「医療ガイドライン」とは「医療情報ガイドライン」とも呼ばれ、個人の医療に関する情報(病歴等)を扱う「医療情報システムやサービス」を利用する医療機関・介護事業者等および外部委託された情報処理事業者(開発会社やデータセンター、クラウド事業者等)に対して、厚生労働省、経済産業省、総務省が定めたルールである。
「医療ガイドライン」では、医療情報システムやサービスのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を要求事項として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目は「必須項目」「推奨項目」が定められており、「必須項目」については最低限守るべきルールであり、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められることのある内容となる。
3省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境を用いて医療機関が「医療情報システム」を利用する場合にはすべてのガイドラインの対策項目を満たす必要がある。これまで3省がそれぞれガイドラインを定めていたが、2020年8月に経済産業省・総務省によりシステムやサービスの提供事業者に対するガイドラインを統合しており、「3省2ガイドライン」と総称することもある。
|
厚生労働省 |
医療機関・介護事業者等が守るべきルールである。病院内システム等を含む医療機関で扱う「医療情報システム」を運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容を提示している。 |
|---|---|
| 総務省・ 経済産業省 |
クラウド形式で医療情報システムを提供する場合に、提供事業者が経済産業省「情報処理事業者ガイドライン」と総務省「クラウド事業者ガイドライン」(後述)の両方を参照して対応する必要が生じていることから、総務省・経済産業省において2つのガイドラインの統合・改定が図られ、2020年8月に公開された。 |
| 経済産業省 |
総務省・経済産業省ガイドラインの前身の1つである。医療機関から外部委託を受けて「医療情報システム」を運営する情報処理事業者が守るべきルールである。運営事業者の管理体制やシステムの設置場所、システム保守時のセキュリティ対策が含まれている。 |
| 総務省 |
総務省・経済産業省ガイドラインの前身の1つである。クラウド環境等ネットワークを通じて医療機関・介護事業者等にサービスとして「医療情報システム」を提供する運営事業者が守るべきルールである。サービスを提供するにあたり、サービス提供元として対応するべきセキュリティ対策が含まれる。 |
医療機関においては、院内の医療情報システムは当然のことながら、外部事業者に委託した場合であっても管理責任を問われる立場となる。利用する外部事業者の情報システムについても、ガイドラインに準拠したセキュリティ対策がなされているか把握する必要がある。そのためには「医療ガイドライン」の内容を理解して医療情報システムの構築・運営をしている専門事業者と協働して医療情報システムの導入・運営を行うのが有用である。
一方、医療情報システム・サービスを提供する事業者においては、総務省・経済産業省ガイドラインに準拠した上で、利用者となる医療機関が定める厚生労働省ガイドラインに基づく運用方針との調整が求められる。
メディエイドにおいては、これまで様々な医療クラウドを活用したサービスを提供して参りました。サービス提供にあたり、厚生労働省・経済産業省・総務省の3省2ガイドラインの内容を読み込み、同ガイドラインに沿った医療クラウドを構築してきました。
この医療クラウド構築でのノウハウを元に、医療機関でのクラウド
医療クラウドを構築されるサービス提供者の方、また医療クラウド