第534号コラム:野津 勤 幹事(株式会社システム計画研究所 特別顧問)
題:「『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』について」
首記のガイドラインが2018.7に総務省より発行された。このガイドラインは、従来の「ASP・SaaSにおける情報セキュリティ対策ガイドライン」及び「ASP・SaaSが医療情報を扱う場合における情報セキュリティ対策ガイドライン」【総務省】を、初版発行以降の環境変化(医療におけるIT環境の進展、個人情報保護法の改正、診療報酬の改定、利用者の意見等)で統合したものであり、タイトルも変更された。本文180ページ以上、サービス仕様適合開示書及びSLA例110ページ以上の大部であるが、一本化されたことで読み易くはなった。ここでは、簡単にさわりを紹介する。
ネットワークを用いた医療記録の医療機関外での保存、いわゆる外部保存容認の経緯では、外部保存通知改訂(厚生労働省 2010年2月1日)で、「医療法人等が適切に管理する場所、行政機関等が開設したデータセンター等、及び医療機関等が民間事業者等との契約に基づいて確保した安全な場所に置かれるものであること。」とされ、民間サービス事業者の利用には従来の「震災対策等の危機管理上の目的で確保した安全な場所に置かれるものであること。」から、一般的ケースに拡大された。その実施条件として、2010年の「医療情報システムの安全管理に関するガイドライン(以下、厚生労働省ガイドライン)第4.1版」【厚生労働省】において、医療機関は外部保存に当たって、上記総務省の2ガイドラインの他、情報処理事業者による単純な保管のみには「医療情報を受託管理する情報処理事業者向けガイドライン」【経済産業省】を守っている事を、確認することが求められている。今回の改定によって趣旨に変更はないが、対象が拡大されている。
1.医療情報の特殊性
・一般的に個人情報は、一旦漏洩した場合に回復が困難なものであり、特に医療情報は患者の生命・身体に関わるほか、差別を受ける等、権利利益が侵害される可能性もあるため、高い保護方策が求められる。そのため、医療機関等や関係者に対しては、罰則を伴う守秘義務が法律で課せられるほか、法令・各種のガイドライン等により格別の安全管理措置を講じることが求められている。
・この観点から、医療機関等向けに「厚生労働省ガイドライン」が策定されており、医療情報を取り扱うシステムを利用する際には、厚生労働省ガイドラインの安全管理対策を講じることが求められる。
・医療機関等が対応すべき安全管理対策は、医療機関等から委託を受けた事業者においても、同様の対策を講じる必要がある。
2.医療情報の取扱いにおけるクラウドサービスの意義
・他方、医療情報の取扱いにおいて、クラウドサービスの利用も普及しつつある。システム管理を行う要員が十分確保できない医療機関等においては、適切に管理されたクラウドサービスを利用することにより、医療機関等の内部で医療情報の保存、管理を行うのに比べて、より安全かつ効率的に管理することが期待できるためである。
・クラウドサービスにおいて医療情報を取り扱う場合は、低負担で高いセキュリティを実現することが重要である。また、クラウドサービスは、当初はASP・SaaSという形で利用されることが多かったが、仮想化技術の進展などもあり、PaaS、IaaS等、多様な形で提供されるようになってきた。
・また、医療機関等は、クラウドサービスを活用することにより、医療情報連携ネットワークやオンライン診療等、新しい形での医療情報の利活用を、高セキュリティ、低コストで実現できるようになる。
3.ガイドラインの対象範囲
対象情報は、「厚生労働省ガイドライン 第5版」と同一で、「医療に関する患者情報を含む情報」である。従って「介護事業者」の扱う医療情報も含まれる。対象事業者には、オンライン診療サービスシステム(3.5章)、PHRサービス事業者(3.6章)も記載された。医療機関・介護事業者から直接委託を受けるサービス事業者だけでなく、サービス事業者経由で間接的に機能を提供する事業者、医療情報システムを接続するオンライン診療システム機能を提供する事業者、さらに患者からの委託を受けて保管する(患者から直接提供、医療機関から提供の2通りがある)PHRサービス事業者も対象に加わった。
4.サービス事業者への要求
サービス事業者の責任や取るべき安全対策は、従来と同様に厚生労働省ガイドラインが医療機関に求める内容がほぼそのまま踏襲されている。
電子保管の三原則(真正性、保存性、見読性)を、情報セキュリティで言われているCIA(機密性、正確性、可用性)との関係で、齟齬を気にする意見も目にするが、以下の様に整理される。正確性と責任の所在の明確化=真正性、可用性の具体化=見読性・保存性、機密性は、医療者には刑法・身分法で守秘義務が定められており、各ガイドラインでは言わずもがなの当然の前提に当たる。
利用者との合意形成には「サービス仕様適合開示書」の提供が求められている。工業会(JIRA、JAHIS)の「製造事業者による医療情報セキュリティ開示書ガイド」が参考にされている。「サービス提供に用いるアプリケーション、プラットフォーム、サーバ・ストレージ等には国内法の執行が及ぶ場所に設置」することも、セキュリティ問題ではないため従来通りである。
本ガイドラインは、発行日に即日施行なので、関連するサービスを提供する事業者にとってはサービス仕様適合開示書やSLAの提供が求められている。
【著作権は、野津氏に属します】