3つの省庁から別々に示されており、それが下記の3ガイドラインです。
| 省庁 | ガイドライン名 | 対象者 |
|---|---|---|
| 厚生労働省 | 医療情報システムの安全管理に関するガイドライン | 医療関係者向け |
| 経済産業省 | 医療情報を受託管理する情報処理事業者向けガイドライン | システムを提供する事業者向け |
| 総務省 | クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン | クラウドサービス提供事業者向け |
なお、経済産業省と総務省のガイドラインについては2021年度に統合が行われたため、2023年8月時点では3省2ガイドラインとなっています。
3省2ガイドラインについては、「3省2ガイドラインとは?制定の背景や変更点を解説」でも詳しく取り扱っています。
3省3ガイドラインが発行された背景
3省3ガイドラインが発行された背景には、ITシステムの普及に伴い、医療分野での活用が進んだことにあります。もともとカルテとして情報を収集、蓄積することが一般的であり、その電子化が進められたことは自然な流れといえます。
また、ITの先端技術は医療分野での活用も進んでいます。先に挙げた電子カルテ等はその最たる例です。IoTの小型デバイスは、ウェアラブルデバイスとしてバイタルデータを収集する際に利用されます。小型のカメラによる検査やMRIなどの大型の医療機器との連携機能にもIT技術は役立ちます。これまで独立して利用されてきた、長時間利用する輸血などの機器もデジタル技術により管理できるようになれば、現場の負荷が減るはずです。
一方で、医療の分野で扱うデータは多くの個人情報を含みます。厳重に扱われなくてはなりません。
また、技術の進展により機器間の連携も活発化しています。メリットは多いのですが、脆弱性が生まれやすくもなっています。
こうした状況にサイバー犯罪者が目をつけ、医療機関が対象とされるサイバー攻撃が増加しています。
急速なサイバー攻撃の広がりに対して、セキュリティ対策がまだまだ未整備で、被害が大きくなってしまった事例も少なくありません。
例えば、地方の医療施設がランサムウェアに感染し身代金の要求にあって業務が停止してしまった事例は大きなニュースとなりました。その他にも情報の流出、漏えいにつながるトラブルが度々発生しています。
このような状況を受け、関係者の業務の一助となるようガイドラインが制定されました。情報セキュリティリスクが今後の医療分野でのIT技術の活用の妨げとならないような配慮とも言えます。
3省4ガイドラインからの改善点
総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」は、2018年までは下記の二つのガイドラインでした。その後、情報の整理が進められ、3省3ガイドラインにまとめられたという経緯があります。
- ASP・SaaSにおける情報セキュリティ対策ガイドライン
- ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン
内容については上記二つのガイドラインの統合による大きな変化はありませんでした。
その後、2023年時点では、さらに管轄省庁の壁を超えて3省2ガイドラインにまとめられています。
3省3ガイドラインの各ガイドライン概要
各ガイドラインの概要を紹介します。
医療情報システムの安全管理に関するガイドライン
厚生労働省が発行しており、医療関係者向けの内容です。
電子カルテを始めとした医療情報システムを取り扱う際のセキュリティ対策、医療情報の処理や管理における外部保存(外部委託)とその際の責任の所在などについて定められています。
ガイドラインに準拠せず、医療情報システムにて情報漏洩などのトラブルが発生した場合には、医療機関は行政指導を受ける可能性があります。
医療情報を受託管理する情報処理事業者向けガイドライン
経済産業省が発行しており、システムを提供する事業者向けの内容が記載されています。
医療情報システムに必要となる安全管理のための対策、リスクマネジメント・リスク対応、電子帳票保存に関する内容、関連する法令などについて触れられ、事業者に求められる要求事項がまとめられています。
一般的に、医療機関との契約は本ガイドラインに準拠したものとなるため、情報処理事業者にとって対応が必要です。
クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン
総務省が発行した、クラウドサービス提供事業者向けのガイドラインです。
クラウドサービスが医療システムに利用されることを想定し、安全なデータの保護を主とした記載がされています。サービス利用における対象範囲や責任の所在、安全管理への要求事項などが主な内容です。
クラウドサービス事業者も情報処理事業者の一種であり、2021年に経済産業省の発行するガイドラインにまとめられました。
情報セキュリティポリシーの策定・運用のポイントがサンプル付きでわかる資料はこちら。
今後は3省2ガイドラインへ
2021年8月に、経済産業省のガイドラインと総務省のガイドラインが統合され、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」にまとめられました。クラウドサービスの利用の一般化により、情報処理事業者の一種としてまとめられるようになったためです。
2023年現在では、以下の3省2ガイドラインです。
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
3省2ガイドラインについては、「3省2ガイドラインとは?制定の背景や変更点を解説」でも詳しく取り扱っています。
まとめ
医療分野におけるITシステムの活用は、業務の効率化、人手不足への対処、新たな治療方法への利用など今後の医療を支える上で欠かせない要素です。一方で、ITシステムの活用には個人情報を漏えいから守るための情報セキュリティ対策が必要です。
しっかり3省2ガイドライン(旧:3省3ガイドライン)に準拠し、内容を熟知したうえで医療情報システムの活用に臨みましょう。
