3省2ガイドラインとは?医療機関や医療情報を取り扱うシステム・サービス事業者のためのガイドライン
3省2ガイドラインとは
3省2ガイドラインとは、厚生労働省が発行する「医療情報システムの安全管理に関するガイドライン」および、経済産業省と総務省が発行する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の3つの省庁、2つのガイドラインを総称したものです。
これらのガイドラインは、医療情報を扱うシステムにおけるセキュリティ対策やプライバシーに配慮した情報の取り扱いを定めており、「医療情報システムの安全管理に関するガイドライン」は医療機関向けに、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は医療機関と契約しシステムやクラウドサービスを提供する事業者向けに策定されたものです。
それぞれのガイドラインは、以下のウェブページで閲覧できます。
3省2ガイドラインの改定の変遷
現在3省2ガイドラインと呼ばれるガイドラインは元々、厚生労働省、経済産業省、総務省の3省庁が発行する以下の4つのガイドラインに分かれており、3省4ガイドラインと呼ばれていました。
- 厚生労働省: 医療情報システムの安全管理に関するガイドライン
- 経済産業省: 医療情報を受託管理する情報処理事業者における安全管理ガイドライン
- 総務省: ASP・SaaSにおける情報セキュリティ対策ガイドライン
- 総務省: ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン
これらのうち、総務省の発行する2つのガイドラインが2018年(平成30年)に統合され、「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」となりました。
その上、2020年(令和2年)には、それぞれのガイドラインへの対応負荷やサイバー攻撃の高度化、各種セキュリティ規格の整備に伴い、総務省のガイドラインと経済産業省のガイドラインがさらに統合され、現在の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」となりました。現在の版は2023年(令和5年)に改定された第1.1版になります。
厚生労働省の「医療情報システムの安全管理に関するガイドライン」についても、2017年(平成29年)には改正個人情報保護法の施行に伴って第5版が発行されたあと、クラウドサービスやゼロトラスト等の技術動向への対応や、総務省・経済産業省のガイドラインとの整合性を考慮しながら幾度か改定され、現在は2023年(令和5年)に発行された第6.0版が最新となります。
なぜ医療情報システムのガイドラインは特別に策定されているのか
他の情報システムに関するガイドラインと異なり、医療情報システムについてに特化したガイドラインが策定される背景については、3つの理由があります。
1つ目の理由は、医療情報システムで扱う情報には、患者の機微な個人情報が含まれており、より慎重に取り扱う必要があるためです。医療情報システムでは、患者の病歴等の機微な個人情報を扱っており、適切な管理がされなければ患者の生命に直接影響を及ぼす可能性さえあると考えられています。
2つ目の理由は、医療情報システムは、効率的で正確な医療行為を行う上で重要な役割を果たしているためです。医療情報システムが医療情報を電子化して扱い、医療機関等の間で継続して正確な情報を共有・連携することで、より質の高い医療の提供につながると考えられています。
3つ目の理由は、そうした機微かつ重要な医療情報を扱うシステムに求められる安全管理は、一般的な情報システムに求められるものよりも高い水準であることが必要となるためです。
また、医療情報システムやそのシステムで扱う情報に関しては、情報システム一般に関連する個人情報保護法やe-文書法に加えて、厚生労働省が定める医療法施行規則や法令に関連した通知などにも準拠し対応する必要があります。
例えば「診療録等の保存を行う場所について」(平成14年/医政発第0329003号・保発第0329001号通知)では、診療録等の外部保存を行う際の基準や留意事項が定められており、クラウドサービス等を用いて情報の外部保存を委託する場合には、3省2ガイドラインを遵守する事業者を選定することが求められています。
また、「医療法施行規則」第14条では、「病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じなければならない。」とされており、医療機関でも安全管理措置を講じることが求められています。
厚生労働省「医療情報システムの安全管理に関するガイドライン」の概要
「医療情報システムの安全管理に関するガイドライン」は、医療機関等において医療情報システムの運用(導入〜廃棄)に関わる人を対象としたガイドラインです。
第6.0版で全体構成が見直されており、以下の各編から構成されています。
- 概説編: ガイドラインの目的や対象、前提の解説
- 経営管理編: 経営層に向けた、医療情報システムの安全管理の統制についての解説
- 企画管理編: 医療情報システムの安全管理の実務担当者に向けた、医療機関全体の安全対策の管理や人的・組織的なセキュリティ対策に関する遵守事項についての解説
- システム運用編: 医療情報システムを実装・運用するシステム担当者に向けた、技術的なセキュリティ対策についての解説。システムを外部事業者に委託している場合、委託先の事業者が実装すべき内容も含まれる。
医療情報を外部保存する場合の委託先事業者の選定
このガイドラインでは、医療情報を外部保存する場合の委託先事業者の選定について、JIS Q 15001に基づくプライバシーマーク認定または、JIS Q 27001に基づくISMS認証もしくはそれらと同等の規格の認証を受けているシステム関連事業者を選定することとされています。
また他にも、事業者の選定に関しては、安全管理に係る規定や体制の確認、財務の健全性の確認、ISMAP・SOC2等の認証の取得、情報を保存する国・地域や国外法の適用可能性の確認などにも言及があります。
クラウドサービスなどのシステム・サービスを提供する事業者としては、認証の取得が必須となることで、第三者による評価を受ける必要もあり、より厳格な情報管理が求められるでしょう。
医療機関におけるサイバーセキュリティ対策チェックリスト
「医療機関におけるサイバーセキュリティ対策チェックリスト」は、「医療情報システムの安全管理に関するガイドライン」と同様に厚生労働省が公開しており、医療機関が優先的に取り組むべき事項をまとめたものです。医療機関や医療情報システムの事業者がチェックリストを参照し、各管理策の実行性を高めるために活用するためのものになります。
このチェックリストには、医療機関向けに例えば以下のような項目があります。事業者に関しても、同様の確認が求められます。
体制構築に関する項目
- 医療情報システム安全管理者を設置している
医療情報システム全般に関する項目
- サーバ、端末PC、ネットワーク機器の台帳管理を行っている
- リモートメンテナンス(保守)を利用している機器の有無を事業者等に確認した
- 事業者から製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出してもらう
医療情報システムのサーバに関する項目
- 利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している
- 退職者や利用していないアカウント等、不要なアカウントを削除している
- アクセスログを管理している
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- バックグラウンドで動作している不要なソフトウェア及びサービスを停止している
医療情報システムのネットワーク機器に関する項目
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- 接続元制限を実施している
医療情報システムの端末PCに関する項目
- 利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している
- 退職者や利用していないアカウント等、不要なアカウントを削除している
- セキュリティパッチ(最新ファームウェアや更新プログラム)を適用している
- バックグラウンドで動作している不要なソフトウェア及びサービスを停止している
インシデント発生に備えた対応に関する項目
- インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図がある
- インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認している
- サイバー攻撃を想定した事業継続計画(BCP)を策定、または策定予定である
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の概要
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、医療機関等と契約等に基づいて医療情報システム等を提供する事業者を対象とするガイドラインです。
このガイドラインでは、一律にセキュリティ対策の要求事項を定めることはしておらず、他のセキュリティ規格やガイドライン、関連法令の要求事項を明らかにし、それらが抜け漏れなく実装され、求められる安全管理水準が確保されるように解説されています。また、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義することで、医療機関等とのコミュニケーションの円滑にすることを目的としています。
医療機関等への情報提供と合意形成
ガイドラインによれば、医療情報システムを提供する事業者は、契約前に医療機関に対して適切な情報提供を行い、共通の理解を形成した上で、契約書やSLA等の文書を作成し、明示的な合意を形成する必要があります。
また、事業者として、医療情報システムの安全管理について第三者機関や独立した監査部門の評価を得ること、プライバシーマーク認定またはISMS認証を取得することが必要となります。
例えば、ガイドラインの中では、医療機関等に情報提供すべき項目として、以下のようなものが挙げられています。
- 医療情報等の安全管理に係る規程等の整備状況
- 医療情報システム等の安全管理に係る基本方針・体制・評価の結果
- 財務諸表等に基づく経営の健全性
- リスクアセスメントの成果物
- 医療機関等の運用管理規程に定める必要がある事項
- 医療情報を格納する記憶媒体や機器等の管理方法
- 医療情報システムに対する監査の実施方針
- 他
また、合意すべきSLAについてはガイドラインの別添で参考例が挙げられています。
ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例
医療機関等とのリスクコミュニケーション
事業者は、提供するシステムのリスクについて、リスクアセスメントを実施し、それらの結果について医療機関等とリスクコミュニケーションをとらなければなりません。
リスクアセスメントは、以下のような手順で実施されます。
- 医療情報システム等の全体構成図を作成する
- 全体構成図をもとに、情報流を洗い出し、分類する
- 情報流の分類に関連する脅威とリスクを特定する
- 特定したリスクに対して影響度・顕在化率などを判定するリスク分析を行う
- 分析した各リスクに対して、リスク基準に従って対応要否を一覧化し、リスク評価とする
- リスク評価結果をもとに、リスクへの対応について医療機関等とコミュニケーションをとり、事業者側で実施する対策、医療機関等へ対応を求める事項を決定する
- リスク対応の一覧やコミュニケーションの成果物は文書化し、医療機関等にも提供する
