令和5年4月18日、総務省は「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」を公表し、パブリックコメントの募集を開始した。「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は令和2年8月に従来あった「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」(総務省)と「医療情報を受託管理する情報処理事業者における安全管理ガイドライン(第2版)」(経済産業省)を見直して統合、改定されてきたもの。 今回の見直しは、先にご紹介している医療情報安全管理ガイドライン第6.0版への対応といえる内容。なお、本ガイドラインの対象は医療機関ではなく提供事業者に関するものだが、医療機関としても事業者とのコミュニケーションを図るうえで、また先にご紹介した医療情報安全管理ガイドライン第6.0版でもキーワードとなっている責任分界を明確するためにもポイントは押さえておきたい。
改定のポイントはセキュリティ対策に関する点に集中する。責任分界という言葉がキーワードになっているように、事業者と医療機関とのリスクコミュニケーション(リスク分析の全過程において、リスク評価者、リスク管理者、消費者、事業者、研究者、その他の関係者の間で、情報および意見を相互に交換すること)の在り方など特に強調して記載されている。実際の実例もコラム形式で掲載されている。
事故が発生した場合の対応、初動体制などもリスクマネジメントの観点では重要だ。今回の見直しでは、医療機関と事業者との間での規程を作り、どういった内容を盛り込むかについても記載がある。
今回の見直しについては、FAQとして概要解説版も合わせて公開されている。ボリュームのあるガイドラインだが、読みこなすためのポイントがあることで助けになる。医療情報安全管理ガイドライン第6.0版でも同様だった。
医療情報サービスについては、医療機関と事業者が適宜コミュニケーションをとりながら、先手を打った対応をしていくことが必要だ。とはいえ、情報システムはやはり難しい。今後は、医療機関内でもITパスポートの資格取得や取得しないまでもテキストを利用した院内研修などの機会を作り、医療機関から事業者に歩み寄っていくことも必要になると感じる。
参考)
情報セキュリティを巡る制度の整理② ~セキュリティに関する法制度~
2023年6月以降の立入検査より「サイバーセキュリティ対策の確認」が実施される見通し
なお、ガイドラインの中に以下の内容があったので紹介する。よくありがちな個人情報漏洩事故の対策として改めて院内でも周知・徹底を。