厚労省『医療情報システムの安全管理に関するガイドライン』第5版を公表

 

2017年5月30日、厚生労働省の医療情報ネットワーク基盤検討会は『医療情報システムの安全管理に関するガイドライン』の第5版を公表した。同日に施行された改正個人情報保護法が求める要件に対応したほか、それまでのガイドラインで対応しきれていなかった、地域包括ケアが求める多職種連携のシステムへの対応、IoT機器やモバイル機器の使用に関してのセキュリティ対策を書き加えるなど大幅な改正となった。

セキュリティ仕様の規定を最新技術にあわせ更新
ガイドラインの対象文書を拡大、改正個人情報保護法対応なども

『医療情報システムの安全管理に関するガイドライン』は、電子カルテなどの医療情報を取り扱うシステムを開発運用する業者、病院の医療情報担当者らが遵守すべき仕様を定めたもので、2005年3月の第1版の公表から技術の進展にあわせ数年毎の改定が行なわれてきた。今回の改定は、同日に完全施行された改正個人情報保護法に対応する目的のほか、地域医療連携、在宅医療、地域包括ケアの普及にともなう事情の変化に対応した大幅な改定となっている。主たる改正点は以下。

 

ガイドラインの対象の拡大と再規定

病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者を対象とした。それに伴い、介護事業者が保存する記録のうち、e-文書法の対象範囲の文書14つについて、新たに対象文書とした。
 

改正個人情報保護法への対応

「4章 電子的な医療情報を扱う際の責任のあり方」において、改正個人情報保護法の遵守の観点から、個人情報保護委員会が定めた「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」等を遵守し、適切な措置を講じられたいと追記した。
 

いまの事情に合わせたセキュリティ仕様の提示

「6章 情報システムの基本的な安全管理」(セキュリティ対策)について、<認証強度の考え方>の中で、できるだけ早期に 2要素認証を実装することを求め、具体的な組み合わせの例示も行なっている。
 
IoT機器に関する項目「(6)医療等分野における IoT 機器の利用」を新設し、セキュリティ確保のための留意点をあげたほか、経産省の「IoT セキュリティガイドライン ver1.0」も参考とするよう求めた。その他在宅医療などでモバイル機器を使う機会が増えていることを踏まえ、BYODの場合などの運用で留意すべき点を規定した。
 
「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」では、ネットワーク間での情報交換におけるセキュリティの担保に関し、より安全なVPS接続を行なえるための各技術、規格についての規定について定めた。また電子署名に関して、保健医療福祉分野 PKI 認証局または認定特定認証事業者が発行する電子証明書を使い、タイムスタンプを付与することなどを規定した。
 

情報交換、標準化仕様に関してのキャッチアップ

「5章 情報の相互運用性と標準化について」において、厚労省の標準規格として採択されている各JAHISや日本IHE協会の「地域医療連携における情報連携基盤技術仕様」について記述を追加した。
 

電子情報の入力に関しての真正性の確保

「7章 電子保存の要求事項について」の中で、電子カルテ等の入力における関係者の役割や責任をより明確にし、また代行入力を行う場合の記録確定に当たって順守すべき事項を定めた。

介護事業者向けの情報システムに関してもガイドラインの対象範囲としたことで、厚労省が2020年には稼働させたいとしている『医療介護データプラットフォーム』(既報)の構築に寄与させたいという意図が見え隠れする。今後公表される他の医療情報関連の文書に関しても、こうした観点でのとりまとめが主眼となってきそうだ。