医療情報システムの安全管理に関するガイドライン(第6.0版)
サイバーセキュリティのニュース、技術や動向って、わかったようで実はわかってなかったことが多いですよね。
今回は私の専門である「医療セキュリティ」に関連して、令和5年に改定された「医療情報システムの安全管理に関するガイドライン」について解説し、本ガイドラインの意味や対応方法をざっくり理解いただこうと思います。
想定読者
- サイバーセキュリティ専門家
- 医療機関にお勤めの方
- 医療情報システムを扱う事業者(ITベンダー)にお勤めの方
業界特化系であるがゆえに、本ガイドラインを初めて知る(名前くらいなら知っている)方が多いと思います。
そのため、
- 「医療情報システムの安全管理に関するガイドライン」の位置づけを知りたい
- 「医療情報システムの安全管理に関するガイドライン」へ対応することで何のメリットがあるのか知りたい
- 「医療情報システムの安全管理に関するガイドライン」へ対応しなければならないけど何をしていいのかさっぱりわからない
- サイバーセキュリティの知見を広げたい
という方向けにもぜひ読んでいただきたいです。
概要
結局のところ「医療情報システムの安全管理に関するガイドライン」って何なの?
いやいや、スライドを見たところでわかったつもりになるだけでしょ?
結局のところ、このガイドラインは何なんですか??何がしたいんですか??
と思っている方も多いと思います。
「医療情報システムの安全管理に関するガイドライン」とは、
医療機関と医療情報システムを扱う事業者(ITベンダー)が医療情報システムを扱う際に守らなければいけないルールを定めた安全管理(セキュリティ)に関するガイドライン
として理解いただけば問題ないです。
そして、
このままだと法令違反になるから、まずは自医療機関(自事業者)の状況に応じたチェックリストへ対応しておけ
と危機感を煽ってモチベーションアップしてくれたうえに、立場に応じた実施事項まで明確になっています。
もうちょっと詳しく説明してよ(泣)
本ガイドラインの対象は?(モノ編)
セキュリティやITを専門としている方向けに説明させていただくと、
- 医療情報:
- 医療に関する患者情報(個人識別情報、既往歴、持病や現症など)を含む情報
- 医療情報システム:
- 医療情報を保存するシステムだけでなく当該情報を扱うすべてのシステム
重要な情報、、、そしてシステムの対象範囲が広いですよね。 電子カルテはもちろんのこと、医療機関が利用しているシステムは数多くあります。我々が通院した際にお医者さんや看護師さんが使用する機械やシステムにも、我々の身体に関する情報=医療情報が含まれているのです。想像いただくと、相当範囲が広いことを実感いただけると思います。
医療情報を扱うすべてのシステムが本ガイドラインの対象となるわけです。
本ガイドラインの対象は?(組織と人編)
ここで、組織と人へ目を向けてみます。
上記で説明した医療システムを扱っているのは、お医者さんや看護師さんといった医療機関の医療従事者を想像すると思います。ただ、もちろんですが医療従事者だけではありません。
近年の医療機関の規模は大きくなりつつあり、自院にIT部門を持つことが多い傾向にあります。そこで、医療機関で使用するシステムを自院開発するケースが多々見られます。自院の細かい仕様に沿ったシステムを自社開発したほうが医療機関にとってはgoodですよね。
あくまで傾向であるので、外部ベンダーと協業してシステムの導入から運用、破棄まで行う医療機関も多いです。
これらの状況を考慮し、本ガイドラインではシステム運用専任の担当者有無によって参照するガイドラインが細かく分けられています(なんとお優しいこと...)。自医療機関の状況に応じて確認すべき箇所が限定されている構成はすごくありがたいですよね。
法令違反って怖いんだけどどうすればいいの?
第6.0版の公表に伴い、
本ガイドラインへ対応していない=e-文書法へ対応できていない
つまり、本ガイドラインに対応していないと法令違反になって罰則が科されるおそれありと明言されています。
本ガイドラインは、e-文書法が医療分野において執行される際の指針となります。ガ
イドライン自体に罰則はありませんが、ガイドラインに違背した状態は、法令を遵守し
ていないとみなされる可能性があります。
本ガイドラインには、法令により要求されている事項等が列挙されています。したが
って、これに違背することにより、e-文書法に求められる要件を満たすことができてい
ないと認められる場合には、医療に関係する多くの法令等に違反したとみなされ、その
罰則が適用されるおそれがあります。
※「医療情報システムの安全管理に関するガイドライン第6.0版」に関するQ&Aより抜粋
ただ、本ガイドラインの要件を文書から正確に抽出、把握したうえで対応状況を管理することは困難です。そこで、「医療機関におけるサイバーセキュリティ対策チェックリスト」が公表されています。
医療機関用と事業者用とに分けられた構成となっており、それぞれの立場からe-文書法へ対応するために必要な要件がリスト化されているのです。これを満たしていればALL OKということです。
e-文書法違反をチェックする際(医療法に基づく立ち入り検査の際)にも、本チェックリストを提出すれば問題なしです。
私見
特に、医療情報システムが扱っているデータは非常に繊細な個人情報(患者の既往歴や持病など)であるため、罰則の有無にかかわらず安全性を担保する必要があります。セキュリティ対応の有無が患者として通院する医療機関を選択するにあたって重要な条件になる(既になっているか?)ことは、容易に想像できます。
私は医療セキュリティ専門家として活動しているため、当該ガイドラインが医療業界へもたらす影響を肌で感じています。医療業界へのサイバー攻撃は年々増加しているにもかかわらず、当該ガイドラインへの準拠対応やセキュリティ体制を構築することができる専門家の数が足りていないです。それらの面でも、医療セキュリティの素養を身に付けることは、無駄にはならないと思います。
個人的にですが、当該ガイドラインへの準拠が厳格化された今、いち早く医療セキュリティの発展・推進に貢献していきたいものですね。
Obrigado 
参考
- 医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月), 厚生労働省, https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
- ぼびのX, X, https://twitter.com/secubot5