コラム第８２３号：「令和6年度診療報酬改定をサイバーセキュリティという切り口で見る」

第823号コラム：江原 悠介 理事（PwC Japan有限責任監査法人 リスクアシュアランス ディレクター）
題：「令和6年度診療報酬改定をサイバーセキュリティという切り口で見る」

令和6年（2024年）の診療報酬改定では、ICTの観点から見ると、医療DXというキーワードに伴う報酬や加算の見直しが大きく行われることになった。各種メディアでも医療DXに伴う報酬内容の解説が様々に行われているが、言うまでもなく、診療報酬の内容を＜点＞で見てもあまり意味はない。もともとの診療報酬制度自体が医科・歯科・薬局を厚生労働省の統制医療経済のもとで政策誘導するツールである。急激な環境変化に伴う現場への影響を考慮して、初期段階ではライト（あるいはヘビー）な要件を入れ込みながら、その全域化に向けて、段階的に梯子を広げる（あるいは外す）ことが今までの報酬政策の中でも繰り返し行われてきている。そのため、医療DXという新たな要件にも同種の＜線＞としての種が仕込まれていると考えるべきである。

こうした観点で令和6年度における報酬改定を医療DXという切り口で見ると、どうか。DXというと＜攻め＞や＜アクセル＞のイメージが強い。しかし、＜ブレーキ＞のない乗り物が存在しないように、医療DXという乗り物にもサイバーセキュリティという＜守りのブレーキ＞の存在がほのめかされている。例えば、厚生労働省の医療DX推進工程表の基本方針には明示的に医療DXの実現にはブレーキとしてのサイバーセキュリティの確保が重要である旨が謳われている。
今回の報酬改定において明確にサイバーセキュリティ関連の要件として見直されたものといえば、医科分野の診療録管理体制加算における適用対象病院の拡大（400床→200床）程度であるが、これはまだ全域化前の種まき程度のものでしかないと考えられる。

医療DXのゴールは、誤解を恐れず極端にいえば、「全国医療情報プラットフォーム」という制度の確立である。要するにどの医療機関等でも患者の診療歴等のパーソナルヘルスデータにアクセスができ、最適な医療行為が行えるICT環境の確立である。処方箋に基づく調剤行為は薬局の主管範囲になるため、このプラットフォームには調剤薬局も同じように連なる必要がある。さらには在宅患者をケアする訪問介護・看護ステーションも最新の患者情報にアクセスするためにはこのICT環境へ登録されなければならない。しかしながら、セキュリティサプライチェーンを考えた場合、プラットフォームを利用する特定拠点のセキュリティ水準が低ければ、その環境全体の水準もその地点まで落ち込む。そのため、令和6年度の医療DX関連の改定では、診療報酬における書面要件の見直し～～患者への診療結果データを、病院・クリニック、薬局、訪問看護業者等へ電子的に情報提供する場合は、厚生労働省「医療情報システムの安全管理に関するガイドライン」への遵守が施設基準/算定要件に明記されることになった。
これはもともと、数年前から進んでいた、病院・クリニック、あるいは薬局等へのオンライン資格確認環境の導入に伴うセキュリティ要件が施設基準・算定要件に具体化されたものといえる。オンライン資格確認環境の導入のマニュアルにはそもそもそうした取組を行うことが必要である点が記載されており、こうした動きは、初期段階はライトな感じで要件を盛り込みながら、全域化する際に要件の必須化を図る、診療報酬的な政策誘導の一つの表れである。こうした要件を＜点＞のみで見ていた組織は報酬改定時に面食らうことになってしまう。しかし、これらは＜線＞で見れば予測できるものでもある。

同じことが令和6年度改定で追加された、情報通信機器を用いた通院精神療法に係る評価の新設にも言える。オンラインで精神療法を受ける場合の施設基準の「注」に補足される程度だが、オンライン精神療法は、「オンライン診療の適切な実施に関する指針」（平成30年度！初版）の準拠をもって、十分な体制の整備が図られ、報酬請求が行えるものとなっている。この「注」もそのうち必須基準に盛り込まれることは前述までの内容をみれば、明確であることはわかっていただけると思う。
そもそも、オンライン診療の適切な実施に関する指針は、オンライン診療だけでなく、オンライン服薬指導のマニュアル、先述のオンライン資格確認環境の導入マニュアルでも、セキュリティ遵守上の最低要件（ベースライン）として求められている。そしてこの指針では、厚生労働省の安全管理ガイドラインを遵守することが求められている。医療法施行規則14条2項の適用に伴い、2023年4月より医療機関におけるサイバーセキュリティは安全管理義務の一環として法定要件になったが、そこでも実務的な準拠枠はこのガイドラインである。ここでも＜点＞と＜点＞が繋がって、＜線＞になっている。

このように、令和6年度の報酬改定を医療DXにおける＜ブレーキ＞としてのサイバーセキュリティという切り口でみると、色々なかたちで、今まで医療セキュリティの文脈で積み上げられていたものが一つの＜線＞として浮かび上がるかたちになる。そして、この動きは不可逆的であり、この方向に政策誘導としての報酬改定が行われる。
今後の改定で、同種のサイバーセキュリティ加算/減算が行われ、セキュリティ対応が出来る医療機関/難しい医療機関がどんどん色分けされていくことだけは確かだが、その際に、どのような事態が診療の現場、ひいては患者に派生するかという＜線＞までは、まだ予想することは難しい。

以上

【著作権は、江原氏に属します】