日本の医療情報ガイドライン

概要

日本では全ての医療行為は医療法等で医療機関等の管理者の責任で行うことが求められており、クラウドサービスを利用する場合も、医療情報システムの構築や運用に関連して、安全かつ適切な技術的及び運用管理方法を確立し、安全管理やe-文書法の要件等への対応を行っていく必要があります。

さらに、該当するシステムで利用される医療情報は、個人情報保護法における「要配慮個人情報」に該当し、医療情報の取扱いにおいても、「収集」「保管」「破棄」を通じて、諸法令をはじめ、通知や指針等に定められている要件を満たす適切な取扱いができる仕組み作りが必要です。医療情報システムの場合には、具体的には、厚生労働省、総務省、経済産業省の3省が定めた2つの医療情報システムに関する各ガイドライン（以下「3省2ガイドライン」）に対して、必要に応じて医療情報に係る関連事業者や責任者が対策を施す必要があります。クラウド環境の導入を検討する場合には、これらのガイドラインの要求事項を整理検討し、必要となる対策項目の洗い出しや対応する情報、実施策の検討等を行う必要があります。

Amazon Web Services（以下「AWS」）は、AWS の環境において、医療情報を取り扱うシステムを構築する際に参照される各種ガイドラインに対応するための「医療情報システム向け AWS 利用リファレンス」の文書の作成にあたり、AWS パートナー各社様を支援しています。AWS は米国における HIPAA に対応した医療情報システムのクラウド基盤として多くの事業者に利用された実績を有し、セキュアで柔軟かつ低コストのクラウドサービスを実現可能なAWS環境において、医療情報システムの様々な要件に対応するため各種サービスや関連情報を提供しています。AWS はお客様の医療情報システムにおける AWS 環境の活用を今後も支援していく予定です。

医療情報システム向け AWS 利用リファレンスの入手方法

右記の AWS パートナー各社のホームページに詳細が記載されておりますのでご参照ください。

医療情報システム向け AWS 利用リファレンスのよくある質問

• 医療情報システム向け AWS 利用リファレンスとは何ですか？

  医療情報システム向け AWS 利用リファレンスとは、日本において医療情報システムの構築・運用を行う上で遵守すべき厚生労働省、総務省、経済産業省の3 省が定めた2つの医療情報システムに関するガイドライン（以下「3省2ガイドライン」）に AWS 環境上で対応するための考え方や関連する AWS の情報を、AWS パートナー各社で整理検討し作成した参照文書となります。
  

• 医療情報システムの3省2ガイドラインとは何を指していますか？

  医療情報システムの構築・運用を行う医療機関等や医療機関等から医療情報を受託管理する事業者・団体向けに医療情報の安全管理策を示した厚生労働省、総務省、経済産業省の3 省が発行するガイドラインで、具体的には以下の文書となります (2023 年 8月時点)。

  • 厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版」
    https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
    
    
  • 総務省・経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン1.1版」
    https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

  日本では全ての医療行為は医療法等で医療機関等の管理者の責任で行うことが求められており、クラウドサービスを利用する場合も、医療情報システムの構築や運用にあたっては、安全かつ適切な技術的及び運用管理方法を確立し、安全管理やe-文書法の要件等への対応を行っていく必要があります。
  

• 医療情報システム向け AWS 利用リファレンスはどこでダウンロードできますか？

  AWS パートナー各社のホームページに詳細が記載されておりますのでご参照ください。

• AWS は厚生労働省発行の「医療情報システムの安全管理に関するガイドライン」に対応していますか？

  AWS では責任共有モデルに従って、お客様や AWS パートナーの皆様の固有のシステム要件やアプリケーションの要求事項に見合う形で、どのように各種 AWS サービスをご活用いただけるかということを検討するための AWS サービスに関する情報をご提供しお客様ご自身にご判断いただいております。そのため AWS から一概に対応可否を回答しておりませんが、AWS パートナー各社作成の「医療情報システム向け AWS 利用リファレンス」を活用いただくことが可能です。AWS は米国において HIPAA に関するリスク分析やビジネスアソシエイト契約等を含めたお客様をサポートしてきた具体的実績と経験があり、そうした豊富な実績を生かし日本のパートナーの皆様と協力してお客様が具体的に判断可能となるようなサポート情報を提供しています。責任共有モデルの詳細は https://aws.amazon.com/jp/compliance/shared-responsibility-model/ を参照ください。

• AWS は総務省・経済産業省発行の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」に対応していますか？

  AWS では責任共有モデルに従って、お客様や AWS パートナーの皆様の固有のシステム要件やアプリケーションの要求事項に見合う形で、どのように各種 AWS サービスをご活用いただけるかということを検討するための AWS サービスに関する情報をご提供しお客様ご自身にご判断いただいております。そのため
  AWS から一概に対応可否を回答しておりませんが、AWS パートナー各社作成の「医療情報システム向けAWS 利用リファレンス」を活用いただくことが可能です。AWS は米国においてHIPAA に関するリスク分析やビジネスアソシエイト契約等を含めたお客様をサポートしてきた具体的実績と経験があり、そうした豊富な実績を生かし日本のパートナーの皆様と協力してお客様が具体的に判断可能となるようなサポート情報を提供しています。責任共有モデルの詳細は
  https://aws.amazon.com/jp/compliance/shared-responsibility-model/
  を参照ください。
  

• AWS 環境でグローバルにおいて医療情報を処理している例はありますか？どの国のどのような法令やガイドラインに対応したお客様の事例がありますか？

  アマゾン ウェブ サービス (AWS) 環境上は、米国の医療保険の携行性と責任に関する法律 (HIPAA) に準拠するアプリケーションを運用可能です。HIPAA で定義される患者データを管理するワークロードを実行する予定であれば、AWS 担当者から事業提携契約 (BAA) を提案させていただけます。HIPAA に関する詳細は https://aws.amazon.com/jp/health/healthcare-compliance/ 、および https://aws.amazon.com/jp/compliance/hipaa-compliance/ を参照ください。

• AWS 環境では専用サーバーを利用して医療情報を処理する必要がありますか？

  参考情報として、米国の HIPAA 準拠に関する要件では、以下のような変更がありました。2017 年 5 月 15 日より、AWS で事業提携契約 (BAA) に署名した AWS のお客様と APN パートナーは、Amazon EC2 専用インスタンスまたは専用ホストを使用して保護医療情報 (PHI) を処理する必要がなくなりました。これまでは、AWS HIPAA コンプライアンスプログラムでは、Amazon EC2 を使用して保護医療情報 (PHI) を処理したお客様は、専用インスタンスまたは専用ホストを使用する必要がありました。この要件は削除されました。HIPAAに関する詳細は https://aws.amazon.com/jp/health/healthcare-compliance/ 、および https://aws.amazon.com/jp/compliance/hipaa-compliance/ を参照ください。