令和5年3月23日、第16回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループが開催され、「医療情報システムの安全管理に関するガイドライン」第6.0版が了承されると共に、今後のタイムライン等について明らかにされた。
「医療情報システムの安全管理に関するガイドライン」第6.0版では、オンライン資格確認の原則義務化も始まり外部との接続が当たり前となる環境に合わせて、全体構成の見直しが行われている。当初は4月1日に施行する予定であったが、5月中旬へと変更された。1月にもパブリックコメントの募集があったが、改めてパブリックコメントの募集を行うこととなる。
今回の見直しでは構成が大きく変わる。経営者層に向けた「経営管理編」、システム運用管理者に向けた「企画管理編」、運用担当者に向けた「システム運用編」の3編で構成されている。そして、各パート(編)を読むためのガイダンスとしての「概説編」が付されている。また、医療機関によっては専任のシステム運用担当者がいないケースも少なくないし、システムの種類や運用ルールに違いもある。そこで、ガイドラインの読み方に関するガイダンスも付されているのがポイントだ。
さらに、読みやすさ・使いやすさを意識しして「Q&A」「小規模医療機関向けガイダンス」「医療機関等におけるサイバーセキュリティ」も用意されている。今回、施行が遅れたのは、こうした丁寧な準備があってのことだ。
また、本年4月1日より都道府県が行う病院立入検査(医療法第25条第1項・第3項に基づくもの)にてサイバーセキュリティ対策実施の有無をチェックする医療法施行規則改正が行われる予定となっており、順調にいけば本年6月以降の立入検査から実施される見通しだ。そこで、厚生労働省では「サイバーセキュリティ対策に関するチェックリスト」を作成し、その案を公表している。立入検査の実施方法も含め、チェックリストの内容も詰められる。
電子カルテをはじめとする医療情報システムの専門・専任が少ないのが現状だといえる。そのため、医療機関よりもメーカーやベンダーの利便性が重視された対応となっているケースも目にすることがある。医療機関には、最も重要なプライバシー情報である病気・健康情報が集まっている。今後はさらに、オンライン資格確認を通じて、どこからでもアクセスして、重要なプライバシー情報を入手することができる時代になる。あまり、補助金・助成金というのは自立(自律)した経営を行っていく上では極力頼らないのが好ましいと思うが、システム運用の専門については、何らかの支援が当面は必要なように思う。診療報酬等による新たな評価の創設も一つの方法だ。