第790号コラム:江原 悠介 理事(PwCあらた有限責任監査法人 システム・プロセス・
アシュアランス部 ディレクター)
題:「国内の医療セキュリティの直近動向について 

2023年4月から、国内の医療セキュリティは法制化という大きな転換点を迎えることになった。 

ひとつは、医療法施行規則14条2項において、医療機関は医療情報システムのサイバーセキュリティ対策を講じることが安全管理の一環として求められることになったことである。実務的な対応方針はいわゆる「3省2ガイドライン」に定められており、その遵守状況は医療法25条1項の立入検査の中でも確認されるものとして、厚生労働省から検査用のチェックリストも公開されている。

もう一つは、医療機器基本要件基準12条3項の新規適用に伴い、医療機器メーカは、2024年3月末までに国内の医療機器(ネットワーク接続や可搬型記憶媒体によるデータ授受等、外部との接続点を持つ機器)について、QMS適合性の観点より、医療機器に適切なサイバーセキュリティ対策を講じ、医療機関に対してどのような環境要件のもとで該当機器をセキュアに利用すべきかについてコミュニケーションを行うことが求められることになったことである。
具体的には、国際医療機器規制当局フォーラム(IMDRF)が定めた医療機器のサイバーセキュリティ要件を日本国内の許認可制やインシデント事例(例えばリモートメンテナンス用の接続口を通したランサムウェアの被害事例)等も加味して定めた、医療機器メーカ向けの手引書が公開され、23年4月~24年3月の猶予期間のなかで、本手引書を考慮した対応が製品の上市条件となった。医療機関向けにも同様の手引書は公開されており、メーカは医療機関向けの手引書も加味して、医療機器をセキュアに利用するためのインストラクションを行わなければならない。このように、医療情報システム・医療機器ともに、国内でも明確にサイバーセキュリティが必須要件であることが法的に明確化されている。

ところで、日本の医療業界では、2024年から働き方改革の一環として医師の過残業規制が検討され、タスクシフティングの必要性も論じられる等、医療業務の効率化/有効性の向上は待ったなしとなっている。医療DXという標語の下で検討される新しいテクノロジーはこうした手段の一つといえる。その中でも特に最近フォーカスされるものが、ChatGPT等に代表される、生成AIというテクノロジーである。生成AIという技術自体は患者診療に直結する局面(直接業務)での利用はまだ国内では先になるはずだが、そうした局面に周縁的に関連する局面(間接業務)での利用の余地はポジティブに考えられる。医療機関では患者に係る様々な情報がPatient Journeyの観点から大量に求められるが、そうした情報のエントリー・シェア・サマライズ等の人力作業の自動化においてはすでに実用的な価値があるといえる。

ただし、こうした新たな<攻め>の技術のフィージビリティは、<守り>の新たな着眼点~~ここでは、セキュリティ、プライバシーや社会常識等、いわゆるEthical, Legal and Social Issues(ELSI)~~も含めた観点からも検討が必要である。特に、日本の国内医療セキュリティではいわゆる<3ない>状況 ~セキュリティにまわすヒト・カネ・モノがない~が続いている。これは保険報酬による医療経営という、日本独自の制度がかなり大きな影響を及ぼしている。海外技術の直輸入ではなく、日本の医療法制・慣習等の構造的な背景も含めて、そうした技術で国内でどこまで何ができるかについて、腰を据えて議論することこそが必要であろう。

現在、「ヘルスケア」分科会では、上述してきた観点より、医療業務へ生成AIという新たなテクノロジーを導入することに伴い、留意すべき<守り>のポイントを整理・検討している。その内容は23年12月の「第20回デジタル・フォレンジック・コミュニティ2023」で報告する予定である。こうしたトピックに興味のある方は是非コミュニティに参加頂き、意見交換させていただきたいと思う。

【著作権は、江原氏に属します】