情報システムに関する厚生労働省のガイドライン改定 

医療情報システムの安全管理に関するガイドライン改定の経緯

現在、厚生労働省が所管する「医療情報システムの安全管理に関するガイドライン」（以下、ガイドラインと記載する）は第5.1版から第5.2版への改定作業が進められています。

ガイドラインは、医療情報のセキュリティ管理のための指針であり、各種制度の動向や情報システム技術の進展など世の中の情勢を踏まえ、平成17年3月の初版策定から約15年間で8回の改定が行われてきました。今回の改定においては、新型コロナウイルスによる新しい生活様式でのネットワーク利活用、それと呼応するかのように広がりを見せているサイバー攻撃の増加といった、社会情勢の急激な変化が改定対応に大きな影響を与えています。

医療機関へのサイバー攻撃については、昨年10月に徳島県の医療機関を襲ったランサムウェア（コンピュータウイルス）感染により、約8万5千人分の電子カルテの情報が閲覧不能となったニュースは記憶に新しく、多くの医療機関が自院のセキュリティ管理に対する危機感を感じたのではないでしょうか。

更に、昨今の国際紛争の発生以降、世界中でサイバー攻撃が増加していると言われており、日本でも大手製造業者が国内全工場の停止を余儀なくされるなど、国内外で重大な被害が広がっています。令和4年3月1日には、経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンターより連名で、国内の企業・団体に対してサイバーセキュリティ対策の強化について注意喚起がなされており、今後最も警戒すべき事項の一つと考えられるでしょう。

企業・団体等におけるランサムウェア被害の報告件数の推移

このように、セキュリティ対策への意識が高まる一方で、新型コロナウイルス感染症の拡大による医療資源の不足解消や医療従事者の働き方改革を進めるための仕組みとして、医療のDX （Digital Transformation）化の推進に期待がされています。そのような中で、令和4年3月4日に厚生労働省で開催された「第８回健康・医療・介護情報利活用検討会」において、ガイドラインの改定についての改定方針案及び今後のスケジュールについて報告がなされました。

本記事では、検討会で示されたガイドラインの改定内容や対応方針について、制度的な動向、技術的な動向、その他、規制改革実施計画等への対応との３つの区分に沿って、簡単にその概要を確認してみます。

医療情報システムの安全管理に関するガイドライン の改定

改定の指摘と対応箇所、対応方針

（ア）制度的な動向への対応

制度的な動向に対する対応方針

ここでは、改正個人情報保護法などの法律や、総務省・経済産業省の定めた「医療情報を取り扱う情報システム・サービスの提供 事業者における安全管理ガイドライン」など他省庁のガイドラインや規定の動向に沿った、ガイドラインへの対応方針が示されています。　

6.5章「技術的安全対策」において、外部のアプリケーションが院内のシステムと連携し、データ引き渡しなどを行う際の認証・認可を行う仕組みについて言及がされています。これは、第5.2版で追加された項目となっており、昨今、医療機関においてもクラウドサービスの利用等が増えている中で、セキュリティ上の対応を厳格に求められたものと考えられます。

6.9章では、「情報及び情報機器の持ち出し並びに外部利用について」述べられています。現ガイドラインである第5.1版で、個人の所有する端末の業務利用（以下「BYOD」（Bring Your Own Device）に対して、「原則行うべきではない」との記載がされていましたが、第5.2版ではBYODの利用について、安全に管理されている環境下での利用を求める表現に修正されている点に注意が必要です。

その他にも、6.12章では、電子文書の長期保存に必要となるタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修正が行われています。併せて、電子署名に用いる暗号アルゴリズムの参照規格についても、標準技術を用いて、長期間、電子署名の検証を継続する必要がある状況を勘案して、JIS から ISO に参照規格を変更する旨が示されています。

（イ）技術的な動向への対応

技術的な動向に対する対応方針

第5.2版では、情報システムの非専門家でも理解しやすい指針となるように、専門的な表現を少なくし、技術的な記載や具体例を別冊とするなど、全体を通してわかりやすいガイドラインとなるように工夫がされています。

このことは、医療情報システムは、情報システム部門だけが管理していれば十分といったものではなく、経営層や、医師・看護師等の現場職員など、病院全体で理解し、利用していかなければならない、ということを表しているものと言えるでしょう。

また、6.10章「災害、サイバー攻撃等の非常時の対応」では、冒頭にも述べた、ランサムウェアによる攻撃への対応として、バックアップのあり方についても記載がされています。具体的には、バックアップの媒体の種類、取得周期、世代管理の方法や、バックアップデータの保存媒体をシステムから物理的に切り離して保管すること等の検討・対策を講じることが強く求められています。更に、サイバー攻撃を受けた際の対応として、システムを復旧するための手順をあらかじめ検討し、BCPとして定めるとともに、対処手順が適切に機能することを訓練等により確認することの重要性についても言及されています。

(ウ)その他、規制改革実施計画等への対応

その他、規制改革実施計画等に対する対応方針

令和3年6月18日の臨時閣議で決定された、規制改革実施計画においても、デジタルガバメントの推進は課題となっており、オンライン診療やオンライン服薬の適正な活用や、コロナ危機において脆弱性があらわになった「書面・押印・対面」を原則とした制度・慣行・意識の抜本的な見直しが求められました。

ガイドライン6.11章では、医療情報を外部と交換する場合の安全管理について述べられていますが、今回の改定案から「外部とのネットワーク等を通じた個人情報を含む医療情報の変換に当たっての安全管理」との表現に修正がされており、医療情報システムと外部ネットワークとの接続を抑制するのではなく、外部ネットワークとの接続は当然あるものとして、外部ネットワークとの接続を制限・制御するIDS、IPS の導入検討や、脆弱性をチェックするためのセキュリティ診断の定期的実施など、セキュリティ対策の整備を進めることが求められています。

また、電子署名の活用促進に繋がる対応として、6.12章では、電子署名に求められる、本人確認と資格確認の保証・担保に関して、旧来より推奨されていた保健医療福祉分野の公開鍵基盤であるHPKI（Healthcare Public Key Infrastructure）だけではなく、一般的な電子署名サービスを活用したうえで、資格を保証・担保するための方法等について、言及されています。

ガイドライン改定スケジュールと今後の医療機関での対応

本稿で解説した項目以外にも、今回の改定ガイドラインでは、医療情報システムで扱っている情報のリストアップやリスク分析及び対策に当たって、医療情報システムベンダ及びサービス事業者から技術的対策等の情報を収集することの重要性が述べられています。そのための最低限のガイドラインとして、医療情報システムに関する全体構成図（ネットワーク構成図・システム構成図等）、及びシステム責任者一覧（設置事業者等含む）を作成し、常に最新の状態を維持することについて言及がされているなど、より踏み込んだ対応も求められています。

このような様々な改定内容を含んだ、ガイドライン第5.2版及び別冊の改定案に対して、令和4年3月2日から3月21日までの約3週間、パブリックコメントの募集がされており、その結果も踏まえた正式版は、令和4年3月末に正式に公表されることが予定されています。

なお、ガイドラインでは、医療機関における情報システムの運用管理規程に関して、組織的安全対策として管理責任や説明責任を果たすために極めて重要であり、必ず定めなければならないものとして記載されています。そのため、第5.2版の正式版の公表に伴い、各医療機関においては、運用管理規定の見直し検討が必要になるとお考え下さい。

デロイト トーマツ グループでは、各医療機関における運用管理規定の見直しのご支援や、医療システムの安全な運用管理に関する助言も実施しております。もし、最新の情報収集や懸念事項に対するご相談などがありましたら、デロイト トーマツ グループのコンサルタントまでお問い合わせをいただければ幸いです。