規制

総務省 医療情報 安全管理ガイドライン

2020年11月21日

総務省及び経済産業省において「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(確定版)が公表されています。

本ガイドラインの策定方針

本ガイドラインは、次の2つのガイドラインが定める要件を整理・統合したものです。

  • 総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」(以下、「クラウド事業者ガイドライン」という。)
  • 経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(以下、「情報処理事業者ガイドライン」という。)

クラウド事業者ガイドラインと情報処理事業者ガイドラインが求める要件を、以下の方針に従い整理・統合した。

  • 他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの要求事項と同等の安全管理水準が確保されるようにする
  • 医療情報システム等の特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義する
  • セキュリティ対策の妥当性と限界について、正しい共通理解と明示的な合意のもと医療情報システム等を運用するために、リスクコミュニケーションを実施できるようにする
  • 医療情報システム等に関連する法令の求めに対して、セキュリティ対策の抜け漏れを防止するために、医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする

本ガイドラインの対象範囲

本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報システムやサービス(以下、医療情報システム等)を提供する事業者です。

  • 医療機関等と直接的な契約関係のない事業者も、医療情報システム等のサプライチェーンの一部としてシステムやサービスを提供している場合も、本ガイドラインの対象事業者となります。
  • 患者等の指示に基づいて医療機関等から医療情報を受領する事業者も本ガイドラインにおける対象事業者となります。

医療機関と事業者間の合意形成と契約の流れ

 

本ガイドラインの対象となる事業者は、提供する医療情報システム等について、医療機関等と義務や責任についての合意形成が重要となります。

合意形成にあたっては、医療機関等との間で「共通理解」と「明示的な合意」の形成が求められます。

全ての医療情報システム等に共通な一律の要求事項を定めることは難しいので、こうした対応が求められるわけですね。

合意形成にあたり医療機関等へ情報提供すべき項目

対象事業者は、医療機関等との合意形成にあたり、以下の項目についての情報を提供し、医療機関等と共通理解を形成する必要があります。

医療機関等へ情報提供すべき項目

情報提供を行う際の文書例(サービス・レベル合意書:SLA)

情報提供を行う際の文書例として、別紙1「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」があります。

本開示書の作成・提供は必須ではありませんが、対象事業者は医療機関等に対して、本開示書等と同等の内容について情報提供した上で、適切な共通理解に基づく合意形成を図ることが求められます。

別紙1 ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例

1. 本参考例の目的

本参考例は、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、「提供事業者ガイドライン」という)に基づいて、対象事業者が医療機関等に対してサービスの提供を行う際に求められる合意事項等を整理し、サービス仕様適合開示書 及びサービス・レベル合意書(SLA)参考例という形でまとめたものである。

2.サービス仕様適合開示書について

対象事業者と医療機関等が容易に合意形成することができるよう、情報提供すべき内容として記載すべき項目の参考例であり、対象事業者はサービス仕様適合開示書を医療機関等に提供し、医療機関等はこれに基づいて医療情報システム等の選択を行い、両者はその内容を踏まえた形でサービス内容の合意を図ることを想定している。

なお、本開示書はその一つの例示であり、本開示書の作成・提供は必須ではないが、対象事業者は、このような開示書等を用いて、医療機関等に対して対応状況を開示・説明した上で、合意形成を図ることが求められる。

安全管理のためのリスクマネジメントプロセス

対象事業者は、医療情報システム等を提供する際には、本ガイドラインで定めるリスクマネジメントプロセスに基づき、想定されるリスクを洗い出し、必要な対策を導出します。

リスクマネジメントプロセスは、大きく以下の3つのプロセスに分類されます。

  1. リスクアセスメント
  2. リスク対応
  3. 記録作成及び報告

リスクアセスメントの実施手順

「リスクアセスメント」は、「リスク特定」→「リスク分析」→「リスク評価」の流れで実施します。当該作業の結果、以下の成果物が作成されることを想定します。

リスク特定における医療情報システム等の全体構成図

リスク特定における情報流

リスク特定・リスク分析・リスク評価の結果

 

リスクアセスメントにおける留意点

「リスク特定」における情報流の洗い出しにおいて、特にクラウドサービスで医療情報システム等を提供する際には、ICTサプライチェーン全体を含めて情報流を洗い出します。

リスク特定

対象事業者は、自らが提供する医療情報システム等の全体構成図を作成することで、医療情報システム等の全体構成を明らかにすること。

その上で、医療情報システム等の全体構成図をもとに、医療情報システム等のライフサイクルにおけるフェーズ毎の情報流を特定すること。本ガイドラインでは、医療情報システム等の提供に関わる情報の流れを「情報流」と定義する。

情報流にはネットワークを介した電子的な情報の流れだけでなく、記憶媒体の搬送により発生する情報の移動も含まれる。

全体構成図をもとに情報の作成及び参照、更新、保存、移送、廃棄等の処理を洗い出すと、構成要素間で情報がどのように流れるのかが明らかになるため、結果として情報流が特定される。

このとき、情報流を洗い出す範囲には、ICTサプライチェーン全体を含めること。特に、医療情報システム等をクラウドサービスとして提供するケースにおいては、ASP・SaaSとPaaS、IaaSをそれぞれ別の事業者が提供する等、ICTサプライチェーンが複雑となる傾向にあるため、抜け漏れがないよう十分留意すること。

リスク特定の実施手順

「リスク特定」は以下の手順で実施します。

【手順1】どこにどのような機器や記憶媒体があるかを明らかにする

【手順2】機器同士の接続や記憶媒体の搬送を明らかにする

【手順3】人が扱う機器や記憶媒体における情報の処理を明らかにする

例)

    • 患者が、待合室の、問診用タブレットで、患者情報等を、閲覧・操作する
    • 医師/看護師/臨床検査技師等が、電子カルテシステムと連携する他社が提供するシステムで、オーダ/検査結果等を、処理する

【手順4】人が直接扱わない機器における情報の処理を明らかにする

例)

    • 受託事業者DCの、医事会計サーバで、レセプト/処方箋/患者情報等が、作成・保存される

リスク対応の実施手順

「リスク対応」は、「リスク対応の選択肢の決定」→「リスク対応策の設計・評価」の流れで実施します。当該作業の結果、以下の成果物が作成されることが想定されます。

  • リスク対応一覧表

リスク対応時の留意事項

「リスク対応策の設計・評価」にあたっては、医療機関等が医療情報安全管理ガイドラインを遵守できるよう、医療情報システム等の特有の考慮事項も踏まえたリスク対応策の設計が必要です。

リスク対応策の設計・評価

リスク対応策の設計

対象事業者は、リスク対応策について、次に示す基本的な考え方と医療情報システム等特有の考慮事項を踏まえて設計すること。

基本的な考え方

対象事業者は、対策の設計にあたっては、医療機関等が医療情報安全管理ガイドラインを遵守できるような設計となっていることについて、3.1.2で述べた説明義務を有していることに留意しなければならない。

ここで、対策の設計や、設計した対策の妥当性を判断するにあたっては、高度な専門性が要求されるが、従前の情報処理事業者ガイドライン及びクラウド事業者ガイドラインの要求事項を医療情報安全管理ガイドライン(第5版)との対応関係を踏まえ対策項目として整理・統合した別紙2を用い、その全ての対策項目についての確認をすることは、対象事業者による対策の設計や妥当性の判断、説明義務への対応において必須である。

医療情報システム等特有の考慮事項

対象事業者は、対策の設計にあたっては上記で示す基本的な考え方に加え、以下に記載する医療情報システム等特有の考慮事項を参照し、必要な対策を設計すること。

リスク対応策の設計時の参考資料

対象事業者は、リスク対応策の設計や、設計した対策の妥当性を判断するにあたって、別紙2に記載のある全ての対策項目について、対応しているかどうかを確認をする必要があります。

別紙2に記載されている対策を採用していない(しない)場合は、合理的な理由(例:代替措置がある、スコープの対象外である等)を説明できるようにしておく必要があります。

リスクコミュニケーションの実施内容

リスクコミュニケーションでは、「医療機関等とのリスクコミュニケーションの実施」及び「文書・規程の作成」を実施します。

リスクコミュニケーションは、リスクアセスメントやリスク対応の内容を医療機関等に情報提供するといった限定的なものではなく、リスクマネジメントのあらゆるプロセスにおいて、その実効性を高めるために実施される活動である点に留意する必要があります。

リスクコミュニケーション

医療機関等とのリスクコミュニケーションの実施

対象事業者は、自らが提供する医療情報システム等の安全管理に係る説明義務を果たし、医療機関との共通理解を形成するために、医療機関等に対して第4章で情報提供すべき内容として示した事項を含む必要な情報を文書化して提供すること。

具体的には、5.1.5で作成した「リスク対応一覧」や後述の運用管理規定に定められた事項に係る情報提供を通して、医療機関等との役割分担、対象事業者として受容したリスクの内容等について、医療機関等と合意形成を図ること。なお、その際には、対象事業者は、医療機関等が容易に理解可能となるよう内容を工夫する等、適切に共通理解を得ること 。

なお、医療機関等と合意に至らなかった場合は、対象事業者はリスク対応事項の見直し結果に基づく再協議、残存するリスクの共通理解に向けた再協議等、医療機関等と再度合意形成を図ること。

文書・規定の作成

対象事業者は 、 医療機関等と合意したリスクへの対応を踏まえ 、 リスクに対する対応計画を策定すること 。

制度上の要求事項

リスクマネジメントに基づく対応とは別に、制度上の要求事項として、法令等の制度上の要求事項への遵守の観点から、一律の対応を求められる要求事項があります。

  • 医療分野の制度が求める安全管理の要求事項
  • 電子保存の要求事項
  • 法令で定められた記名・押印を電子署名に代える場合の要求事項
  • 取扱いに注意を要する文書等の要求事項
  • 外部保存の要求事項

ガイドライン関連文書

情報源

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表(令和2年8月21日)

Facebook

https://www.facebook.com/eeitarooo

-規制

© 2024 RWE