家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

医療系システムのセキュリティ基準について(3省2ガイドラインについて)

概要

この記事は、これまで「医療情報システムの安全管理に関するガイドライン」についてまとめていましたが、3省2ガイドラインといわれるものであるため、ガイドラインの位置づけ等を追記しました。

ガイドラインの位置づけ

www.nri-secure.co.jp



   

医療情報システムの安全管理に関するガイドライン

発行者:厚生労働省

発行年月日:2022年3月(第 5.2 版)

※追記

5.2版の改定ポイントとして、6.10章でランサムウェア対策について明記されるようになりました。

 

(ガイドラインを読んだ)背景

IoMT(Internet of Medical Things)という言葉の登場や、本ガイドラインでも触れられていますが、e-Japan戦略(ひいてはe-文書法)等の情勢もあり医療業界ではITの活用が促進しています。

 

IoMTについて

iomt.or.jp

 

e-Japan戦略

HTTP://WWW.KANTEI.GO.JP/JP/IT/NETWORK/DAI1/0122SUMMARY_J.HTML<BR'>http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html">http://www.kantei.go.jp/jp/it/network/dai1/0122summary_j.html<br />以下は抜粋です。

「我が国は、すべての国民が情報通信技術(IT)を積極的に活用し、その恩恵を最大限に享受できる知識創発型社会の実現に向け、早急に革命的かつ現実的な対応を行わなければならない。」 

 

e-文書法

JA.WIKIPEDIA.ORG<BR'>https://ja.wikipedia.org/wiki/E-%E6%96%87%E6%9B%B8%E6%B3%95">ja.wikipedia.org<br />以下は抜粋です。

「e-文書法によって、財務・税務関係の帳票類や取締役会議事録など、商法(及びその関連法令)や税法で保管が義務づけられている文書について、紙文書だけでなく電子化された文書ファイルでの保存が認められるようになった。」

 

また、医療業界に対するサイバー攻撃の脅威についての記事をよく見ます。

 

医療業界に対するサイバー攻撃について触れた記事

enterprisezine.jp

サイバーセキュリティ上の脅威に晒されている医療業界 | TechCrunch Japan

jp.techcrunch.com

 

実際の事例

佐世保共済病院の事例

tech.nikkeibp.co.jp

 

宇陀市立病院の事例

www.security-next.com

上記のようなニュース記事を見たので医療業界に対して公開されているガイドラインを読みました。

 

概要

本ガイドラインは病院や、薬局、訪問看護ステーション等の医療機関に対して、医療情報システムの管理やe-文書法への適切な対応を行うための指針を解説したものです。

 

ガイドラインの目次

  1. はじめに
  2. 本指針の読み方
  3. 本ガイドラインの対象システム及び対象情報
  4. 電子的な医療情報を扱う際の責任のあり方
  5. 情報の相互運用性と標準化について
  6. 情報システムの基本的な安全管理
  7. 電子保存の要求事項について
  8. 診療録及び診療諸記録を外部に保存する際の基準
  9. 診療録等をスキャナ等により電子化して保存する場合について
  10. 運用管理について

 

「2.本指針の読み方」に記載がありますが、各章は以下のような内容がまとめられています。

 

以下、抜粋です。

【1 章~6 章】

個人情報を含むデータを扱う全ての医療機関等で参照されるべき内容を含んでいる。

【7 章】

保存義務のある診療録等を電子的に保存する場合の指針を含んでいる。

【8 章】

保存義務のある診療録等を医療機関等の外部に保存する場合の指針を含んでいる。

【9 章】

e-文書法に基づいてスキャナ等により電子化して保存する場合の指針を含んでいる。

【10 章】

運用管理規程に関する事項について記載されている。

 

また、本ガイドラインでは記載内容について、以下の様に分類しています。

 

A. 制度上の要求事項:法律、通知、他の指針等を踏まえた要求事項を記載している。

B. 考え方:要求事項の解説及び原則的な対策について記載している。

C. 最低限のガイドライン:A の要求事項を満たすために必ず実施しなければならない事項を記載している。

D. 推奨されるガイドライン:実施しなくても要求事項を満たすことは可能であるが、説明責任の観点から実施した方が理解を得やすい対策を記載している。

 
個人的な所感

ガイドラインの4章では、医療情報の取り扱いに関する考え方が記載されています。

医療に関わる全ての行為は医療法等で医療機関等の管理者の責任で行うことが求められており、医療情報の取扱いも同様の扱いになります。そのため、個人情報保護に関する法律意外にも医療行為に関する法令により定められている要件に対応するための指針が示されていました。また、医療情報の取り扱いに関して、情報の取り扱い体制を患者さんに説明する「説明責任」について定義されていることが印象に残りました。

 

以下、抜粋です。

  • システムの仕様や運用方法を明確に文書化すること
  • 仕様や運用方法が当初の方針のとおりに機能しているかどうかを定期的に監査すること
  • 監査結果をあいまいさのない形で文書化すること
  • 監査の結果問題があった場合は、真摯に対応すること
  • 対応の記録を文書化し、第三者が検証可能な状況にすること

 

「医療情報を取り扱う情報システム・サービスの提供ベンダーにおける安全管理ガイドライン」

発行者:経済産業省・厚生労働省

発行年月日:2020年8月

 

ガイドラインの構成

  1. 本ガイドラインの基本方針
  2. 本ガイドラインの対象
  3. 医療情報の安全管理に関する義務・責任
    安全管理義務や対象事業者の説明義務について記載
  4. 対象事業者と医療機関等の合意形成
    医療機関との役割分担の明確や第三者認証の取得要件について記載
  5. 安全管理のためのリスクマネジメントプロセス
    医療システム特有のリスク対策プロセスについて記載
  6. 制度上の要求事項

 

参考にさせていただいたサイト

www.youtube.com