デジタルヘルス

「医療情報システムの安全管理に関するガイドライン第6.0版」に関するQ&A 概説編

概2章

概Q-1

① このガイドラインは、医療機関等の関係者が読むもので、医療情報システムに関係するベンダや事業者は読む必要はないのか。 ② ベンダや事業者が遵守すべきガイドラインにはどのようなものがあるのか。

A 医療情報システムの管理上の一次責任は医療機関側にありますので、医療機関等の関係者は、このガイドラインの内容をよく理解し、遵守していただく必要があります。

ただし、情報システムの安全管理は運用と技術とが相まって一定のレベルを達成するものです。特に、情報化が進み、多様なシステムが導入され、利用されている医療機関等においては、システムの構築はじめ安全管理を医療機関等の関係者のみで実施することは少なく、システムに関係するベンダや事業者の協力を得て、情報システムの安全管理 を実施することが多いです。そのため、医療情報システムを安全に管理・運用するのは、 医療機関側の責任ですが、システムに関係するベンダや事業者にも本ガイドラインを読んでいただき、医療機関等側が負う責任や遵守すべき内容について理解を深め、より安全な情報システムの管理・運用が果たされるような協働を働きかけることは有用です。

協働するベンダや事業者には、医療情報システムの安全管理の観点ではこのガイドラインを、医療情報システムで取り扱う個人情報の保護の観点では「医療・介護関係事業者 における個人情報の適切な取扱いのためのガイダンス」を理解していただくことが望ましいです。

なお、ベンダや事業者といった医療情報システム・サービスに関係する事業者に対しては、総務省・経済産業省が「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を策定しています。ベンダや事業者はそのガイドライ ンの内容をよく理解していただく必要があります。

概2.1章

概Q-2

どのような場合に、介護事業者は本ガイドラインの内容を遵守する必要があるか。

A 下記のような事例等が想定されます。 介護事業者が取り扱うe-文書法の対象範囲となる文書に、医師等から提供を受けた患者の医療情報を記入し、電子保存を行う場合。

上記のほか、医師等が作成した患者の医療情報を情報システムにより取り扱う場合。

概2.2章

概Q-3

他の医療機関等から提供された電子化された情報の取扱いは、このガイドラインの対象となるのか。

A このガイドラインは、医療に関わる情報を扱う全ての情報システムと、それらのシステムの導入、運用、利用、保守及び廃棄に関わる人又は組織が対象となっています。 そのため、このガイドラインの対象情報は、前文の情報システムや人又は組織の中で 扱われる情報のうち、

  • ①「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」(平成17年3月31日付け医政発第 0331009 号・薬食発第 0331020 号・保発第 0331005 号厚生労働省医政局長・医薬食品局長・ 保険局長連名通知。平成28年3月31日最終改正。以下「施行通知」という。)に含まれている文書、
  • ②施行通知には含まれていないものの、民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律(平成 16 年法律第 149 号。以下「e-文書法」という。)の対象範囲で、かつ、患者の医療情報が含まれている文書等(麻薬帳簿等)、
  • ③法定保存年限を経過した文書等、
  • ④診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像、
  • ⑤診療報酬の算定上必要とされる各 種文書(薬局における薬剤服用歴の記録等)

等が対象です。

したがって、他の医療機関から提供された電子化された情報についても、電子化された状態で利用・保存する限りはこのガイドラインの対象となります。

なお、個人情報の取扱いについては、個人情報の保護に関する法律(平成15年法律第 57号。以下「個人情報保護法」という。)並びに「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」等を参照してください。

概Q-4

電子保存が認められている文書とは具体的に何か。

A 厚生労働省の所管する法令の規定に基づく民間事業者等が行う書面の保存等における情報通信の技術の利用に関する省令(平成 17 年厚生労働省令第 44 号。以下「e-文書法省令」という。)、施行通知で定められた文書です。

概2.3章

概 Q-5

「医療情報システム」とは具体的に何を示すのか。

A 医療機関等のレセプト作成用コンピュータ(レセコン)、電子カルテ、オーダリングシステム等の医療事務や診療を支援するシステムだけでなく、何らかの形で患者の情報を保有するコンピュータ、遠隔で患者の情報を閲覧・取得するようなコンピュータや携帯端末も範ちゅうとして想定しています。また、医療情報が通信される院内・院外ネットワークも含まれます。

概説3.2章

概Q-6

オンライン資格確認や電子処方箋の導入において、どのような留意事項が あるか。

A オンライン資格確認や電子処方箋の導入については、厚生労働省のホームページや医 療機関等向けポータルサイトに資料が掲載されています。

[オンライン資格確認] [電子処方箋]

本ガイドラインを踏まえた留意事項としては、

  • 「オンライン資格確認導入に向けた準備作業の手引き【医療機関・薬局の方々へ】」
  • 「ネットワーク整備を含むオンライン資格確認導入に向けた準備作業の手引き【医療 機関・薬局の方々へ】」
  • 「電子処方箋導入に向けた準備作業の手引き【医療機関・薬局の方々へ】」

に掲載されている「システム事業者へ発注」「導入・運用準備」のステップにおいて、「オ ンライン資格確認の機器」「医療機関等が利用するシステム(レセプトコンピュータ、電子カルテシステム/薬局システム)」「オンライン請求ネットワーク」「ルーターなどのネットワーク機器」の購入・設置・設定・保守に関係するシステム事業者との間で、役割分担や責任分界を明確にし、契約や体制、ネットワーク構成図、機器設定を適切に管理することが求められます。

概4.3章

概Q-7

医療情報を電子的に保存するに当たって定められた要件は何か。また、情報セキュリティの3要素(機密性・完全性・可用性)との違いはあるか。

A 電子化する対象である全ての記録に対しての指針が、「6 医療情報システムの基本的な安全管理」に記載されています。さらに、保存義務のある記録の電子化には、e-文書 法省令に従った内容が「7 電子保存の要求事項について」に記載されており、いわゆる電子保存の 3 要件(真正性、見読性、保存性)について規定されています。紙媒体の原本をスキャナで読み取り電子文書化する場合の記載は、「9 診療録等をスキャナ等により電子化して保存する場合について」に記載されています。保存義務のない書類であっても、これらの記載に準拠することが求められます。 電子保存の3要件は、「書面の保存等に関し、電子情報処理組織を使用する方法その他の情報通信の技術を利用する方法」3に必要とされる要件で、

  • 真正性とは、「正当な権限で作成された記録に対し、虚偽入力、書換え、消去及び混同が防止されており、かつ、第三者から見て作成の責任の所在が明確であることである。なお、混同とは、患者を取り違えた記録がなされたり、記録された情報間での関連性を誤ったりすること」
  • 見読性とは「電子媒体に保存された内容を、「診療」、「患者への説明」、「監査」、「訴 訟」等の要求に応じて、それぞれの目的に対し支障のない応答時間やスループット、 操作方法で、肉眼で見読可能な状態にできること」
  • 保存性とは、「記録された情報が法令等で定められた期間にわたって真正性を保ち、 見読可能にできる状態で保存されること」

と定義されています。 これは、e-文書法令第4条第4項の第1号から第3号までを具体化したものと言えます。 一方、情報セキュリティの3要素(機密性・完全性・可用性)は、情報資産の安全かつ信頼できる利用において求められる、情報セキュリティにおける要素です。これらについては、概説編「4.2 医療情報システムの安全管理に必要な要素」で詳述しています。 電子保存の 3 要件と、情報セキュリティの 3 要素が総じて満たすことは、多くの部分で重なります。例えば、文書を電子化したファイルが、完全性と可用性を満たすことによ り、見読性の要件の大半を満たすと評価することができます。また、機密性を満たすことにより、真正性の要件の多くを満たしていると評価することもできます。さらには、機密性、完全性、可用性を満たすことで保存性の要件の多くを満たすことが可能であると考えられます。

本ガイドライン第 6.0 版ではこのような関係を踏まえて、電子保存 3 要件のうち、 情報セキュリティ 3 要素と重なる部分については、e-文書法令の対象だけではなく、医 療情報を取り扱う情報システム全般に適用し、情報セキュリティの 3 要素から、遵守事 項等を整理しました。 その上で、情報セキュリティ 3 要素だけでは満たせない内容については、別途遵守事 項として定め、システム運用編の別添に示しています。

概Q-8

SNS 等の Web サービスを利用して医療情報をやり取りする場合、考慮するべきことはあるか。

A SNS(Social Networking Service)等の Web サービスを利用して患者の医療情報を取り扱う場合、当該サービスは医療情報システムに該当し、ガイドラインの基準を満たす必要があります。 特に、SNS の場合、セキュリティが十分に確保されていないサービスもあることから、 一般社団法人保健医療福祉情報安全管理適合性評価協会(HISPRO)が公表している「医療情報連携において、SNSを利用する際に気を付けるべき事項」4を参考に、適切な対策を講じてください。

概Q-9

第5.2版では、付表で小規模病院、診療所などの対応について示されていたが、小規模の基準は病床数や職員数で決められているのか。また第6.0版 では、小規模病院等の対応について、同様の対応などが示されているのか。

A 「小規模」に、明確な数値基準はありません。 医療情報システムの安全対策におけるリスクを考える上で、医療機関等の規模は一つの視点となりますが、必ずしも規模だけでリスクやその対策が決まるわけではありません。例えば小規模医療機関等であっても、医療情報を取り扱うシステムを、医療機関等自らがアプリケーションを使って開発し、運用している場合には、システム開発や運用に関するリスクは必ずしも低くはなく、したがって適切な対策が求められます。 医療機関等においては、専任の情報システム運用担当がいない場合や、医療情報システムを外部のクラウドサービスにするなどで、医療機関等の直接的な負担を軽減し、安全な医療情報の取り扱いを図るため、外部の医療情報システム・サービス事業者に運用等を委ねる場合があり、小規模医療機関等において、特にみられる傾向と言えます。 第6.0版では、このように医療機関等の規模の大小ではなく、医療機関等における体制や、医療情報システムの構成に着目し、医療機関等に専任のシステム運用担当者が存在しない場合や、利用する医療情報システムがクラウドサービスだけの場合には、本ガイドラインの一部については、参照を簡略化できることとしています。

このように小規模医療機関等における対策の負担軽減を直接示す内容は含まれていないものの、実質的には外部委託の活用等の対応が図れるようにしています。 また、診療所や薬局等の小規模医療機関等向けの特集も、補足資料として用意していますので、適宜、ご参照ください。

概Q-10

旧版のガイドラインの本編や別冊や別添等、全て読む必要があるか。

A 旧版は読む必要はありません。旧版の内容は、最新版で変更若しくは削除等されている場合があるため、最新版をお読みください。

概Q-11

このガイドラインの説明会や研修会等は実施されていないのか。

A 厚生労働省として実施しているものはありませんが、一般社団法人日本医療情報学会 や一般社団法人保健医療福祉情報システム工業会等による講演会等で、解説が行われることがあります。 なお、厚生労働省では、医療機関等向けサイバーセキュリティ研修用動画、教材を提供しております5ので、こちらも参考にしてください。

-デジタルヘルス

© 2024 RWE