2023年4月に医療法施行規則や薬機法施行規則の改定に伴い、病院や調剤薬局(以下、「医療機関等」)におけるサイバーセキュリティが医療安全管理の一部として義務化されることになっている。
医療機関等では、自施設で利用する医療情報システム・サービスの提供事業者(以下、「ITベンダ」)との間でセキュリティの取り決め事項を契約等で合意することが求められている。
しかしながら、多くの医療機関等では、セキュリティに精通した立場で、ITベンダとの契約交渉の中で具体的に契約条項の中にセキュリティ要件が含まれていることをチェックし、ITベンダと合意形成していくことは、特に専門的な知見の制約上、困難であるといえる。

こうした状況を背景に、2024年6月に、厚生労働省・経済産業省・総務省から、『医療情報システムの契約における当事者間の役割分担等に関する確認表』(以下、「契約検討確認表」)という資料が公表された。本資料は、 ITや法務面の専門職員のいない医療機関等にとって、医療情報システム・サービスをめぐる、ITベンダとの「情報の非対称性」を解消し、セキュリティ面の契約上の合意形成を進めるうえで非常に有益な資料と考えられる。

ただし、契約検討確認表は、医療情報システム・サービスに係るセキュリティについて、契約上の合意形成を検討するための確認ポイントを示す構成となっている。そのため、具体的に契約文言としてどのような条項を定めるかについては、医療機関等で個別対応することが求められている。
システム・サービスの提供形態、あるいは相対するITベンダによって多種多様となる契約形態を網羅する、常に正解となる契約内容は存在しないため致し方がないことではある。
だが、IT・法務面に詳しくない医療機関等にとっては、もう一歩踏み込んだ、具体的な契約内容を検討する上でのヒントが望まれるものと想定される

上記の認識のもと、「ヘルスケア」分科会の第21期ワーキンググループでは、契約検討確認表の実務面における<使いやすさ>をサポートする目的で、ITベンダとセキュリティ面の責任分界を合意形成するに際して、特に契約書の中でどのような具体的な文言・内容に着眼して検討を行うべきかについて、本資料の作成・公開を行うこととした。

また、実際に契約面でセキュリティ事項の取り交わしがない状況下で事故が発生した際にITベンダ側の過失が認められた裁判例の概説、および医療機関等が業界固有の慣習として把握しておくべきITベンダ側の制約情報等、実際にITベンダと契約を進める上で参考になる関連情報を補足として取りまとめた。

もちろん本資料自体は法律的な保証を付与するものではない。
ただし、医療機関等がITベンダとの契約上の調整・交渉を行うに際した、気にすべきポイントとして、少しでも医療機関等の取組を支援することができれば、「ヘルスケア」分科会としては本望である。

本資料がITや法務面の専門職員のいない医療機関等にとっての一助になることを期待している。

第21期「ヘルスケア」分科会

【ダウンロード】
「医療情報システムの契約における 当事者間の役割分担等に関する確認表」の利用手引