医療情報システムの安全管理に関するガイドライン第6.0版の概要 ブックマークが追加されました
最新動向/市場予測
医療情報システムの安全管理に関するガイドライン第6.0版の概要
ガイドライン改定で医療機関の経営層・企画管理者に求められること
令和5年5月に、医療情報システムの安全管理に関するガイドライン第6.0版が厚生労働省より公開されました。主な変更点について整理しています。
はじめに ~医療情報システムの安全管理に関するガイドライン第6.0版の概要~
令和5年5月に医療情報システムの安全管理に関するガイドライン第6.0版が公開されています。
昨今の医療機関へのサイバー攻撃の事例が増加及び多様化している状況を踏まえた安全管理措置について、クラウドサービスにおけるリスク対策や責任分界の考え方の整理、オンライン資格確認の導入の原則義務化に伴い必要となるネットワーク機器等の安全管理措置等、時流に沿った改定内容となっています。
構成自体も変更され、概説編・経営管理編・企画管理編・システム運用編の4編に分けられ、それぞれの担当者の役割について示された構成となっています。各医療機関がこのガイドラインに則った医療情報システムの運用を行い、適切に医療情報システムの安全管理を行うためには、経営層を含む各部門の積極的な関与が不可欠であり、組織的に医療情報システムを管理することが求められています。
本稿では、今版からガイドラインの内容への十分な理解が必要となる経営層や企画管理者の役割についてピックアップして解説します。
経営管理編(経営層)
経営管理の観点で求められる事項として、下記5項目での目次構成となっています。
- 安全管理に関する責任・責務
- リスク評価を踏まえた管理
- 安全管理全般(統制、設計、管理等)
- 安全管理に必要な対策全般
- 医療情報システム・サービス事業者との協働
今回は、「2.リスク評価を踏まえた管理」について解説します。
※クリックまたはタップして拡大表示できます
遵守事項2.2.1①として「取り扱う医療情報に応じたリスク分析・評価を踏まえて対応方針を策定し、リスク管理方針(リスクの回避・低減・移転・受容)を決定すること」とあります。医療機関以外でも一般的なリスクマネジメントにおける4つの手法ですが、医療機関の特性を考慮すると、主に「リスクの低減」を選択することが考えられます。一方で、医療情報システムは機微性の高い個人情報を取り扱っており、効率的かつ正確に医療を提供するために有用であることから、リスク低減をするためには高水準な安全管理対策が求められます。
経営層として、経営資源をどの程度投入できるのか、情報セキュリティの3要素(機密性・完全性・可用性)のバランスを取り、体制やルールの整備、管理について企画管理者へ指示し、具体的なシステム面からの最適なリスク管理措置の検討、実装、運用をシステム運用担当者に運用させることが必要となります。
また、経営管理編の前書きとして「安全管理対策の実施を「コスト」と捉えるのではなく、質の高い医療の提供に不可欠な「投資」と捉え、その実施に必要となる資源(予算・人材等)の確保に努めることも重要である。」と記載されています。医療機関の運営における全体最適を図るため、俯瞰して経営や人事管理の視点も入れ、リスク評価及びリスク管理方針を策定する役割を担うことが望ましいとされています。
企画管理編(企画管理者)
企画管理の観点で求められる事項として、下記16項目での目次構成となっています。
- 管理体系
- 責任分界
- 安全管理のための体制と責任・権限
- 医療情報システムの安全管理において必要な規程・文書類の整理
- 安全管理におけるエビデンス
- リスクマネジメント(リスク管理)
- 安全管理のための人的管理(職員管理、事業者管理、教育・訓練、事業者選定・契約)
- 情報管理(管理、持ち出し、破棄等)
- 医療情報システムに用いる情報機器等の資産管理
- 運用に対する点検・監査
- 非常時(災害・サイバー攻撃、システム障害)対策とBCP策定
- サイバーセキュリティ
- 医療情報システムの利用者に関する認証及び権限
- 法令で定められた記名・押印のための電子署名
- 技術的な安全管理策の管理
- 紙媒体で作成した医療情報の電子化
企画管理者は、組織体制や情報セキュリティ対策に係る規程の整備をはじめ安全管理の実務に当たって、具体的に遵守が必要な事項、医療情報システムの実装・運用に関する適切な対応をシステム運用担当者に指示、管理する、実質的な医療情報システムの司令塔と位置付けられています。
※クリックまたはタップして拡大表示できます
各ステークホルダーに対しての関わり方として、下記事項が求められています。
経営層:統制支援
安全管理について医療機関としての最終的な管理責任を負う経営層の判断をサポートし、円滑に安全管理を行うことができるようにする。
職員:内部規程整備
安全管理の運用を行うのに必要な規程を整備し、規程を含めて細則を定めたり、通常時における対応の手順や内容をルールとして定める。
職員:教育・訓練
職員に対する教育・訓練を定期的に行う。
患者等:説明責任対応
医療情報の取扱を医療機関等以外に委ねる場合には、患者の理解を得た上で行うことが必要である。外部保存の委託について、その安全性やリスクを含めて院内掲示板等を通じて説明し、理解を得ることが求められる。
委託業者:事業者選定・実施状況管理
システム関連事業者との間で責任分界を、契約書やSLAなどの形で拘束力のある合意文書として明らかにした上で、具体的に責任分界を踏まえた運用を行う。
システム運用担当者:技術的対応の指示・状況管理
医療情報システムの実装・運用に関する適切な対応をシステム運用担当者に指示、管理する。システム運用の実施状況について、定期的に担当者から報告を受け、その状況を把握する。
おわりに
本稿では割愛しておりますが、システム運用管理編にはシステム運用担当者の役割について示されています。概説編・経営管理編・企画管理編にも今回取り上げた内容以外にもそれぞれの担当者の役割、遵守事項について多くの事項が記載されており、4編合計すると300項目以上になります。医療機関では各項目への十分な理解、及び対応を進めていく必要があります。
なお、小規模医療機関等では、ガイドライン4編それぞれの担当者や担当部門が重複している状況が考えられ、特定の職員のみに依存した管理となっている事例も多くあり、属人的な管理に関するリスク対策が求められます。小規模医療機関等での対応については、特集として「小規模医療機関等向けガイダンス」が公表されています。
また、サイバーセキュリティ対策においては、令和5年6月に医療機関と事業者向けのチェックリストが公開されています。チェックリストの内容は、項目ごとに令和5年度中と令和6年度中に対応できるように取り組むよう記載されており、実効性を高めることが求められていることがわかります。まずは、1回目のチェックを行い現状把握した上、対応への目標日を定めて環境整備に取り組むことが必要です。
働き方改革、人材不足、医療ニーズの増大等の背景もあり、医療機関では今後より一層医療情報システムへのタスクシフトの推進は必要不可欠となります。
医療情報システムを業務運営をするための資産として考えると、医療機関の規模や体制、特性を踏まえ、ガイドラインの遵守を基本に、組織立って管理することが求められています。
執筆
有限責任監査法人トーマツ
リスクアドバイザリー事業本部 ヘルスケア
※上記の部署・内容は、掲載日時点のものとなります。2023/07
関連サービス
ライフサイエンス・ヘルスケアに関する最新情報、解説記事、ナレッジ、サービス紹介は以下からお進みください。
ライフサイエンス・ヘルスケア:トップページ
■ ライフサイエンス
■ ヘルスケア
ヘルスケアメールマガジン
ヘルスケア関連のトピックに関するコラムや最新事例の報告、各種調査結果など、コンサルタントの視点を通した生の情報をお届けします。医療機関や自治体の健康福祉医療政策に関わる職員様、ヘルスケア関連事業に関心のある企業の皆様の課題解決に是非ご活用ください。(原則、毎月発行)
>記事一覧
メールマガジン配信、配信メールマガジンの変更をご希望の方は、下記よりお申し込みください。
>配信のお申し込み、配信メールマガジンの変更
お申し込みの際はメールマガジン利用規約、プライバシーポリシーをご一読ください。
