医療情報システムのセキュリティはどう変わる?ー安全管理に関するガイドラインを読み解く
「医療情報システムの安全管理に関するガイドライン」とは?最新の改定ポイントや対応メリットについて
厚生労働省からこのほど、「医療情報システムの安全管理に関するガイドライン」の最新版が発表されました。この記事では医療関係者の方々を対象に、同ガイドラインの概要や、最新版の改定ポイントなどについて詳しく解説していきます。
「医療情報システムの安全管理に関するガイドライン」とは
「医療情報システムの安全管理に関するガイドライン」とは、医療情報の安全管理について必要な対策などを規定した「(通称)3省4ガイドライン」を構成するガイドラインの一つです。2005年3月、厚生労働省により第1版が発行され、さまざまな改定が加えられた後、今年1月に最新版となる「医療情報システムの安全管理に関するガイドライン 第 5.1 版」が発表されました。
厚労省は本ガイドラインにて、病院や診療所、薬局、介護事業者、医療情報連携ネットワークを展開する事業者などを対象とし、医療情報を扱う際の責任のあり方や、情報システムの安全管理や運用管理、電子的な診療記録を外部保存するに当たっての基準などを規定。そして、これらに対する基本的な考え方や、最低限実施すべき対策、推奨される対策などについて述べています。
また厚労省は、医療機関などのレセプト作成用コンピューター(レセコン)、電子カルテ、オーダリングシステムといった医療事務や診療を支援するシステム、患者の情報を保有するコンピューター、患者の情報を遠隔で閲覧・取得するコンピューター・携帯端末などを医療情報システムとして定義しています。
「3省4ガイドライン」について
3省4ガイドラインは、厚労省の上記ガイドラインを含め、経済産業省による「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」、総務省による「ASP・SaaS における情報セキュリティ対策ガイドライン」、「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」、この4つで構成されています。
これらガイドラインの対象は、主に病院や診療所、薬局、介護事業者。また、医療情報を取り扱うクラウドサービス事業者なども対象に含まれます。なお、3省4ガイドラインは法律とは異なるため、医療関係者らがこれらを遵守していなかったとしても、法律違反になることはありません。
ただし、改正個人情報保護法では、医療情報(「病歴」や「医師等により行われた健康診断等の結果」、「健康診断等の結果に基づき医師等により行われた指導・診療・調剤」)は「要配慮個人情報」に該当するため、対象者はこれらに関して今まで以上に厳しい安全管理を行う必要があります。
第5.1版の主な改定ポイント
医療機関を対象とするサイバー攻撃が多様化・巧妙化していることなどから、厚労省はガイドライン 第5版にさまざまな改定を加えました。ここでは、主な改定分野である「クラウドサービスへの対応」「認証・パスワードへの対応」「サイバー攻撃などによる対応」「外部保存受託事業者の選定基準」の4分野について、それぞれポイントを解説していきます。
クラウドサービスへの対応
この項目では、(医療情報の保管・管理を委託する)医療機関と、クラウドサービスを手掛ける事業者との間で、“責任関係を確認する”といった指針などが設けられました。
通院歴の情報流出といった不測の事態が発生した際、たとえ原因が外部の事業者にあったとしても、医療機関は患者に対して説明責任や善後策を講じる責任を果たさなければなりません。これは医療機関などの管理者が情報保護に関するさまざまな責任(表1)を負っているからです。
こうしたケースで医療機関は、事業者と連携しながら責任を果たしていく必要があるため、「(契約において)委託する事業者の義務を明記すべき」との考えが新たに打ち出されました。
(第5.1版から引用)
医療機関などの管理者が負う情報保護責任 通常運用における責任
(通常の運用時における医療情報保護の体制を構築し管理する責任)1.説明責任
(医療情報システムの機能や運用方法の取り扱いに関する基準を満たしていることを患者等に説明できるようにする責任)2.管理責任
(医療情報システムの運用管理を行う責任)3.定期的に見直し必要に応じて改善を行う責任
(医療情報保護の仕組みの改善を常にこころがけ、現行の運用管理全般の再評価・再検討を定期的に行う責任)事後責任 1.説明責任
(個々の患者や行政機関、社会に対する説明責任)2.善後策を講ずる責任
(医療情報について何らかの不都合な事態が生じた場合、善後策を講ずる責任)
認証・パスワードへの対応
多要素認証の仕組みを導入し、医療情報システムの安全性を一層担保することが、最新のガイドラインに明記されました。具体的には、2027年度時点で稼働している医療情報システムを新規導入、または更新する際、二要素認証を導入したり、これに相当する対応を行うべきというものです。
多要素認証とは、認証の三要素(知識情報・所持情報・生体情報)の中から2つ以上の要素を組み合わせ、システムやサービス、デバイスなどの利用権限を確認する認証方法。現在、医療機関だけではなく、多くの企業や機関から注目されています。
推測しやすいIDやパスワードのみで認証を管理すれば、組織の内部・外部から情報システムに侵入される可能性が高くなってしまいます。しかし、IDやパスワードに加え、物理的なカードや指紋などを認証方法に加えると、情報の安全性がぐんと担保されることになるのです。
サイバー攻撃や災害への対応
不測の事態を想定したセキュリティ体制構築の必要性が、ガイドラインに追記されました。ここでいう不測の事態には、コンピューターウイルスの感染によるサイバー攻撃や、これらに伴う医療情報システムの障害などが挙げられます。
特に、災害などの発生時に医療需要が一層高まるとみられる医療施設については、情報セキュリティ責任者(CISOなど)の設置、また緊急対応体制(CSIRT)の整備が不測の事態への対応策として掲げられました。
なお、CISO(Chief Information Security Officer)は日本語で“最高情報セキュリティ責任者”と呼ばれ、情報セキュリティを統括する責任者を意味します。一方、CSIRT(Computer Security Incident Response Team)とは、情報セキュリティに関するインシデントについて、報告(所管官庁への連絡など)を行ったり、調査したりする対応活動チームのことです。
また、災害など不測の事態に対応する上で欠かせない考えが、BCP(事業継続計画)やDR(ディザスターリカバリー)です。これらはガイドラインでも多くの留意事項などが述べられているため、医療機関の運営者らは必ず目を通しておきましょう。
外部保存受託事業者の選択基準
医療機関を対象とするサイバー攻撃が多様化・巧妙化していることなどから、厚労省はガイドライン 第5版にさまざまな改定を加えました。ここでは、主な改定分野である「クラウドサービスへの対応」「認証・パスワードへの対応」「サイバー攻撃などによる対応」「外部保存受託事業者の選定基準」の4分野について、それぞれポイントを解説していきます。
ガイドラインへの対応などで得られるメリットについて
最新のガイドラインでは、情報セキュリティに関連するさまざまな事項が明確化されました。現在、サイバー攻撃などの方法が巧妙になっており、業界を問わずセキュリティリスクが次第に高まっています。また、これらへの対処の方法も複雑化しており、緊急時に企業や医療機関、団体が独自に解決することは極めて困難になっています。
特に、医療情報システムの障害や医療情報の流出は人命にも関わるため、医療機関にとって死活問題。このため、ガイドラインの遵守はリスク回避などさまざまなメリットをもたらすのです。
また、最新のクラウドサービスを活用した医療情報システムの運用・管理は、スムーズに医療情報を共有したりシステムを更新したりする上で、とても有効的です。
ガイドラインへの対応はシーイーシーにご相談を
「医療情報システムの安全管理に関するガイドライン」に関する理解は深まりましたでしょうか。
株式会社シーイーシーでは、医療機関などがガイドラインに対応するための各種サービスを展開。ぜひ、これを機会にご相談いただければ幸いです。