「医療情報システムの安全管理に関するガイドライン」とは

「医療情報システムの安全管理に関するガイドライン」は、近年さまざまな情報サービス事業において、システムの脆弱性を突いた事件が頻発している状況を鑑み、病歴等の機微性の高い情報を含む患者の個人情報を適切に管理するために、2023年（令和5年）5月、「医療情報システムの安全管理に関するガイドライン 第6.0版」として厚生労働省が定めました。本記事では、ガイドラインが策定されるまでのこれまでの経緯から、最新版のポイントまで詳しく解説しています。
出典：厚生労働省「医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）」（https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html）

過去には3省4ガイドラインとして、医療情報システムに関するガイドラインは合計で4つ存在していました。2018年（平成30年）7月に総務省により、ASP・SaaSに関する2つのガイドラインは「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」としてひとつに統合されました。（「3省3ガイドライン」）
背景には、事業者のサービス提供形態がASPやSaaSに限らず多様化してきたことや、クラウドサービスを提供する事業者がすべてのガイドラインを遵守するにあたり、管理の負担が大きくなっていた問題が挙げられます。その後、2020年（令和2年）8月にはその総務省のガイドラインが、経済産業省のガイドラインと統合され、現行の「3省2ガイドライン」となっています。

このガイドラインは、2005年（平成17年）に第1版を策定後、定期的に改正が⾏われてきました。2023年（令和5年）には、医療情報システムの安全管理の実効性を高める観点から、システム運用担当者並びに、経営層や企画管理者に対してもガイドラインの内容の理解が可能となるように全体構成を大幅に変更し、第6.0版として公表されました。

第6.0版として改訂された趣旨としては、下記のように厚生労働省は発表しています。

では、その医療情報の安全管理ガイドラインの内容をみていきましょう。
最新のガイドラインでは、大きく分けて4つのポイントで改訂が行われました。

1：全体構成の見直し

ガイドライン本文は、概説編、経営管理編、企画管理編、システム運用編の四つに分類され、各編で想定される読者に求められる遵守事項及びその考え方を示すとともに、Ｑ＆Ａ等において現状で選択可能な具体的な技術にも言及するなどに構成が見直されました。

2：外部委託、外部サービスの利用に関する整理

クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任分界の考え方等が整理されました。

昨今のクラウドサービスの普及に伴って、院内システムは外部サービスを利用、委託しているケースも増えています。このとき、クラウドサービスの特徴を踏まえたリスクを整理し、責任の所在については明確化しておく必要があり、医療機関とサービスを提供する企業間における責任分界に対する内容がガイドライン上に追加されました。

例えば経営管理編においては、クラウドサービス事業者と医療機関との間で責任分界を書面で可視化するよう求めています。またシステム運用編では、さらに具体的な責任の分担内容などが記されています。

3：情報セキュリティに関する考え方の整理

ネットワークの安全性の考え方や認証のあり方を踏まえて、ゼロトラスト思考※1に則した対策の考え方を示すほか、サイバー攻撃を含む非常時に対する具体的な対応について整理されました。

具体的には、度重なる巨大地震などの自然災害や、近年のサイバー攻撃の実情から、従来の境界防御型思考※2だけではなく、非常時におけるシステム障害等の対応や対策、その他ネットワークの安全性に関わる「ゼロトラストネットワーク型思考」を取り入れたセキュリティ対策が示されています。

なお、ガイドラインではゼロトラスト思考に基づく対策を必須としているわけではなく、リスク分析の結果や、費用対効果も考慮したうえで判断することが望ましいと記述されています。

上記に加え、改訂された第6.0版からは新たに「医療機関等におけるサイバーセキュリティ対策チェックリスト」も公表されました。これはガイドラインに記載された内容のなかでもより優先的に取り組むべき事項についてチェックリスト形式で提示されています。「医療機関確認用」「薬局確認用」「医療機関に関わる事業者用」「薬局に関わる事業者用」の4つにわけられており、それぞれ法令に基づく立ち入り検査の際に確認されると明言されているため、一定の強制力のある文書だといえます。技術的な項目については手作業での対応がほぼ不可能な内容も含まれているため、全国の医療機関では、関連するセキュリティサービスを導入する機関が増えているようです。

引用：厚生労働省　令和6年度版　医療機関におけるサイバーセキュリティ対策チェックリスト

https://www.mhlw.go.jp/content/10808000/001253950.pdf

4：新技術、制度・規格の変更への対応

オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置等について整理されました。

特に、マイナンバーや保険証などの保険資格をオンラインで確認できる「オンライン資格確認の導入」が原則義務化されたことに伴い、医療機関においてはネットワーク関連のセキュリティリスクが課題とされており、患者などの個人情報が厳重に保護され、適切に管理するためのガイドラインとなっています。

※1：ゼロトラスト思考…社内外のネットワーク環境において、情報資産へのアクセスを信頼せずに常に検証し、安全性を担保するセキュリティ対策の考え方。

※2：境界防御型思考…ネットワーク上の外部と社内ネットワークとの境目に壁を作ることで、攻撃をブロックし社内ネットワークの安全性を保つもの。以前から医療業界のセキュリティ対策として用いられているいわゆる「ネットワーク分離」。院内において、インターネット通信が可能な事務系と、インターネットに繋がれていない診療系を完全に分離し、診療系ネットワークのみで医療情報を取り扱うことによって情報を守るという考え方。

最新の医療情報の安全管理に関するガイドラインの「システム運用編」では、利用者認証における二要素認証の導入について明記されています。「2027年（令和９年）度時点で稼働していることが想定される医療情報システムを今後、新規に導入又は更新する場合、原則として二要素認証を採用するシステムの導入またはこれに相当する対応を行うこと。」また、システムにおける利用者認証については下記4つのポイントも必要となります。

二要素認証は、「記憶・生体情報・物理媒体」これら3つの認証要素のうち、種類の異なる2つの要素を組み合わせて認証する方式です。これによりセキュリティ強度が高まるため、なりすまし等の第三者による不正アクセスを防ぐことができます。組み合わせる要素の数が「２つ」であれば二要素認証と呼ばれ、「２つ以上」であれば多要素認証となります。 従って、二要素認証は、多要素認証の中のひとつといえます。

医療現場のあらゆるシステムに特化するイードクトルが手がけるTaikobanは、北海道から九州まで日本全国で大学病院をはじめ50以上もの医療現場で導入され、60,000IDを超える二要素認証を運用しています。導入についてのお問い合わせはお気軽にご相談ください。オンライン商談も可能です。