• TOP
  • 大病院向けコラム
  • 【第6.0版改定ポイント】「医療情報システムの安全管理に関するガイドライン第6.0版」を解説

2023.09.07

【第6.0版改定ポイント】「医療情報システムの安全管理に関するガイドライン第6.0版」を解説

【第6.0版改定ポイント】「医療情報システムの安全管理に関するガイドライン第6.0版」を解説

医療機関において特に適切な管理を求められるのが、患者のカルテなどの医療情報です。厚生労働省は「医療情報システムの安全管理に関するガイドライン」を定めて、適切な管理のための指針を示しています。

2023年5月、ガイドラインが改定され第6.0版が発表されました。時代の変化に合わせて、サイバーセキュリティ対策強化などを盛り込んだのが今回の大きな改定ポイントです。また、国を挙げて取り組みが推進される医療DXの取り組みとも連動しています。

本記事では、改定されたガイドラインの概要や、医療機関が意識すべきポイントについて詳しく解説します。

「医療情報システムの安全管理に関するガイドライン」が第6.0版に改定!

2023年5月31日、厚生労働省の「医療情報システムの安全管理に関するガイドライン」が第6.0版に改定されました(改定前のガイドラインは2022年3月発表の第5.2版)。

■厚生労働省のガイドライン関連ページ
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)|厚生労働省

今回の改定の主なポイントは後半で解説しますが、まずは、ガイドラインがどのようなものなのか、以下の3つの要点を確認しておきましょう。

  • そもそも「医療情報システムの安全管理に関するガイドライン」とは?
  • 医療現場のIT環境の変化によって改定が行われてきた
  • 「第6.0版」ではサイバーセキュリティ対策強化が目玉に

そもそも「医療情報システムの安全管理に関するガイドライン」とは?

「医療情報システムの安全管理に関するガイドライン」は、医療情報システムを安全に運用・管理するために、病院や薬局などの医療機関が遵守すべき指針を厚生労働省が示したものです。

そもそも医療情報システムとは、医療機関で取り扱うさまざまな情報を管理するシステムのことです。 例えば、電子カルテやレセコン(レセプトを作成するコンピューターやシステム)、検査システム、調剤システムなどが該当します。

こうした医療情報システムは、医療機関の根幹を担うものである上に患者の機密情報を扱うため、セキュリティ強度が極めて重要です。そこで、適切なセキュリティ対策や組織体制について、ガイドラインで詳しい指針が示されています。

医療情報システムの詳細については、以下の記事で詳しく解説しているので合わせてご覧ください。

■関連記事
医療情報システムとは?種類や導入メリット・注意点などを解説

医療現場のIT環境の変化によって改定が行われてきた

引用:医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容(厚生労働省)

「医療情報システムの安全管理に関するガイドライン」は、個人情報保護法、e-文書法、医療法、医師法などを根拠としており、患者の個人情報を守るための指針ともいえます。

その歴史を振り返ると、医療情報システムのセキュリティ管理を目的として2005年3月に第1版が発表されました。第4.2版までは、医療業界におけるIT技術の発展に合わせた改定が続けられているものの、基本的な部分は同じです。

しかしそれ以降、2016年3月の「電子処方箋の運用ガイドライン」を受けた第4.3版への改定や、「改正個人情報保護法」や「多職種連携システム」に対応した第5版など、大幅な改定が続いています。医療機関をターゲットとするサイバー攻撃の頻発や、IoT技術の普及などを踏まえたセキュリティ対策が特に重視されるようになっています。

■参考サイト
電子処方せんの運用ガイドラインの策定について(厚生労働省)
医療情報システムの安全管理に関するガイドライン 第4.3版(平成28年3月)
医療情報システムの安全管理に関するガイドライン 第5版(平成29年5月)

「第6.0版」ではサイバーセキュリティ対策強化が目玉に

「医療情報システムの安全管理に関するガイドライン第6.0版」では、医療情報システムの高度化やサイバー攻撃の巧妙化を反映し、以下のようなセキュリティ対策強化の改定が行われました。

  • 外部委託・外部サービス利用時のリスク対応
  • 情報セキュリティに関する考え方の深化
  • 新技術・制度・規格の変更への対応

外部委託・外部サービス利用時のリスク対応

近年、自前でのシステム構築やサーバ管理が不要の「クラウド型」の医療情報システムが普及しています。こうしたクラウドサービスの提供者が構築すべき組織体制や、サービス利用者が意識すべきリスクや対策について整理し、医療機関などのシステム類型別に責任分界点の考え方が示されています。

■関連記事
病院クラウド・医療クラウドとは?病院経営や現場にもたらすメリット解説

情報セキュリティに関する考え方の深化

サイバー攻撃は、ネットワーク上のさまざまな場面で行われており、その脅威は身近なところにあります。そのため、自院の情報資産にアクセスするものはすべて信用しない「ゼロトラスト」(※)の概念が重要です。ゼロトラストの徹底により、アクセスするデバイスの信頼性の検証が行われるため、情報資産への脅威を未然に防ぐことが可能となります。

「医療情報システムの安全管理に関するガイドライン第6.0版」では、ネットワークの安全性や認証の考え方を踏まえて、ゼロトラスト思考に即したセキュリティ対策や非常時の対処法が示されています。

※ゼロトラストとは?
従来のネットワークセキュリティに対する考え方「医療機関内=信用できる」「医療機関外=信用できない」という境界線の概念を捨て、システムやネットワークにアクセスするものは「医療機関内外のすべてを信用しないでセキュリティ対策を講じて脅威を防ぐ」という新しい考え方。

■関連記事
医療機関のサイバーセキュリティ対策を分かりやすく解説

新技術・制度・規格の変更への対応

IT技術の発展による新技術の登場をはじめ、制度や規格などの変更が進んでいます。こうした背景を踏まえて、例えば、後述する「オンライン資格確認」のためのネットワーク機器の安全管理措置など、必要な知識がガイドラインで示されています。

「医療情報システムの安全管理に関するガイドライン第6.0版」の改定内容と連動する各種施策

ここからは、「医療情報システムの安全管理に関するガイドライン第6.0版」の重要ポイントであるセキュリティ対策強化と連動する、以下のような医療分野の各種施策について詳しく見ていきましょう。

  • 「オンライン資格確認」導入などに合わせて、サイバーセキュリティ対策が検査される
  • 「電子カルテ情報交換サービス(仮称)」整備により、医療機関などで全国的に電子カルテ情報の閲覧が可能になる
  • 「全国医療情報プラットフォーム」整備により、LIFEなどの介護情報も閲覧できるようになる
  • 電子処方箋(電子処方箋管理サービス)の機能拡充が進められる
  • 患者からの同意取得の緩和が検討される

※ここでの解説は2023年7月現在の公表情報に基づくものです。変更の場合がありますのでご了承ください。

「オンライン資格確認」導入などに合わせて、サイバーセキュリティ対策が検査される

引用:オンライン資格確認の導入で事務コストの削減とより良い医療の提供を~データヘルスの基盤として~

国が整備を進める「オンライン資格確認」は、マイナンバーカードのICチップや健康保険証の記号番号を用いて、オンラインで資格情報を確認できる仕組みです。2023年4月から、病院や薬局などの医療機関で「オンライン資格確認」の導入が原則義務化となりました(やむを得ない事情による経過措置あり)。

こうした取り組みと連動して、医療機関が求められるセキュリティ対策の強度は、より強力なものになります。そこで、医療機関の管理者はガイドラインを遵守し、サイバー攻撃に対して適切なセキュリティ対策を構築することが必要です。

さらに、医療法第25条第1項に基づく「立入検査要綱」に、サイバーセキュリティ確保のための取り組み状況が組み込まれました。つまり、医療機関は原則として毎年実施される立入検査で、病院管理や人員配置などに加えて医療情報システムのセキュリティ対策の検査も受けることになります。

■参考サイト
オンライン資格確認の導入について(医療機関・薬局、システムベンダ向け)|厚生労働省
医療法第25条第1項の規定に基づく立入検査要綱の一部改正について(厚生労働省通達)

「電子カルテ情報交換サービス(仮称)」整備により、医療機関などで全国的に電子カルテ情報の閲覧が可能になる

引用:健康・医療・介護情報利活用検討会 医療情報ネットワークの基盤に関するワーキンググループ とりまとめ(令和5年3月29日)

医療機関などで全国的に電子カルテ情報を閲覧できるようにする「電子カルテ情報交換サービス(仮称)」の整備に向けた取り組みが進められています。そのために必要な電子カルテ情報の「標準化」も段階的に拡大するとしており、整備が完了すると医療データの利活用が加速するでしょう。

また、患者からの同意取得が現場の負担になっている点については、プロセスの改善や一括で同意できる仕組みの構築などが検討されています。

■参考サイト
健康・医療・介護情報利活用検討会 医療情報ネットワークの基盤に関するワーキンググループ|厚生労働省

「全国医療情報プラットフォーム」整備により、LIFEなどの介護情報も閲覧できるようになる

引用:共有すべき介護情報にかかる検討について(第3回 介護情報利活用ワーキンググループ 資料1)

「全国医療情報プラットフォーム」は、個別に管理されている医療関連情報を集約するためのシステムで、政府が推進する「医療DX令和ビジョン2030」の重要施策となっています。

介護情報についても全国医療情報プラットフォームで共有されますが、取り扱う情報は「要介護認定情報」「レセプト」「ケアプラン」「LIFE情報」が主な候補となっています。これらの情報が共有されることで、より一体感がある医療サービスの提供が可能になると見込まれます。

「医療DX令和ビジョン2030」については、以下の記事も合わせてご覧ください。

■関連記事
「医療DX令和ビジョン2030」とは?3つの骨格のポイントを解説

電子処方箋(電子処方箋管理サービス)の機能拡充が進められる

引用:電子処方箋|厚生労働省

2023年1月26日に運用が始まった医療機関や薬局における「電子処方箋」は、2023年7月16日時点で「利用申請済み施設数」は56,920施設、「運用開始施設数」は4,978施設と順調に稼働しています。ただし、リフィル処方箋(現在の電子処方箋では非対応で紙の処方箋で運用中)への対応、患者の口頭同意による過去の薬剤情報の取得、院内処方への対応(現在の電子処方箋は院外処方箋のみが対象)などの課題点が指摘されており、機能拡充が進められる見込みです。

■参考サイト
電子処方せん対応の医療機関・薬局についてのお知らせ |厚生労働省

患者からの同意取得の緩和が検討される

現状では、医療や介護に関する情報の共有・利活用を行う際は本人同意の取得が必要ですが、その難しさが指摘されています。

例えば、認知症の患者は仕組みの理解や同意が困難な一方で、情報の利活用は医療技術の発展にも重要です。そのため、差別的な取り扱いが行われないことや、厳格なセキュリティ体制を構築することが前提であれば、「同意取得を緩和してもいいのではないか」という議論が進められています。

引用:次世代医療基盤法の見直しについて(第10回健康・医療データ利活用基盤協議会/第12回ゲノム医療協議会 資料1)

なお、医療分野でのデータ利活用の仕組みについては、「医療分野の研究開発に資するための匿名加工医療情報に関する法律」(次世代医療基盤法)の法改正も含め、内閣に設置された健康・医療戦略推進本部で検討が進められています。

■参考サイト
健康・医療戦略推進本部

ガイドラインを遵守するために押さえておきたいポイント

「医療情報システムの安全管理に関するガイドライン第6.0版」は、医療機関が遵守すべきものなので、早めに対策を進めておくことが重要です。ここからは、医療情報システムの安全管理に欠かせない、以下の5つのポイントを確認しておきましょう。

  • 「機密性」「完全性」「可用性」の3要素が必須
  • セキュリティ対策の責任者の配置が必要
  • アクセス制限や電子機器の管理を適切に行う
  • 定期的なバックアップでデータの破損に備える
  • セキュリティ強度が高い医療システムを導入しよう

「機密性」「完全性」「可用性」の3要素が必須

医療情報システムの安全管理において、特に重要な要素は以下の3つです。これら3つの要素のバランスを意識して、医療機関のセキュリティ体制を考えることが重要です。

・機密性(Confidentiality)
「機密性」は、許可された者しか情報にアクセスできないことを指します。機密性が不十分な場合は、悪意がある者の侵入を許し、データの改ざんや流出などのリスクが生じます。

完全性(Integrity)
「完全性」は、情報が正しい形で利用できることです。完全性が確保されていなければ、データが欠損したり不正確な内容になったりして不具合の原因になります。

可用性(Availability)
「可用性」は、必要なときに情報にアクセスできることを指します。可用性が不足していると、タイミングによって医療情報システムが利用できず、業務に支障が出かねません。

セキュリティ対策の責任者の配置が必要

医療情報システムの安全管理を行うためには、システム運用に対する統制が欠かせません。主な内部統制としては、安全管理に関する基本方針の策定や、それを実現するための組織体制の整備などが挙げられます。特に重要なポイントが、セキュリティ対策の責任者を配置することです。

アクセス制限や電子機器の管理を適切に行う

誰がどの情報にアクセスできるか、アクセス制限も適切に行う必要があります。医療情報システムへのアクセス時は、IDやパスワード以外の認証も求める「二段階認証」が推奨されています。また、医療機関内のパソコンを外部へ持ち出すことや、個人のスマホ端末などからのアクセスにはセキュリティリスクが伴うため、規則を定めて管理することが大切です。

定期的なバックアップでデータの破損に備える

病院や医療機関のシステムで管理されているデータは、サイバー攻撃により、破損や改ざんなどが生じる恐れがあります。そのため、定期的にバックアップデータを作成し、万が一のときに破損前の状態に戻せるようにすることが重要です。

セキュリティ強度が高い医療システムを導入する

医療情報システムの安全性を確保するためには、そもそもセキュリティ強度が高い医療情報システムを導入することが大切です。総務省・経済産業省が定めている「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を満たしたベンダーを選定するなど、導入時点での検討が必要となります。

■参考サイト
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(METI/経済産業省)

サイバーセキュリティ対策強化に『ARTERIA』の導入を

「医療情報システムの安全管理に関するガイドライン第6.0版」に対応するためには、医療機関で適切なサイバーセキュリティ対策を講じることが重要です。内部統制の強化に加えて、セキュリティ強度が高い医療システムを導入することで、安全な医療機関の運営が可能となるでしょう。

WorkVisionの病院業務の効率化システム『ARTERIA』(アルテリア)は、クラウド型のセキュアなITシステムで、問診票や同意書など院内文書のペーパレス化(電子化)診療予約のオンライン化など豊富な機能を備えており、既存の業務プロセスを変えずに導入できます。医療のデジタル化の一環として、この機会にぜひ導入をご検討ください。

■ARTERIAの特徴は以下のページでも詳しくご紹介しています。
ARTERIAが選ばれる理由

関連記事