3省3ガイドラインとは?内容やCLINICSカルテの対応状況を詳しく解説

安心・安全のセキュリティ

3省3ガイドラインとは

医療情報を電子的に扱う際の安全管理の観点から、厚生労働省、経済産業省、総務省の3省が策定した3つのガイドラインを、まとめて3省3ガイドラインといいます。3省3ガイドラインは以下の3つで構成されています。

厚生労働省のガイドラインは、病院、一般診療所、薬局など医療機関向けのガイドラインです。
経済産業省と総務省のガイドラインは、医療情報を取り扱うクラウドサービス事業者・情報処理事業者を対象としています。

2010年に厚生労働省によって「診療録等の保存を行う場所について」の一部改正が通知されるまで、電子化された診療録は、医療機関や医師会・自治体など医療機関に準ずる場所に設置されたサーバで管理されていました。
しかし、この改正により、一定の基準を満たした民間業者が運用するサーバで管理することが認められました。

医療分野のクラウドサービス利用が解禁された一方で、「要配慮個人情報」である医療情報を取り扱うクラウドサービスは、非常に高い品質のセキュリティが求められます。
そのため、厚生労働省、経済産業省、総務省の3省が、医療機関および医療情報を取り扱うクラウドサービス事業者・情報処理事業者に対するガイドラインをそれぞれで策定し、医療分野においてクラウドサービスを利用する際のルール・守るべき規範を公開しています。

3省3ガイドラインは医療分野における安全・安心なクラウドサービスの利用の促進を目的とし、3省がガイドラインを定めて協力して監督を行っています。
医療情報システムを運用する医療機関などの管理者は善管注意義務を果たす必要があるため、3省3ガイドラインについて把握しておくことが推奨されます。

医療機関においてクラウドサービス導入を検討したり、クラウドサービス業者を選定したりする際は、候補となる業者が3つのガイドラインに対し、それぞれどのように対応しているかを確認されることをおすすめします。
なぜなら、ガイドライン自体に罰則はありませんが、ガイドラインに違背した状態は、法令を遵守していないとみなされる可能性が十分にあるためです。
「ORCA」を提供している日本医師会ORCA管理機構では、ORCAと連携する電子カルテについて3省3ガイドラインを満たしているかどうかを評価できる体制を整備しており、そうした第三者機関の評価を参考にするのもいいでしょう。

株式会社メドレーのCLINICSカルテは、3省3ガイドラインに準拠しています。それぞれのガイドラインにどのように対応しているかについては、次項をご確認ください。

善管注意義務

 

善管注意義務とは、民法第644条【受任者の注意義務】で定められた、「善良な管理者の注意義務」のこと。医師は善良な管理者として、患者に対して最善の注意をもって診療をする義務を負う。

要配慮個人情報

 

要配慮個人情報とは、不当な差別、偏見その他の不利益が生じないようにその取り扱いに特に配慮を要する個人情報のこと。診療・調剤情報、健康診断の結果、障害、ゲノム情報などの医療情報は、2017年の改正個人情報保護法で要配慮個人情報に定義された。

ORCA

 

日本医師会が提供する、日医標準レセプトソフト(日レセ)のこと。

3省3ガイドラインの詳細

3省3ガイドラインの詳細を個別に解説し、それぞれのガイドラインにCLINICSカルテがどのように対応しているのかについても説明します。

「医療情報システムの安全管理に関するガイドライン」とは

厚生労働省の「医療情報システムの安全管理に関するガイドライン(第5版)」は、病院、一般診療所、薬局など医療機関が遵守すべきガイドラインです。

本ガイドラインは、医療情報システムの安全管理やe-文書法に適切に対応するためのセキュリティ対策を提示しています。

医療情報システムを運営するための組織体制や設置基準、外部委託時に事業者と定める内容などが示されていますが、中にはシステムの通信方式や利用者の認証方式などについて詳細に記載されている部分もあり、実際には医療機関にシステムを納入する民間業者が対応するべき内容も含まれています。

電子カルテが守らなくてはならない3つの基準として有名な「電子保存の三原則」についても、本ガイドラインに明記されています。

e-文書法

 

e-文書法とは、従来法令により書面(紙)での保存が義務付けられていた法定保存文書を、電子データで保存することを容認する法律のこと。

電子保存の三原則

 

電子保存の三原則とは、電子的にカルテを保存・管理する場合に満たさなければならない、「真正性」「見読性」「保存性」の3つの基準のこと。

CLINICSカルテの対応状況

株式会社メドレーのCLNICSカルテにおいては、e-文書法で要求されている事項を列挙した「最低限のガイドライン」だけでなく、「推奨されるガイドライン」にも対応しています。
「最低限のガイドライン」の例としては、下記のような通信方式に関する事項があります。

 

「最低限のガイドライン」

  • オープンなネットワークを介してHTTPSを利用した接続を行う際、IPsecを用いたVPN接続などによるセキュリティの担保を行っている場合を除いては、SSL/TLSのプロトコルバージョンをTLS1.2のみに限定した上で、クライアント証明書を利用したTLSクライアント認証を実施。
  • SSL暗号化通信と電子証明書を使用して安全な通信を確立。

 

「推奨されるガイドライン」では、電子カルテとして満たすべき事項が多数記載されています。
株式会社メドレーのCLNICSカルテが遵守している「推奨されるガイドライン」の例としては、下記のような事項があります。

 

「推奨されるガイドライン」

  • ID/パスワードを一定回数誤入力した場合にしばらく不応時間を設けること。
  • ID/パスワードの入力失敗回数が一定数を越えるとそのID/パスワードをロックする機能を有すること。
  • パスワードが8文字以上であること。
  • アクセスログ(利用者のログイン開始時刻、ログインしていた時間、ログイン中に操作した患者の特定)および操作ログの記録を行うこと。
  • 記憶・生体計測・物理媒体のいずれか2つ以上の要素を含んだ認証を実装すること。(CLINICSカルテにおいては記憶認証と物理媒体認証を実装)

「医療情報システムの安全管理に関するガイドライン」の改定履歴

「医療情報システムの安全管理に関するガイドライン」の第1版は2005年3月に発出されました。2013年10月に公表された第4.2版に至るまでは基本的な部分は変わらず、医療を取り巻くIT環境の変化に合わせた項目の追加・改変が行われています。
2016年3月に「電子処方せんの運用ガイドライン」が発出されたことを受け、本ガイドラインにおける関連項目が改正されて第4.3版が公表されました。

2017年5月に公表された第5版では、同年施行された改正個人情報保護法や、それに伴い定められた「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」への対応、地域医療連携、在宅医療、地域包括ケアの普及に伴う多職種連携システムへの対応などから大幅に改定されています。
また、医療機関などを対象とするサイバー攻撃の多様化・巧妙化やIoT(モノのインターネット)の普及などの技術の進展を踏まえ、スマートフォンなどのモバイル端末で医療情報を取り扱う際のセキュリティ対策が整理されました。

2020年3月時点では第5版が最新版となりますが、2020年度には「医療情報システムの安全管理に関するガイドライン(第6版)」が公表される方針です。

「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」とは

経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン(第2版)」は、医療情報を受託管理する情報処理事業者(具体的にはデータセンターなど)が遵守すべきガイドラインです。
前述の厚生労働省のガイドラインを、情報処理事業者の観点から追加・補強しています。

本ガイドラインが策定される以前、医療情報はその性質や利用方法などの理由から、特に厳しく取り扱いに注意する必要があると指摘されていました。
しかし、医療情報受託者には「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」の規定しか適用されていませんでした。

「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」は多種多様な業種を対象として策定されたガイドラインです。
そのため、機微性の高い医療情報を取り扱う医療情報受託者に対しては、より高いレベルでの安全管理措置が求められました。

このような経緯から2008年に経済産業省より発出されたのが本ガイドラインです。
本ガイドラインでは、情報処理事業者が預かっている医療情報などの安全性を確保するために実装するべき具体的なセキュリティ対策が提示されています。

たとえば、「データセンターが物理的に離れて複数ある」「障害発生時においても業務を継続できるよう、代替機器の準備、バックアップ施設の設置などの対策を実施する」といったセキュリティ対策が例として挙げられます。

CLINICSカルテの対応状況

株式会社メドレーのCLNICSカルテにおいては、Amazon Web Services(AWS、アマゾン ウェブ サービス)を採用しています。
AWSでは、医療情報システムに関する各ガイドラインにAWS環境上で対応するための考え方や関連情報を、AWSパートナー各社で整理検討して作成した参照資料として「医療情報システム向け AWS 利用リファレンス」を公開しています。
詳細はAWS「日本の医療情報ガイドライン」をご確認ください。

「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」の改定履歴

「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」は2012年に第2版が公表されました。
この改定では、2009年の「医療情報システムの安全管理に関するガイドライン(第4版)」「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」、2010年の「医療情報システムの安全管理に関するガイドライン(第4.1版)」「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1.1版)」への対応と、IT技術の進歩への対応として、全般的な内容の見直し・最新化が行われました。

2020年3月時点では第2版が最新版となりますが、今後、総務省・経済産業省の共催会議において、事業者向けガイドラインの整理・統合が検討されています。

ASP

 

ASPとは、「Application Service Provider(アプリケーション サービス プロバイダ)」の略で、インターネット経由でソフトウェアやソフトウェア稼働環境を提供する事業者のこと。

SaaS

 

SaaSとは、「Software as a Service(ソフトウェア アズ ア サービス)」の略で、インターネット経由で必要な機能を必要な分だけ選択して利用できるソフトウェア、もしくはその提供形態のこと。

「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」とは

総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」は、クラウドサービス事業者が遵守すべきガイドラインです。
前述の厚生労働省のガイドラインを、クラウドサービス事業者の観点から追加・補強しています。

本ガイドラインでは、医療情報を取り扱う際の責任やセキュリティ対策に関する要求事項、医療機関とのコンセンサスの考え⽅など、主にクラウドサービス事業者が構築すべき組織体制が提示されており、通信方式などが詳細に定められているわけではありません。

オンライン診療システムを提供するクラウドサービス事業者が対応すべき要求事項や、PHR(Personal Health Record、パーソナル ヘルス レコード)を提供するクラウド事業者への要求事項などについても整理し、必要なセキュリティ対策が提示されています。

さらに、機微性の高い医療情報が特に厳しいセキュリティ対策を要することから、本ガイドラインではデータセンターなどの情報処理事業者がプライバシーマーク認定・ISMS認証などの公正な第三者機関による認証を取得することが必須であると明記されました。

クラウドサービス事業者においても、第三者認証の取得が望ましいとされています。

PHR

 

PHRとは、「Personal Health Record(パーソナル ヘルス レコード)」の略で、複数の医療機関に散らばる個人の健康情報を1カ所に集めて管理する仕組みのこと。「生涯電子カルテ」とも呼ばれる。

CLINICSカルテの対応状況

株式会社メドレーのCLINICSカルテにおいては、個人情報保護の認証マークである「TRUSTe」だけでなく、ISMSクラウドセキュリティ認証「ISO/IEC 27017:2015」、ISMS認証「ISO/IEC 20770:2013」を取得しています。

当社が提供するクラウドサービスの情報セキュリティ水準や管理体制が、国際標準規格に適合したものであると第三者機関に認められています。

 

詳しくは、「ISMSクラウドセキュリティ認証」とは?をご確認ください。

「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」の改定履歴

「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」は、総務省が2008年に策定した「ASP・SaaSにおける情報セキュリティ対策ガイドライン」と同省が2010年に策定した「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」が、クラウドサービスの普及と技術の進展を踏まえて2018年に見直され、1つのガイドラインに整理・統合された結果、策定されました。
これにより、「3省4ガイドライン」が、現状の「3省3ガイドライン」へと集約化されています。

今後は「3省2ガイドライン」に

総務省の「医療情報安全管理関連ガイドライン検討ロードマップ」によると、総務省と経済産業省は共済会議において、2019年度中に「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」と「医療情報を受託管理する情報処理事業者における安全管理ガイドライン(第2版)」の整理・統合を検討しています。
これが実現されると、現行の3省3ガイドラインが「3省2ガイドライン」へ集約化されることになります。
さらに、厚生労働省の「医療情報システムの安全管理に関するガイドライン(第5版)」との整合性確保も検討するとのことです。

こちらに関しては、公式発表があり次第、随時更新していきます。

患者とつながるクラウド電子カルテで 効率的な診療業務をはじめませんか

お問い合わせはこちらから
詳しい資料を無料でダウンロード
無料デモ体験の申し込みはこちら
株式会社メドレー CLINICS事業部
受付時間 10:00~19:00(土日祝・年末年始休み)