第614号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システムプロセスアシュアランス部 シニアマネージャ)
題「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)のポイントについて
国内で医療情報を電子的に取り扱う際に遵守が求められるガイドライン、いわゆる「3省3ガイドライン」のうち、医療情報システム・サービス(以下、『医療情報システム等』)を提供する事業者向けの2つのガイドライン(経済産業省:「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」、及び総務省:「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」)が今般、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、『統合ガイドライン』)という一つのガイドラインに改定され、そのドラフト版(「案」)が現在公開されている。
現時点では、パブリックコメントの検討結果を反映した正式版は公開には至っていないため、まだ時期尚早の感はあるが、今般の改定に伴い、従来のガイドラインから、考え方の大幅な見直しが行われている。そのため、この統合ガイドライン(案)のコンセプトについて、本ガイドラインの検討会構成委員として参画した立場から、簡単に解説を行いたい。なお、本内容は一委員としての私見となる。
統合ガイドラインの基本コンセプトは、「リスクマネジメント」と「リスクコミュニケーション」の二つにあると考えられる。
従来のガイドラインでは、医療情報システム等の固有の環境構成に関わらず、一律実施しなければならない標準的なセキュリティ対策が定義されていた。これは技術革新の著しい当今の環境において、過剰/過小な対策を事業者に求め、本来、医療情報システム等固有のリスクを踏まえて重点的に行うべきセキュリティ対策の本質を見誤らせる可能性があった。
これに対して、統合ガイドラインでは、事業者が提供する医療情報システム等の固有のリスクに着眼し、該当するリスクを管理するための対策水準が合理的であるかを事業者自身にアセスメントさせる手続きを重視している。具体的には、医療情報システム等における情報の流れを整理し、そこに潜むリスクを洗い出した上で、これらのリスクの管理方針を事業者として精査・決定するとともに、その方針を内外の環境変化に応じて継続的に見直すといった、リスクマネジメントプロセスが求められている。これにより、医療情報システム等を提供する事業者は、本来実施すべきセキュリティ対策に重点を置き、合理的なセキュリティ管理態勢を整備・運用することが可能になる。なお、これらの取組は内部監査、または外部評価によりその妥当性・合理性を定期的に検証することが明示的に求められており、客観性の高さが必要となる。
それでは、この客観性とはだれのためのものであろうか。リスクマネジメントプロセスのもとで運営される医療情報システム等に然るべき合理的なセキュリティ対策が講じられることによるメリットを享受するのは、もちろん、第一義的には、ユーザとしての医療機関等になる。
事業者は自社のセキュリティ管理態勢について、医療機関等と主体的にコミュニケーションを行い、医療情報システム等の提供/利用に際して、事業者/医療機関等が同一の目線(共通理解)のもとで、互いにそれぞれ実施すべき対策水準を合意形成する必要があり、これは事業者内部における客観性のあるリスクマネジメントによって初めてもたらされるものである。
なお、この合意形成には、単に「自社でどのような対策を実施しているか」という観点のみでなく、リスクマネジメントプロセスの中で洗い出された想定リスクを管理するために医療機関等においても実施が必要となるセキュリティ対策、さらには事業者が十分なリスク管理を行えなかったため残存したリスクという観点も含まれる。医療情報システム等のセキュリティ管理は、決して事業者のみで対応できるものではなく、ユーザによる協力(能動的な関与)も不可欠である。また、日々巧妙化・高度化するサイバー脅威に晒される現状において、昨日まで問題のなかったセキュリティ対策も明日には無効になるかもしれないというリスク認識は極めて重要である。このような観点から、事業者としての内部的なセキュリティ対策の整理のみでなく、該当する医療情報システム等の利用に際して、医療機関等において能動的に実施すべきセキュリティ対策の明確化、及び足元における事業者としての残存リスクの認識も含め、ユーザとのコミュニケーション(医療情報システム等の利用に伴うリスク全般についての合意形成)を行うことが統合ガイドラインでは求められている。これは事業者に対して、公益性の高い医療等分野においてシステム・サービスを提供するに際して、ユーザ(医療機関等)を念頭に置いた取組を徹底すべきという意図の表れと考えられる。
上述のように、統合ガイドラインでは、医療情報の流れに着眼したリスクベースなセキュリティ管理水準を維持するための「リスクマネジメント」、及び事業者としてのリスクマネジメントの取組についての共通理解をユーザとしての医療機関等と醸成し、事業者/ユーザ一体となったセキュリティ管理態勢の妥当性について合意形成を図る「リスクコミュニケーション」が大きなポイントとなっている。
従来までの事業者によるガイドラインへの対応というと、特に後者のリスクコミュニケーション、つまり、自社の取組内容に対する説明責任の遂行が不足していた印象が強かったが、事業者としてのガイドライン対応の目的は、そもそも医療情報システム等を利用するユーザ、つまり医療機関等の安定した業務遂行を支援する点にあると言える。その意味でも、医療機関等との共通理解に基づく、合意形成に向けたコミュニケーションを事業者に求めることで、事業者/医療機関等(ユーザ)が一体となってセキュリティについて考えるべきとする、統合ガイドラインのコンセプトは極めて有益なものになっていると思われる。
なお、現在、新型コロナウイルスの蔓延に伴い、医療機関等への直接受診制限を目的に、オンライン診療が時限緩和措置のもとで利活用され始めている。オンライン診療における保険点数算定の条件の一つに3省3ガイドラインの遵守が求められている通り、当該システムによるリモート診療においてセキュリティへの配慮は極めて重要と言える。医療機関等においては、普段とは異なるイレギュラーな手続のもとで患者情報の管理を行わなければならないという意味で、未だ統合ガイドラインの正式版は施行されていないものの、このような診療基盤をオンラインで提供する事業者は、医療機関等としっかりリスクコミュニケーションを果たすことで、後顧の憂いなく医療従事者が本業に専念できる環境を提供していくべきであろう。
【著作権は、江原氏に属します】