Amazon Web Services ブログ

医療情報ガイドラインの改定から読み解くクラウド化

2023/08/22: 総務省、経済産業省のガイドラインについて、1.1版の情報を反映しました。

日本では全ての医療行為は医療法等で医療機関等の管理者の責任で行うことが求められています。クラウドサービスを利用する場合も、医療情報システムの構築や運用に関連して、安全かつ適切な技術的及び運用管理方法を確立し、安全管理や e-文書法の要件等への対応を行っていく必要があります。具体的には厚生労働省、総務省、経済産業省の 3 省が定めた医療情報システムに関する各ガイドラインに対して、関連事業者や責任者が要求事項を整理検討し、必要に応じて対策を施す必要があります。

2023 年 05 月 31 日に厚生労働省より「医療情報システムの安全管理に関するガイドライン第6.0版」が発表され、2023 年 07 月 07 日に総務省、経済産業省より「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン1.1版」が発表されました。

本ブログシリーズでは、ガイドラインの改定のポイントをまとめると共に AWS における医療情報システム構築における技術的なポイントについても取り上げていきます。第一弾となる本ブログでは、ガイドラインの改定内容についてまとめていきます。

1. 3 省 2 ガイドラインについて

医療情報とは、各種ガイドラインで「医療に関する患者情報(個人識別情報)を含む情報」と定義されています。一般的には患者の健康状態・診療記録・検査画像データ・麻酔記録・手術記録・調剤録など、主に医療従事者が作成・記録した医療に関連する情報全般を指します。これには、個人を特定できる情報(例:氏名、住所、電話番号など)も含まれます。
医療情報は、医療従事者が患者の病状を評価し適切な治療を提供するために必要です。しかし、医療情報は個人情報保護法における「要配慮個人情報」に分類されます。そのため、取り扱いには厳重な注意が必要です。医療情報を扱うシステムは、情報のセキュリティを保証するために高度な対策が求められます。

医療情報システムで取り扱う医療情報は、病歴等の機微性の高い情報を含む患者の個人情報である。当該情報は、適切な管理がなされなければ、患者の生命、身体の安全に直接影響を及ぼす可能性があるものであるため、慎重な取扱いが求められる。加えて、医療情報は、インフォームド・コンセントの観点からも、医療機関等と患者等との信頼関係に基づいて取り扱われるものであるため、医療機関等が行う業務の範囲内で適切に管理されることが求められる。
また、継続した医療の提供の観点からも、医療機関等の間で絶え間なく患者の医療情報が提供・共有されることが重要である。医療の継続性を支える観点からも、適切な管理の下、医療情報システムが利用され、医療情報が活用できる状態に置かれることが重要となる。

厚労省ガイドライン(概説編) p.6 より

この医療情報の安全管理について定めたのが 3 省 2 ガイドラインになります。 3 省 2 ガイドラインとは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」(以下厚労省ガイドライン)と総務省及び経済産業省の「医療情報を扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下 2 省ガイドライン)の 2 つのガイドラインの総称です。

3 省 2 ガイドラインと 2 つガイドラインがありますが、この 2 つは対象者が異なります。
厚労省ガイドラインには以下の記述があり、対象は医療情報のシステムに関わるもの全てです。医療情報システムの運用を行う医療機関の視点から、医療情報の取り扱いについて具体的な規定を設けています。これは、情報セキュリティの要素となっている「機密性」、「完全性」、「可用性」の 3 つに対応するための方法を示すもので、医療スタッフや医療機関の管理者に対する指導です。

本ガイドラインは、医療機関等において、すべての医療情報システムの導入、運用、利用、保守及び廃棄に関わる者を対象とする。

厚労省ガイドライン(概説編) p.1 より

一方で、 2 省ガイドラインでは以下の記述があり、契約に基づいて医療情報システムなどを提供する事業者などが対象となります。これらの事業者は 2 省ガイドラインで記載されているリスクマネジメントや制度上の要求事項に対応する必要があります。

本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報システム等を提供する事業者(以下、「対象事業者」という。)である。ただし、医療機関等と直接的な契約関係になくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者や、患者等の指示に基づいて医療機関等から医療情報を受領する事業者は本ガイドラインにおける対象事業者となる。

2 省ガイドライン p.6 より

また、厚労省ガイドラインでは医療情報の取り扱いに関して医療機関などに発生する責任についても言及しています。医療情報は個人情報保護法の適用対象ともなり、重大な違反行為に対する罰則も強化されています。

AWS 上で医療情報システムを構築する際にも、3 省 2 ガイドラインに対する理解は欠かせません。ここからは、各々のガイドラインの概要と改定内容についてまとめていきます。

2. 「医療情報システムの安全管理に関するガイドライン(厚労省ガイドライン)」の概要と改定内容

今回の第 5.2 版から第 6.0 版への改定により厚労省ガイドラインの全体構成が大幅に変わりました。読者類型ごとに整理されており、概説編(Overview、全読者向け)、経営管理編(Governance、意思決定・経営層向け)、企画管理編(Management、システムの安全管理者向け)、システム運用編(Control、システムの運用担当者向け)の 4 編で構成されます。また、 Q&A もあります。

厚労省ガイドライン(概説編) p.2 を元に作成

厚労省ガイドラインの概説編では、各編の目的・概要について以下のようにまとめています。

  • 概説編:本ガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編を理解する上で前提となる考え方等を示している。
  • 経営管理編:主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層を対象にしており、経営層として遵守・判断すべき事項や、企画管理やシステム運営の担当部署及び担当者に対して指示、管理すべき事項とその考え方を示している。
  • 企画管理編:主に医療機関等において医療情報システムの安全管理(企画管理、システム運営)の実務を担う担当者(企画管理者)を対象にしており、組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項や、医療情報システムの実装・運用に関してシステム運用担当者に対する指示・管理を行うに当たって遵守すべき事項とその考え方を示している。
  • システム運用編:主に医療機関等において医療情報システムの実装・運用の実務を担う担当者を対象にしており、医療機関等の経営層や企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項とその考え方を示している。

またガイドラインの中では、医療情報システムの保有場所とシステム運用専任の担当者の有無の 2 軸に基づいて分類された医療機関の特性に応じて、参照パターンを例示しています。

厚労省ガイドライン(概説編) p.4 を元に作成

この参照パターンによると、全てのパターンにおいて経営管理編は参照するものとなっています。また、「医療情報システムを医療機関等に保有し運用」(オンプレミス型)するパターン I、III では企画管理編とシステム運用編の双方すべてを参照します。「医療情報システムを医療機関等に保有しない運用」(クラウドサービス型)するパターン II、IV では企画管理編は参照し、システム運用編において参照する項目がオンプレミス型に比べると一部絞り込まれます。

厚労省ガイドライン(概説編) p.5 を元に作成

さらに、医療情報システムを取り巻く環境が刻一刻と変動していくことから、随時内容を見直す予定であることも記載されています。

また、医療機関におけるサイバーセキュリティ対策チェックリストガイドラインに対する Q&A も別紙で用意されています。

3. 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(2 省ガイドライン)」の概要と改定内容

続いては主に医療情報システムやサービス事業者を対象とする2省ガイドラインの内容について見ていきます。

2 省ガイドラインでは、「医療情報システム等の特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義する」や「セキュリティ対策の妥当性と限界について正しい共通理解と明示的な合意のもと医療情報システム等を運用するために、リスクコミュニケーションを重視する」といった文言があり、リスクベースでのアプローチやリスクコミュニケーションを重視することが明記されています。ガイドラインの第 5 章において「安全管理のためのリスクマネジメントプロセスとして、リスクマネジメントの実践による対策決定のための手順を記載」しています。

2 省ガイドラインは大きく 6 つの章に分かれています。

  • 第 1 章: ガイドラインの策定の経緯や目的、策定方針
  • 第 2 章: ガイドラインが対象とする事業者および想定される主要な医療情報システム等の提供形態について
  • 第 3 章: 医療情報の安全管理に関する業務・責任として、事業者に求められる義務と責任の考え方の整理
  • 第 4 章: 医療機関等への情報提供と合意形成の対象について
  • 第 5 章: 安全管理のためのリスクマネジメントプロセスとしてのリスクマネジメントの実践による対策決定のための手順
  • 第 6 章: 制度上の要求事項としての法令などの制度上の要求事項への遵守の観点から、事業者に対して一律の対応を求める事項について

厚労省ガイドラインでも言及されているように、医療情報システムを実装・運用するときは医療情報システムを提供する事業者とそれを利用する医療機関などで、その業務や責任を分担することも考えられます。その際に、業務や役割、責任分担などを適切に定めることが必要になります。

なお、医療情報システムの実装・運用において、医療機関等が医療情報システム・サービス事業者に委託し、その業務及び責任を分担することも考えられる。そのため、委託事業者においても本編を参照の上、医療機関等と協働する必要がある。その際、業務や役割、責任の分担の在り方については、あらかじめ両者で取り決めておくことが必要になる。

厚労省ガイドライン(概説編) p.3 より

また、今回の改定案が発表された背景には「巧妙化するサイバー攻撃、特にランサムウェアなどへの対応の必要性の高まりや、医療情報システムの普及に伴う医療情報システム提供事業者への委託などの増大とこれに基づく責任分解の明確化の要請などに対応することなど」を挙げています。「【コラム:リスクコミュニケーション不足がサイバー攻撃による被害発生の一因となった例】」が追加された他、「小型半導体メモリやクラウド上のストレージサービスの利用における考慮事項」でクラウド上でデータを保存するケースについての言及が増えているといった文言の追加・修正が行われています。

医療機関などとの情報提供と合意形成において活用できるサービス使用適合開示書などの参考例を別紙で用意されています。

4. AWS でどのように実装するか

AWS パートナーネットワークに参加しているキヤノン IT ソリューションズ株式会社さま、日本電気株式会社さま、株式会社日立システムズさま、フィラーシステムズ株式会社さま(順不同)は医療情報を取り扱うシステムを構築する際に参照される各種ガイドラインに対応するための医療情報システム向け AWS 利用リファレンスを公開しており、 AWS も作成にあたり AWS パートナー各社様を支援しています。今回のガイドラインのアップデートを受け、リファレンスの改定作業を進めています。

またセキュリティの一般的なクラウド上でのベストプラクティスを述べた AWS Well-Architected Framework のセキュリティの柱も公開しています。例えばインシデント対応についても言及されており、イベントの発生前からどのような準備ができるかについて言及しています。

まとめ

本ブログでは、3 省 2 ガイドラインの概要と今回の改定内容について簡易にまとめました。次の記事では、AWS 上で医療システムを構築する上で観点として上がる技術的課題とその取りうる選択肢について取り上げていきます。

著者について

尾原 颯 (Ohara, Soh) は AWS Japan にて主にヘルスケア系スタートアップに対して技術支援をしています。好きなサービスは Amazon SageMaker と Amazon HealthLake です。

 

 

 

片山 洋平 (Katayama, Yohei) は AWS Japan のパブリックセクターのソリューションアーキテクトです。主に医療機関をはじめとしたヘルスケア業界のお客様のソリューション構築の支援を行なっています。週末は登山を嗜んでいます。