2023.08.04(2023.08.30更新)

情報セキュリティ概要・トレンド

医療情報システムの安全管理に関するガイドラインが第6.0版に改定!要点を解説

「医療情報システムの安全管理に関するガイドラインってなに?」
「改定したって聞いたけれど、具体的にどこが変わったのか知りたい」

医療情報システムの安全管理に関するガイドラインとは、医療情報を適切に管理するために国が定めた決まりのことです。仕事関連で耳にしたことのある方でも、上記のように疑問を感じる人もいるのではないでしょうか。

本記事では、概要や改定のポイントについて解説します。医療情報システムの安全管理に関するガイドラインについて知りたい方は、ぜひ最後までお読みください。

MDM導入のご検討・
ご相談はこちら

医療情報システムの安全管理に関するガイドラインとは

医療情報システムの安全管理に関するガイドラインとは、患者の電⼦カルテなどの医療情報を適切に管理するために、国が定めたものです。
患者の電⼦カルテなどは、個⼈情報の中でもとくに厳重な保護が必要なため、状況に応じて都度改定されています。

ガイドラインの対象範囲は、主に以下のとおりです。

  • 医療情報(電子カルテ・レントゲン・CT画像など)の外部保存サービス
  • クラウド型電子カルテサービス
  • 医療機関の医療情報システムと接続されたオンライン診療システム

またガイドラインは、以下の4編から構成されています。

  1. 概説編
  2. 経営管理編
  3. 企画管理編
  4. システム運用編

それぞれの概要について解説します。
参考:厚生労働省|医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)

概説編

概説編は、各編を理解する上での前提の考え方や、概要などを示します。主に記載されている内容は、以下のとおりです。

  • ガイドラインの目的
  • ガイドラインの対象
  • ガイドラインの構成・読み方
  • 各編を読む際の前提になる考え方

経営管理編

経営管理編は、経営層として守らなければならない項目や、判断すべきことを示しています。また企画管理やシステム運営の担当部署に対する指示、管理すべきことについての考え方も記載されています。

具体的な記載内容は、以下のとおりです。

  • 医療情報システムの安全管理に関する責任・責務
  • リスク評価を踏まえた管理
  • 医療情報システムの安全管理全般
  • 医療情報システム・サービス事業者との協働

企画管理編

企画管理編は、医療機関の組織体制や情報セキュリティ対策に関わる規程の整備など、安全管理の実務担当者として守らなければならない項目を示します。
また医療情報システムの実装・運用に関してシステム運用担当者に対する指示や、管理を行う際に守るべきことと考え方にいても記載されています。

具体的な記載内容は、以下のとおりです。

  • 医療情報システムの安全管理全般
  • リスク分析・評価とリスクマネジメント
  • 情報管理
  • 医療情報システムで使用する情報機器の管理
  • 非常時の対応と備えた通常時の対策
  • サイバーセキュリティ対策
  • 医療情報システムの利用者の認証・権限管理
  • 電子署名

システム運用編

システム運用編は、医療情報システムを構成する情報機器やソフトウェア、インフラの設計・実装・運用などの担当者として、対応すべきことと考え方を示します。
なお実施は、経営層や企画管理者の指示に基づいて行われます。

具体的な記載内容は、以下のとおりです。

  • 医療情報システムの安全管理における技術的な対策
  • システム設計・運用に必要な規程類・文書体系
  • 技術的な対応の責任分界
  • 安全管理対策
  • 非常時の対応と備えた通常時の対策
  • サイバーセキュリティ対策
  • 医療情報システムの利用者や連携するアプリケーションの認証・権限管理
  • 電子署名の技術的対応

令和5年5月に第6.0版へ改定!

医療情報システムの安全管理に関するガイドラインは、2023年5月に第6.0版に改定されました。
保険医療機関や薬局では、2023年4月からオンライン資格確認の導入が、原則義務化されています。今後はより多くの医療機関で、ガイドラインに記載されているネットワーク関連のセキュリティ対策が求められます。
したがって医療機関にガイドラインの内容の理解してもらい、医療情報システムの安全管理の実効性を高めるために、改定が行われました。
また近年、医療情報システムに対するサイバー攻撃が多様化しており、診療などに大きな影響が起こっています。そのため今回の改定では、医療機関に求められる安全管理措置を中心に、内容の見直しも行われました。

医療情報システムの安全管理に関するガイドライン改定のポイント

第6.0版の改定ポイントは、以下の4つです。

  • 外部委託・外部サービスの利用に関する整理
  • ネットワーク境界防御型思考/ゼロトラストネットワーク型思考
  • 災害・サイバー攻撃・システム障害等の非常時に対する対応や対策
  • 本人確認を要する場面での運用(eKYC)の活用の検討

1つずつ見ていきましょう。

引用元:厚生労働省|医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)

外部委託・外部サービスの利用に関する整理

クラウドサービスの特徴を踏まえたリスクを把握し、対策の考え方を整理します。さらに医療機関のシステム類型別に、責任分界の考え方も理解します。
責任分界とは、サーバーを中心としたインフラ管理に複数の利害関係者がいる場合、誰が運用上の責任を持つのかの境界を示す概念のことです。

ネットワーク境界防御型思考/ゼロトラストネットワーク型思考

ネットワークの安全性の考え方や認証のあり方を踏まえて、ゼロトラスト思考に合った対策方法を示します。ゼロトラスト思考とは「何も信頼しない」を前提に対策を行う、セキュリティにおける考え方のことです。
またサイバー攻撃など、非常時に対する具体的な対応についても整理できるようにしています。

災害・サイバー攻撃・システム障害等の非常時に対する対応や対策

非常時にはサイバー攻撃やシステム障害など、さまざまなものがあります。
非常時の対応は種類によって異なるため、万が一の場合に備えてバックアップの考え方の違いについて整理できるよう、改定を行いました。

本人確認を要する場面での運用(eKYC)の活用の検討

患者の医療カルテなどの個人情報は、厳重に管理しなければなりません。そのためには身元確認ができる認証システムなどを使用する必要があります。
今回の改定では、マイナンバーカードなどを使用した安全性を高める方法について記載しています。

医療機関におけるサイバーセキュリティ対策

近年、医療情報システムに対するサイバー攻撃が多様化かつ巧妙化しており、診療などに大きな影響を及ぼしています。
患者情報などをサイバー攻撃から守るためには、以下の対策を優先的に行いましょう。

  • 体制構築
  • 医療情報システムの管理・運用
  • インシデント体制に備えた対応

医療情報システムの安全管理はなぜ必要なのか

ここまで医療情報システムの安全管理について解説してきましたが、そもそもなぜ対策が必要なのでしょうか。
安全管理の徹底が呼びかけられている理由は、過去に医療機関がランサムウェア(ウイルス)によるサイバー攻撃の被害に遭ったことがあるからです。
サイバー攻撃を受けた医療機関は、カルテをはじめとするデータが一切閲覧できなくなり、診療停止に追い込まれました。
医療機関が機能しなければ、救える命が救えなくなる危険があります。そのため全ての医療機関で、同レベルのサイバー攻撃の対策をする必要があるのです。

まとめ

医療情報システムの安全管理に関するガイドラインは、時代にあわせて適切な対策ができるように、定期的に改定されています。サイバー攻撃から医療期間を守ることは、患者の命を救うことにもつながります。そのためにはガイドラインを理解して、対策を行うことが大切です。
医療現場のスマートフォンやタブレットなどの管理にはMDM(モバイルデバイス管理)の導入がおすすめです。
端末の設定やアプリ配信など遠隔で一元管理し、業務に不要な利用を制限(機能やネットワークなど)でき、業務効率化に貢献します。また万が一の盗難や紛失の際には遠隔からロックやデータ削除が行えるためセキュリティ対策としても利用されています。
これからソフトウェアの導入を検討している方は、ぜひお気軽にお問い合わせください。

MDM導入のご検討・
ご相談はこちら