用語集

ヘルスケア×デジタル業界においては、日々新しい言葉が生まれています。こちらにはそうした言葉をまとめて記載しております。

医療ガイドライン

「医療ガイドライン」とは「医療情報ガイドライン」とも呼ばれ、個人の医療に関する情報(病歴等)を扱う「医療情報システム」を利用する医療機関・介護事業者等および外部委託された情報処理事業者(開発会社やデータセンター、クラウド事業者等)に対して、厚生労働省、経済産業省、総務省が定めたルールである。

「医療ガイドライン」では、医療情報システムのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を「必須項目」「推奨項目」として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目のうち、「必須項目」については最低限守るべきルールとされ、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められる内容となる。

3省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境において「医療情報システム」を運営する場合にはすべてのガイドラインの対策項目を満たす必要がある。ガイドラインを「3省3ガイドライン」と総称することもある。

①厚生労働省「医療情報システムの安全管理に関するガイドライン第5版」(2017年5月告示)
医療機関・介護事業者等が守るべきルールである。病院内システム等を含む医療機関で扱う「医療情報システム」を運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容を提示している。
第5版においては、改正個人情報保護法の施行に伴い介護事業者が本ガイドラインの対象に指定された他、IoT利用における規定の追加やBYODに関する規定の改定、クラウド環境利用時に一般的なSSL通信における規定が追加された内容となっている。
②経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(2012年10月告示)
医療機関から外部委託を受けて「医療情報システム」を運営する情報処理事業者が守るべきルールである。運営事業者の管理体制やシステムの設置場所、システム保守時のセキュリティ対策が含まれる。
③総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン第1版」(2018年7月告示)
クラウド環境等ネットワークを通じて医療機関・介護事業者等にサービスとして「医療情報システム」を提供する運営事業者が守るべきルールである。サービスを提供するにあたり、サービス提供元として対応するべきセキュリティ対策が含まれる。
従来の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」「ASP・SaaS における情報セキュリティ対策ガイドライン」に対して、広くクラウドサービス事業者を対象とし、改正個人情報保護法の施行に合わせた厚生労働省ガイドラインの改定に対応する形式で改定された。

医療機関においては、院内の医療情報システムは当然のことながら、外部事業者に委託した場合であっても管理責任を問われる立場となる。利用する外部事業者の情報システムについても、ガイドラインに準拠したセキュリティ対策がなされているか把握する必要がある。そのためには「医療ガイドライン」の内容を理解して医療情報システムの構築・運営をしている専門事業者と協働して医療情報システムの導入・運営を行うのが有用である。