近年、医療機関ではオーダリングや電子カルテなど、多くのシステムやサービスが利用されるようになりました。これらの利用にあたって、特に気をつけなければならないのは「情報管理」です。特に医療機関は、多くの医療情報を保管しているため、細心の注意が必要です。
そこで、重要となる基準が「3省2ガイドライン」です。本記事では、3省2ガイドラインの概要やその必要性、そして従来との違いや特徴を紹介します。
3省2ガイドライン説明資料
医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインである「3省2ガイドライン」の詳細を説明します。
3省2ガイドラインとは?
医療情報の電子化にともない、その情報の管理方法などについて厚生労働省・経済産業省・総務省が2019年に2つのガイドラインを策定しました。3省2ガイドラインとは、これらの総称のことです。
厚生労働省の「医療情報システムの安全管理に関するガイドライン」においては、すべての医療機関を対象としています。また、経済産業省・総務省の「医療情報を取り扱う情報システム・サービス事業者における安全管理ガイドライン」においては、システムやサービスの提供者を対象としています。
3省2ガイドラインに則ったシステムやサービスの導入は、医療情報の安全な管理につながるでしょう。
3省2ガイドラインの必要性
3省2ガイドラインとは、医療情報の管理に関わる重要な基準です。
近年インターネットが普及したことにより、下記のようなシステムやサービスを利用する医療機関が増えました。
- 電子カルテ
- オーダリング
- レセプトコンピュータ
これらの普及によって、医療情報の電子化が進み、業務効率の向上につながりました。しかしこれによって、医療機関がサイバー攻撃の標的となることも多くなったのです。
実際に、IBM X-Force脅威インデックスの調査では、2019年に攻撃対象となった業界の上位10業界に医療業界が含まれています。さらに、上位10業界のなかでの攻撃対象の内訳では、2019年の3%に対し2020年は6.6%まで上昇しています。
これらサイバー攻撃の増加や多様化、巧妙化に対処して医療情報を守るには、3省2ガイドラインにしたがって対策を行うことが欠かせません。また、サイバー攻撃などを含めたリスクに対するマネージメントについても記載されています。
ガイドラインに従うことで、サイバー攻撃や不具合が発生した場合にも、適切に対処することができるでしょう。
そのほかにも、医療情報の管理に関する責任についてもまとめられています。クラウドサービスなどで外部に医療情報を保存する場合、情報漏えいなどの有事の際に、「その責任が誰にあるのか」が明確でなければ迅速な対処はできません。そのため、事前に責任の所在を明確化することが重要です。
3省2ガイドラインを基準とすることで、こうした責任明記の点も含め、さまざまなことがらの取り決めや確認を行えるようになります。
3省2ガイドライン説明資料
医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインである「3省2ガイドライン」の詳細を説明します。
従来のガイドラインとの違い
3省2ガイドラインとは2019年に策定されたものですが、それ以前は「3省3ガイドライン」と呼ばれるものが存在していました。
2つのもっとも大きな違いは、サービス提供者の基準です。
3省3ガイドラインでは、サービス提供者向けに「医療情報の外部保存を請け負う事業者」と「情報処理をクラウド上で行うサービスの提供者」の2つが設けられていました。
しかし、近年普及が進んでいるシステムは、クラウド上で処理・保存するサービスが主流であり、サービス提供者側は双方を確認する必要もあります。またそれぞれに細かな違いがあり、内容の確認はサービス提供者側にとっては大きな負担にもなります。
これを改善するために改正を行ったことで、この2つが統合されて3省2ガイドラインになりました。統合されたことで内容がさらに明確になり、よりシンプルでわかりやすくなりました。
3省2ガイドラインは、医療機関とサービス提供者それぞれが、その立場に沿って従う必要があります。しかし、それだけでは不十分です。正しく従うためには、双方がそれぞれを理解しておかなければいけません。
とはいえ、医療機関の担当者がかならずしもシステムに関する知識を持っているとは限りません。担当者があまり知識を持っていなかった場合は、サービス提供者が説明をする必要も生じます。その際も、3省2ガイドラインは内容がよりシンプルになったことで、説明業務が実行しやすくなっています。
3省2ガイドラインの特徴
3省2ガイドラインとは何か、おおまかに理解できたかと思います。では、3省2ガイドラインにはどのような特徴があるのでしょう。それぞれの特徴について、詳しく解説します。
厚生労働省のガイドライン
厚生労働省が策定しているガイドラインでは、医療機関での医療情報の電子的な取り扱いについて、主に下記の内容が記載されています。
- システムを取り扱う際の責任のあり方
- システムの安全管理
- 電子保存の要求事項
責任のあり方では、システムの機能や運用方法の取り扱いについて、通常運用時や有事の際の責任について記載されています。患者をはじめ監督機関や行政機関、社会への説明や公表を行う説明責任や、システムの運用・管理責任が主な内容です。
安全管理では、情報セキュリティマネージメントの実践方法や物理的・技術的な対策について記載されています。システムを運用するうえで、安全に管理するためのセキュリティに関わる基準です。
電子保存の要求事項では、医療情報を電子保存する際の要求事項について記載されています。医療情報の真正性・見読性・保存性を確保するうえでの考え方などを確認することができます。
経済産業省のガイドライン
経済産業省が策定しているガイドラインでは、システムやサービスの提供者が順守すべきことについて、主に下記の内容が記載されています。
- 医療情報の安全管理に関する義務・責任
- 医療機関との合意形成
- リスクマネージメントプロセス
安全管理に関する義務・責任では、医療機関とサービス提供者それぞれが負う義務と責任について、法律に基づいて記載されています。また、システムのライフサイクルを構成する要素ごとの義務と責任についても記載されています。
医療機関との合意形成では、医療機関への情報提供や役割分担などの合意形成について記載されています。主に、医療機関へ情報提供すべき項目や運用管理を踏まえた役割分担の明確化、安全管理に関連する評価についてまとめられている項です。
最後にリスクマネージメントプロセスでは、システムやサービスを利用するうえで考えられるリスクに対して、適切に対応するためのリスクマネージメントについて、そのプロセスが記載されています。考えられるリスクの特定や分析、評価から、それぞれのリスクの対応方法についての検討などが主な内容です。
まとめ
3省2ガイドラインとは何かについて解説しました。3省2ガイドラインとは、医療情報に関わる多くの機関や事業者が従わなければならない基準です。従来のガイドラインからサービス提供者の項目が統合されたことで、よりシンプルでわかりやすくになりました。サイバー攻撃が増加し、その方法も多様化・巧妙化している近年、対策にはこのガイドラインに従うことが欠かせません。システム・サービスの導入や提供を考える際は、かならず3省2ガイドラインに従いましょう。
3省2ガイドライン説明資料
医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインである「3省2ガイドライン」の詳細を説明します。
