Table of Contents
1.はじめに
本ガイドラインは、医療情報システムの安全管理や、民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(平成16年法律第149号。以下「e-文書法」という。)等の法令等への適切な対応を行うため、技術的及び運用管理上の観点から所要の対策を示したものである。平成17年3月に初版が策定され、以降、技術の進展や制度改定などに対応する観点から、数度の改定を行ってきた。(これまでの改定経緯についてはQ&A等を参照。) 第6.0版では、本ガイドラインの内容の理解を促進し、医療情報システムの安全管理の実効性を高める観点から、本文について経営管理編、企画管理編、システム運用編に分け、各編で想定する読者に求められる遵守事項やその考え方を示すとともに、Q&A等で現状選択可能な具体的技術にも言及するかたちとすべく、構成の見直しを行った。そのほか、近時のサイバー攻撃やクラウドサービス利用の普及等を踏まえ、医療機関等に求められる安全管理措置を中心に内容面の見直しを行った。 医療情報システムを取り巻く環境は刻一刻と変動していくものであるため、今後も技術的な記載の陳腐化を避けるために随時内容を見直す予定である。本ガイドラインを利用する場合は、最新の版であることに十分留意することが求められる。 なお、医療情報システムの安全管理は、患者の診療情報をはじめとする機微な個人情報について適切な取り扱いが行われていることが前提となることから、本ガイドライン関係者は、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」を十分理解すること。
2.本ガイドラインの対象
本ガイドラインは、医療機関等において、すべての医療情報システムの導入、運用、利用、保守及び廃棄に関わる者を対象とする。
2.1 医療機関等の範囲
医療機関等とは、病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等を想定する。
2.2 医療情報・文書の範囲
本ガイドラインで対象とする医療情報とは、医療に関する患者情報(個人識別情報)を含む情報を想定する。 本ガイドラインで対象とする文書は、医療情報を含む文書全般を想定し、法定の保存義務の有無を問わない。
2.3 医療情報システムの範囲
本ガイドラインが対象とする医療情報システムは、医療情報を保存するシステムだけではなく、医療情報を扱う情報システム全般を想定する。これには、医療情報システム・サービス事業者(※)により提供されるシステムだけでなく、医療機関等において自ら開発・構築されたシステムも含まれる。 なお、医療情報を含まない患者への費用請求に関する情報しか取り扱わない会計・経理システム等は、本ガイドラインにおける医療情報システムには含まない。
(※)本ガイドラインで用いる「医療情報システム・サービス事業者」とは、医療情報システムの製造、開発、販売及び保守を行う事業者や、医療情報システムを活用したサービスの提供、保守等を行う事業者など、医療機関等が医療情報システムを利用・管理する上で関係する事業者全般を想定する。
3.本ガイドラインの構成、読み方
本ガイドラインは、各編に共通する内容を整理した概説編(Overview)と、医療情報システムの安全管理を実施するための統制・管理について各編で想定する読者類型ごとに整理した、経営管理編(Governance)、企画管理編(Management)、システム運用編(Control)の4編から構成する(図31参照)。
各編の目的と概要は以下のとおりである。
3.1 各編の目的・概要
3.1.1 概説編(Overview)
概説編は、本ガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編を理解する上で前提となる考え方等を示している。
3.1.2 経営管理編(Governance)
経営管理編は、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層を対象にしており、経営層として遵守・判断すべき事項や、企画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示している。
3.1.3 企画管理編(Management)
企画管理編は、主に医療機関等において医療情報システムの安全管理(企画管理、システム運営)の実務を担う担当者(企画管理者)を対象にしており、組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項や、医療情報システムの実装・運用に関してシステム運用担当者に対する指示・管理を行うに当たって遵守すべき事項とその考え方を示している。
3.1.4 システム運用編(Control)
システム運用編は、主に医療機関等において医療情報システムの実装・運用の実務を担う担当者を対象にしており、医療機関等の経営層や企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え方を示している。 なお、医療情報システムの実装・運用において、医療機関等が医療情報システム・サービス事業者に委託し、その業務や責任を分担することも考えられる。そのため、委託事業者においても本編を参照の上、医療機関等と協働されたい。その際、業務や役割、責任の分担の在り方については、あらかじめ両者で取り決めておくこと。
3.2.医療機関等の特性に応じた読み方
3.2.1 医療機関等の特性についての考え方
本ガイドラインは、すべての医療機関等における医療情報システムを対象とした安全管理に関して、各編で遵守事項やその考え方等を示している。 医療機関等の組織体制や、稼働している医療情報システムの構成、採用しているサービス形態等の特性は様々であるため、それぞれの医療機関等の特性に応じたかたちで本ガイドラインを遵守していただく必要がある。そのため、本項では、医療機関等の特性ごとに、医療機関等が必要な安全管理を確保するために本ガイドラインで最低限参照すべき箇所について明記する。 具体的には、医療機関等における専任のシステム運用担当者の有無と導入している医療情報システムの形態に応じた、4種の参照パターンを例示する(表3-1)。自施設の特性を分析した上で、最も近しい参照パターンに基づく対応を行っていただきたい。(なお、参照パターンに示した参照箇所以外の箇所についても、必要に応じてご参照いただきたい。)
表3-1 医療機関等の特性に応じた本ガイドラインの参照パターン
なお、医療機関等において、カルテ等の医療情報を紙媒体で扱い、情報システム上では医療情報を扱わない業務のみ行っている場合でも、医療機関等内の端末上やシステムとの連携によって、医療機関等外の医療情報へのアクセスが発生する場合は、参照パターンⅢやⅣに基づき本ガイドラインを参照する必要がある。 ただし、システム全体の構成等により、参照パターンが異なるので、必要に応じて、システムの提供元である医療情報システム・サービス事業者に参照パターンを確認すること。
3.2.2 医療機関等の特性に応じたガイドライン参照箇所
前項で例示した「医療機関等の特性に応じた本ガイドラインの参照パターン」(表3-1)による参照箇所の詳細を次頁に示す(表3―2)。
表3-2 参照パターンに応じた参照箇所
3.3 第5.2版との関係
第5.2版では、本編及び別冊編に分けて、原則として医療機関等の情報システムの安全管理に必要な内容を本編に、前提となる考え方や具体的な方策の例を別冊編に示した。 第6.0版では、システム運用担当者だけでなく、経営層や企画管理者に対しても本ガイドラインの内容を理解してもらい、医療情報システムの安全管理の実効性を高める観点から、全体構成を大幅に変更した。具体的には、主に第5.2版の本編について、「1.1 背景・経緯」に示す観点から分冊化を図り、第5.2版の本編及び別冊編の一部について、Q&Aへ移動するなどにより、読みやすさの向上を図っている。
4. 本ガイドラインの前提
ここでは、各編における遵守事項を理解する上で、前提となる考え方等について示す。
4.1 医療情報システムの安全管理の目的
4.1.1 医療情報システムで取り扱う医療情報の重要性
医療情報システムで取り扱う医療情報は、病歴等の機微性の高い情報を含む患者の個人情報である。当該情報は、適切な管理がなされなければ、患者の生命、身体の安全に直接影響を及ぼす可能性があるものであるため、慎重な取扱いが求められる。加えて、医療情報は、インフォームド・コンセントの観点からも、医療機関等と患者等との信頼関係に基づいて取り扱われるものであるため、医療機関等が行う業務の範囲内で適切に管理されることが求められる。 また、継続した医療の提供の観点からも、医療機関等の間で絶え間なく患者の医療情報が提供・共有されることが重要である。医療の継続性を支える観点からも、適切な管理の下、医療情報システムが利用され、医療情報が活用できる状態に置かれることが重要となる。
4.1.2 医療情報システムの有用性
医療情報システムは、効率的かつ正確に医療行為を行う上で重要な役割を果たしている。医療情報を電子化して活用することにより、医療機関等内の複数の部門で同時かつ正確な医療情報を確認することができることになり、医療従事者や患者の負担を軽減することが可能となる。 さらには一医療機関等を越えて、外部の医療機関等や患者自身などと医療情報の共有や連携を図ることにより、地域医療やチーム医療など、より質の高い医療の提供や、個人の健康増進に寄与することが期待される。
4.1.3 医療情報システムの安全管理の必要性
医療情報の機微性や重要性を鑑みると、医療情報システムに対して求められる安全管理は、一般の情報システムに求められる安全管理よりも高い水準で行われることが求められる。
4.2 医療情報システムの安全管理に必要な要素
医療情報システムの安全管理において、情報セキュリティ対策は必須であり、医療機関等の特性を踏まえ、情報セキュリティの要素である「機密性(Confidentiality)」、「完全性(Integrity)」、「可用性(Availability)」のバランスを取りながら、リスクに対応することが求められる。 「機密性(Confidentiality)」は、情報資産に対して、許可された者のみがアクセスできることを指す。機密性が確保されないと、許可していない者による情報システムの利用や改ざん、破壊などが生じうるほか、医療情報システムで取り扱う医療情報の不正な利用(参照、登録、改変)や漏えいなどが生じうる。 「完全性(Integrity)」は、情報資産が正確かつ完全な形で利用できることを指す。完全性が確保されないと、表示されるべき情報が欠落したり、不完全な又は不正確な形で表示されたりすることなどが生じうる。 「可用性(Availability)」は、情報資産に対して、許可された者が必要な時点でアクセスできることを指す。可用性が確保されないと、情報システムが利用できなかったり、利用目的に応じた適切な速度等での処理がなされなかったりすることで、医療情報などの利用が妨げられることなどが生じうる。 医療情報システムにおける安全管理は、これら3要素への対応を想定するものであるが、医療機関等の業務内容や導入する医療情報システムなどを踏まえたリスク評価により、これら3要素への対応を随時検討し判断することになる。 これら3要素への対応を踏まえて講じた安全管理措置を的確かつ継続的に実施・改善するために、3要素を保護するための体系的な仕組みである情報セキュリティマネジメントシステム(ISMS:Information Security Management System)を構築・運用することなどが求められる。
4.3 医療情報システムの安全管理に関連する法令
医療情報システムに直接関連する法令としては、
- 個人情報の保護に関する法律(平成15年法律第57号)
- e-文書法、厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令(平成17年厚生労働省令第44号)及び「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」(平成17年3月31日付け医政発第0331009号・薬食発第0331020号・保発第0331005号厚生労働省医政局長・医薬食品局長・保険局長連名通知。平成28年3月31日最終改正。)
- 「診療録等の保存を行う場所について」(平成14年3月29日付け医政発第0329003号・保発第0329001号厚生労働省医政局長、保険局長連名通知。平成25年3月25日最終改正。)
が挙げられる。 なお、医療従事者等が作成する文書については、関係する法令により示されており(例えば医師法における診療録)、各法令が求める内容に従って作成する必要がある。その上で、電磁的記録による保存を行うことができる文書等に記録された情報を電子媒体に保存する場合には、当該情報の見読性・真正性・保存性が確保されている必要がある。 また、医療情報を含む文書であって署名を求めるものに対して、電子署名を施す場合には、電子署名及び認証業務に関する法律(平成12年法律第102号)第2条に基づく電子署名を行うほか、本ガイドラインに基づき適切な措置を講じることが求められる。
4.4 医療情報システムに関する統制
医療情報システムの安全管理を行うためには、医療機関等内において、医療情報システムの運営や利用に対する統制が行われていることが求められる。 内部統制としては、
- 組織としての安全管理等に関する基本的な方針や計画の策定
- 安全管理等に必要な組織・体制の整備
- 組織における安全管理のルールとなる規程類の整備
- 上記に基づく運用
等を実施することが求められる。 適切な統制を行うためには、体系的な運用を行うとともに、適宜、企画管理者が管理運営状況を把握して必要な情報を経営層に報告し、経営層において医療機関等の組織全体の医療情報システムの安全性を継続的に管理することが求められる。 また、医療情報システムの運営や利用に際しては、様々な医療情報システム・サービス事業者と協働しながら安全管理措置を実施する場合が想定される。医療機関等においては、医療情報システムに求められる安全管理の水準に鑑み、本ガイドライン、総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」、その他の法令等に掲げる基準を満たした医療情報システム・サービス事業者を選定し、当該事業者との契約等において、双方の認識の齟齬が生じないよう、提供される情報システムやサービスの内容、当該事業者が行う業務内容、当該事業者との責任分界、役割分担、協働体制などを明確にした上で合意形成を図ることが求められる。
加えて、当該事業者に対して、必要に応じて、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の遵守状況を確認するなど、当該事業者の管理も求められる。
4.5 リスク評価とリスク管理
安全に医療情報システムを管理し、医療情報を取り扱うに当たっては、安全を脅かす又は損なう原因となる「脅威」を認識する必要がある。この脅威としては、地震等の自然災害や、サイバー攻撃、システム障害などの環境要因によるもの、医療情報の漏洩や改ざんなどの人的要因によるものが挙げられる。
また、これらの脅威によって生じる被害等が発生する可能性がリスクとして表される。
医療情報は、患者の生命・身体の安全に関わるものであり、これらの脅威にさらされると、医療の提供が停止するといった影響が生じることも考えられる。各医療機関等においては、自組織にとっての脅威を特定し、そのリスクを評価した上で対策を講じることが重要である。特に、自然災害やサイバー攻撃、システム障害などについては、被害の影響がより大規模となる可能性が高いため、高度なリスク評価を踏まえた対策が求められる。
なお、医療情報システムの安全管理上のリスク評価、リスク管理を実施するに当たっては、医療情報システム・サービス事業者から技術的対策等の情報を収集することが重要である。例えば、総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」における「サービス仕様適合開示書」や日本画像医療システム工業会(JIRA)の工業会規格(JESRA:Japanese Engineering Standards of Radiological Apparatus)及び保健医療福祉情報システム工業会(JAHIS)のJAHIS標準となっている「『製造業者/サービス事業者による医療情報セキュリティ開示書(略称:MDS/SDS:Manufacturer / Service Provider Disclosure Statement for Medical Information Security)』ガイド」で示されているチェックリスト等を参考に、当該事業者から情報提供していただく等により、当該事業者と医療情報システムの安全管理上のリスクについて共通の理解を得た上で、リスク管理に関する合意形成(リスクコミュニケーション)を図ることが求められる。また、合意した内容を契約書やSLA(Service Level Agreement:サービス品質保証、サービスレベル合意書)等の形で双方の合意文書として明らかにした上で、具体的な責任分界を踏まえた運用を行うことが求められる。
4.6 医療情報システムにおける認証・認可
認証された利用者等が、許可された範囲で情報やサービスを利用する情報システムは、今日多く存在する。医療情報システムも同様に、利用者や利用範囲を適切に管理することが求められ、そのためにシステム利用等において認証・認可の対策を講じる必要がある。
医療情報システムでは、医療機関等が組織として情報システムの利用権限を認めた利用者に対して、設定した利用範囲内で適切に利用することを保証するために、利用者の認証・認可を行うことになる。
医療情報によっては、医師等の法令で定められた者以外の作成や利用等が認められていないものがある。加えて、患者の医療情報が流出したり、不正に利用されたりした場合には、患者の生命や身体の安全に影響を及ぼす可能性がある。したがって、こうした医療情報を取り扱う医療情報システムにおいて算定するリスクは、通常の情報システムよりも高く算定する必要があるため、医療情報システムにおいて用いる認証・認可については、特に安全なものを採用する必要がある。
情報システムの認証では、認証に際しては利用者を特定するための識別子(IDなど)と、利用者が本人であることを確認するための符号(パスワードや指紋認証データなど)等が必要とされる。医療情報システムにおいては、このような識別子の発行や、本人であることを確認するための仕組み(認証方法)のいずれも、高い水準のものを採用することが求められる。例えばIDの発行については、対面など確実に身元確認が取れる方法を採用する、認証方法については、複数の要素を用いて認証するなどの方法が挙げられる。
4.7 医療情報の外部保存
医療情報の外部保存については、「4.3 医療情報システムの安全管理に関連する法令」で示した「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」や「診療録等の保存を行う場所について」に掲げる基準を満たすことを前提に、外部の事業者に医療情報のデータの保管を委託し、医療機関の外部に医療情報を保管することが可能となっている。これを踏まえ、本ガイドラインでは、適切な外部保存委託先としての医療情報システム・サービス事業者の選定に関する対策項目を示している。
外部保存に際しては、外部と接続するネットワークを利用するという意味で、情報漏洩や不正アクセス等のリスクが生じる。一方、適切な医療情報システム・サービス事業者に委託することで、専門的な知識に基づいて、必要な情報セキュリティ対策が講じられた環境での医療情報やデータの管理が可能となる。そのため、医療機関等においては、自機関のみで整備するよりも、医療情報システム・サービス事業者に一部の業務を委託する方が、結果として安価でより安全な情報セキュリティ対策を講じることが可能となることも想定される。加えて、情報システム等の運用に係る要員などの負担軽減にもつながることがある。
このように、外部保存については、適切な運用により、医療機関等における医療情報の取扱いを向上させることも想定できる。そこで、医療機関等において取り扱う医療情報システムの種類や医療情報の量、組織体制などを勘案して、外部保存を適宜利用することも、安全管理との関係では重要な方策の一つである。