医療情報を電子的に扱う際の安全管理の観点から、厚生労働省、経済産業省、総務省の3省が策定した3つのガイドラインを、まとめて3省3ガイドラインといいます。3省3ガイドラインは以下の3つで構成されています。

厚生労働省のガイドラインは、病院、一般診療所、薬局など医療機関向けのガイドラインです。
経済産業省と総務省のガイドラインは、医療情報を取り扱うクラウドサービス事業者・情報処理事業者を対象としています。

2010年に厚生労働省によって「診療録等の保存を行う場所について」の一部改正が通知されるまで、電子化された診療録は、医療機関や医師会・自治体など医療機関に準ずる場所に設置されたサーバで管理されていました。
しかし、この改正により、一定の基準を満たした民間業者が運用するサーバで管理することが認められました。

医療分野のクラウドサービス利用が解禁された一方で、「要配慮個人情報」である医療情報を取り扱うクラウドサービスは、非常に高い品質のセキュリティが求められます。
そのため、厚生労働省、経済産業省、総務省の3省が、医療機関および医療情報を取り扱うクラウドサービス事業者・情報処理事業者に対するガイドラインをそれぞれで策定し、医療分野においてクラウドサービスを利用する際のルール・守るべき規範を公開しています。

3省3ガイドラインは医療分野における安全・安心なクラウドサービスの利用の促進を目的とし、3省がガイドラインを定めて協力して監督を行っています。
医療情報システムを運用する医療機関などの管理者は善管注意義務を果たす必要があるため、3省3ガイドラインについて把握しておくことが推奨されます。

医療機関においてクラウドサービス導入を検討したり、クラウドサービス業者を選定したりする際は、候補となる業者が3つのガイドラインに対し、それぞれどのように対応しているかを確認されることをおすすめします。
なぜなら、ガイドライン自体に罰則はありませんが、ガイドラインに違背した状態は、法令を遵守していないとみなされる可能性が十分にあるためです。
「ORCA」を提供している日本医師会ORCA管理機構では、ORCAと連携する電子カルテについて3省3ガイドラインを満たしているかどうかを評価できる体制を整備しており、そうした第三者機関の評価を参考にするのもいいでしょう。

株式会社メドレーのCLINICSカルテは、3省3ガイドラインに準拠しています。それぞれのガイドラインにどのように対応しているかについては、次項をご確認ください。

3省3ガイドラインの詳細を個別に解説し、それぞれのガイドラインにCLINICSカルテがどのように対応しているのかについても説明します。

厚生労働省の「医療情報システムの安全管理に関するガイドライン（第5版）」は、病院、一般診療所、薬局など医療機関が遵守すべきガイドラインです。

本ガイドラインは、医療情報システムの安全管理やe-文書法に適切に対応するためのセキュリティ対策を提示しています。

医療情報システムを運営するための組織体制や設置基準、外部委託時に事業者と定める内容などが示されていますが、中にはシステムの通信方式や利用者の認証方式などについて詳細に記載されている部分もあり、実際には医療機関にシステムを納入する民間業者が対応するべき内容も含まれています。

電子カルテが守らなくてはならない3つの基準として有名な「電子保存の三原則」についても、本ガイドラインに明記されています。

「医療情報システムの安全管理に関するガイドライン」の第1版は2005年3月に発出されました。2013年10月に公表された第4.2版に至るまでは基本的な部分は変わらず、医療を取り巻くIT環境の変化に合わせた項目の追加・改変が行われています。
2016年3月に「電子処方せんの運用ガイドライン」が発出されたことを受け、本ガイドラインにおける関連項目が改正されて第4.3版が公表されました。

2017年5月に公表された第5版では、同年施行された改正個人情報保護法や、それに伴い定められた「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」への対応、地域医療連携、在宅医療、地域包括ケアの普及に伴う多職種連携システムへの対応などから大幅に改定されています。
また、医療機関などを対象とするサイバー攻撃の多様化・巧妙化やIoT（モノのインターネット）の普及などの技術の進展を踏まえ、スマートフォンなどのモバイル端末で医療情報を取り扱う際のセキュリティ対策が整理されました。

2020年3月時点では第5版が最新版となりますが、2020年度には「医療情報システムの安全管理に関するガイドライン（第6版）」が公表される方針です。

経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン（第2版）」は、医療情報を受託管理する情報処理事業者（具体的にはデータセンターなど）が遵守すべきガイドラインです。
前述の厚生労働省のガイドラインを、情報処理事業者の観点から追加・補強しています。

本ガイドラインが策定される以前、医療情報はその性質や利用方法などの理由から、特に厳しく取り扱いに注意する必要があると指摘されていました。
しかし、医療情報受託者には「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の規定しか適用されていませんでした。

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」は多種多様な業種を対象として策定されたガイドラインです。
そのため、機微性の高い医療情報を取り扱う医療情報受託者に対しては、より高いレベルでの安全管理措置が求められました。

このような経緯から2008年に経済産業省より発出されたのが本ガイドラインです。
本ガイドラインでは、情報処理事業者が預かっている医療情報などの安全性を確保するために実装するべき具体的なセキュリティ対策が提示されています。

たとえば、「データセンターが物理的に離れて複数ある」「障害発生時においても業務を継続できるよう、代替機器の準備、バックアップ施設の設置などの対策を実施する」といったセキュリティ対策が例として挙げられます。

「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」は2012年に第2版が公表されました。
この改定では、2009年の「医療情報システムの安全管理に関するガイドライン（第4版）」「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」、2010年の「医療情報システムの安全管理に関するガイドライン（第4.1版）」「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン（第1.1版）」への対応と、IT技術の進歩への対応として、全般的な内容の見直し・最新化が行われました。

2020年3月時点では第2版が最新版となりますが、今後、総務省・経済産業省の共催会議において、事業者向けガイドラインの整理・統合が検討されています。

総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン（第1版）」は、クラウドサービス事業者が遵守すべきガイドラインです。
前述の厚生労働省のガイドラインを、クラウドサービス事業者の観点から追加・補強しています。

本ガイドラインでは、医療情報を取り扱う際の責任やセキュリティ対策に関する要求事項、医療機関とのコンセンサスの考え⽅など、主にクラウドサービス事業者が構築すべき組織体制が提示されており、通信方式などが詳細に定められているわけではありません。

オンライン診療システムを提供するクラウドサービス事業者が対応すべき要求事項や、PHR（Personal Health Record、パーソナル ヘルス レコード）を提供するクラウド事業者への要求事項などについても整理し、必要なセキュリティ対策が提示されています。

さらに、機微性の高い医療情報が特に厳しいセキュリティ対策を要することから、本ガイドラインではデータセンターなどの情報処理事業者がプライバシーマーク認定・ISMS認証などの公正な第三者機関による認証を取得することが必須であると明記されました。

クラウドサービス事業者においても、第三者認証の取得が望ましいとされています。

「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」は、総務省が2008年に策定した「ASP・SaaSにおける情報セキュリティ対策ガイドライン」と同省が2010年に策定した「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」が、クラウドサービスの普及と技術の進展を踏まえて2018年に見直され、1つのガイドラインに整理・統合された結果、策定されました。
これにより、「3省4ガイドライン」が、現状の「3省3ガイドライン」へと集約化されています。

総務省の「医療情報安全管理関連ガイドライン検討ロードマップ」によると、総務省と経済産業省は共済会議において、2019年度中に「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン（第1版）」と「医療情報を受託管理する情報処理事業者における安全管理ガイドライン（第2版）」の整理・統合を検討しています。
これが実現されると、現行の3省3ガイドラインが「3省2ガイドライン」へ集約化されることになります。
さらに、厚生労働省の「医療情報システムの安全管理に関するガイドライン（第5版）」との整合性確保も検討するとのことです。

こちらに関しては、公式発表があり次第、随時更新していきます。