医療情報システム開発における「3省2ガイドライン」と、関連する政府からの通知への対応について【第6回】

  1. 医療機関及び医療情報システムにセキュリティ対策が求められる背景
  2. 政府の動向
  3. 「3省2ガイドライン」の策定 と現状についておさらい
  4. 医療機関に対するサイバーセキュリティ確保の義務化
  5. サイバーセキュリティ対策チェックリストおよび「3省2ガイドライン」対応の一助とする確認表の公開
  6. まとめ
  7. 関連記事について
Twitter
Facebook
Hatena
医療情報システム開発における「3省2ガイドライン」と、関連する政府からの通知への対応について【第6回】

医療機関及び医療情報システムにセキュリティ対策が求められる背景

近年は医療業界においてもDX化が進み、患者情報も従来のような紙の管理ではなく、電子カルテや電子処方箋等、ネットワークを活用して電子的に管理する医療機関が増えています。
このような情報処理技術の普及に伴い、医療業界においてもサイバー攻撃が増加し、多様化しています。
政府は、3省2ガイドライン等のセキュリティ強化の取り組みを進め、医療を取り巻く環境の変化にあわせて、様々な通知を発行しています。どのように対応すればよいのか不安を感じている医療関係者もいらっしゃるのではないでしょうか。

本コラムでは、医療情報システムを提供する事業者(提供事業者)が対応するべき事項について解説します。

【関連記事】
医療情報システム開発におけるセキュリティ対策、「3省2ガイドライン」への取り組み【第2回】

まずはお気軽にご相談ください

政府の動向

政府の、医療情報システムのセキュリティに関する通知等の動向を年表にまとめました。

年度政府の動向備考
2005年3月厚生労働省「医療情報システムの安全管理に関するガイドライン 第1版」策定
2008年7月経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」策定のちに提供事業者ガイドラインに統合
2017年5月厚生労働省「医療情報システムの安全管理に関するガイドライン 第5版」策定
2018年8月総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」策定総務省のASP・SaaSに関する2つのガイドラインを統合
総称が「3省3ガイドライン」となる
のちに提供事業者ガイドラインに統合
2023年4月厚生労働省「医療法施行規則の一部を改正する省令(令和5年厚生労働省令第20号)」の施行により、サイバーセキュリティ確保を義務付け
2023年5月厚生労働省「医療情報システムの安全管理に関するガイドライン 第6版」策定
2023年6月厚生労働省「令和5年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」公表提供事業者は、「MDS/SDS」の提出も必要となった
2023年7月経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1.1版」策定
2024年6月・厚生労働省「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」公表
・厚生労働省「サイバー攻撃を想定した 事業継続計画(BCP)策定の確認表」公表
・経済産業省「医療情報システムの契約における当事者間の役割分担等に関する確認表」公表
2024年10月経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第2.0版(案)」公表

「3省2ガイドライン」の策定 と現状についておさらい

2005年3月、厚生労働省は、電子カルテの普及による医療情報の電子化に関する安全対策を目的として、医療機関向けの「医療情報システムの安全管理に関するガイドライン 第1版」(以下、「安全管理ガイドライン」)を策定しました。
その後2020年8月に、経済産業省と総務省は、提供事業者向けの「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第1版」(以下、「提供事業者ガイドライン」)を策定しました。
現在、これらの2つのガイドラインは、医療情報を取り扱うシステム全般の安全対策を目的とし、総称して「3省2ガイドライン」と呼ばれています。

この「3省2ガイドライン」については、策定から現在まで医療情報を取り巻く環境の変化やサイバー攻撃の多様化を踏まえ改訂され続けています。2024年12月現在の最新版は、「安全管理ガイドライン 第6版」、「提供事業者ガイドライン 第1.1版」となっています。

医療情報を安全に取り扱うために、医療機関は「安全管理ガイドライン」、提供事業者は「提供事業者ガイドライン」にそれぞれ対応し、準拠する必要があります。

医療機関に対するサイバーセキュリティ確保の義務化

前章の通り、政府はガイドラインを整備し、医療機関に対するセキュリティ対策を示しています。しかし、実態としては医療機関に対するサイバー攻撃は増加しており、これによる被害も発生しています。
このことから政府は、サイバーセキュリティ対策に関する取り組みの実効性を高める必要があると考え、2023年3月に「医療法施行規則の一部を改正する省令(令和5年厚生労働省令第20号)」を公布、同年4月から施行し、医療機関に対してサイバーセキュリティの確保を義務付けました。

一方、医療機関においては、サイバーセキュリティ対策がなかなか進まない状況が続いています。多くの医療機関ではIT関連の技術者が少ないため、ガイドラインを十分に理解しセキュリティ対策を進めることは難しく、何から対応すればいいのか分からない状態だと考えられます。

そこで政府は2023年6月に、セキュリティ対策において優先的に着手すべき項目を明らかにした「医療機関におけるサイバーセキュリティ対策チェックリスト」(以下、「サイバーセキュリティ対策チェックリスト」)を公表し、以降の立入検査※にて確認することを決定しました。

※立入検査
各都道府県等が医療機関に対して、適切な管理が行われていることを調査および指導する。

「サイバーセキュリティ対策チェックリスト」の項目において、提供事業者は「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」(以下、「MDS/SDS」)の提出を求められるようになりました。
「MDS/SDS」とは、医療情報システムのセキュリティ機能に関する説明の記載方法を、一般社団法人保健医療福祉情報システム工業会(JAHIS)および一般社団法人日本画像医療システム工業(JIRA)が標準書式として定めた文書です。医療機関等で使用している情報機器・システム・サービスの「安全管理ガイドライン」に対する準拠性を確認できます。
この「MDS/SDS」における確認項目には、「提供事業者ガイドライン」で対応が求められる「サービスレベル合意書(SLA)」や、「運用管理規程」の対応状況も含まれます。
そのため、提供事業者としては「MDS/SDS」だけではなく、「提供事業者ガイドライン」と併せて対応を進めていくことが重要です。

2023年以降に発行された通知についてまとめると以下の通りです。
・立入検査においてサイバーセキュリティ対策状況の確認が行われる
・医療機関および提供事業者は「サイバーセキュリティ対策チェックリスト」の実施がそれぞれ必要となった
・提供事業者は「MDS/SDS」の提出が必要になった

サイバーセキュリティ対策チェックリストおよび「3省2ガイドライン」対応の一助とする確認表の公開

医療機関および提供事業者は、「3省2ガイドライン」、「サイバーセキュリティ対策チェックリスト」への対応が必要となりますが、対応の一助とするために、政府はいくつかの確認表を公開しています。

1つ目は、厚生労働省が2024年6月に公開した、医療機関向けの「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表等」(以下、「医療機関向け確認表」)です。
サイバー攻撃は、セキュリティ対策を講じることでリスクの低減が可能ですが、リスクを完全に排除することはできません。医療機関向け確認表の目的は、サイバー攻撃をどのように防ぐかだけではなく、発生してしまった時の対応を事前に決めておくことで、適切な復旧対応等を行う準備をすることです。
医療機関向け確認表は、医療機関向けの「サイバーセキュリティ対策チェックリスト」の項目の中で求められる事業継続計画(BCP)の策定について、対応の一助となるように最低限必要な事項をチェックリストとして整理したものであり、対象は基本的に医療機関となります。

2つ目は経済産業省が2024年6月に公開した、医療機関、提供事業者向けの「医療情報システムの契約における当事者間の役割分担等に関する確認表」(以下、「医療機関、提供事業者向け確認表」)です。
近年の医療機関で発生しているセキュリティインシデントで明らかになった課題として、医療機関と提供事業者との役割分担が適切に協議されていなかったことが考えられています。
このことから、お互いの役割分担を曖昧にせず、明確にするために協議し、これらをサービスレベル合意書(SLA)等に落とし込むことが重要だと考えられます。
この協議すべき点について具体的な協議事項を整備したものが医療機関、提供事業者向け確認表です。提供事業者は、「3省2ガイドライン」の対応において、医療機関との役割分担を明確にすることが求められますが、これを行うための参考として活用できるでしょう。

まとめ

サイバーセキュリティ対策を確保するための対応として、政府から様々な通知が発行されています。
提供事業者は、まずは以下の対応を優先的に進め、医療機関に提出するための文書の整備および医療情報システムのセキュリティ対策の確保を行いましょう。

【医療情報システムの提供事業者が優先して取り組むべきセキュリティ対策】
・「サイバーセキュリティ対策チェックリスト」の作成
・「MDS/SDS」の作成
・「提供事業者ガイドライン」への準拠

富士ソフトは、提供事業者がサイバーセキュリティ対策について適切に対応するための、コンサルティングサービスを提供しています。
お客様のご要望に合わせた支援が可能です。ぜひお気軽にお問い合わせください。

詳しくはこちら

関連記事について

『医療機器の開発に取り組む富士ソフトが注目する「IEC 62304」とIoMT【第1回】』
医療情報システム開発におけるセキュリティ対策、 「3省2ガイドライン」への取り組み【第2回】
『富士ソフトの医療機器開発におけるサイバーセキュリティ対策、JIS T 81001-5-1への取り組み【第3回】』
これからの医療分野のセキュリティ対策と、富士ソフトが目指す医療機器開発ビジネス【第4回】

富士ソフトの医療機器開発におけるサイバーセキュリティ対策、MDS2への取り組み【第5回】

 

まずはお気軽にご相談ください

 

この記事の執筆者

伊藤 健Ken Ito

システムインテグレーション事業本部
インフォメーションビジネス事業部 第2技術部
第1技術グループ
課長 / フェロー

IoMT
詳しくみる

この記事の執筆者

降籏 信也Shinya Furihata

システムインテグレーション事業本部
インフォメーションビジネス事業部 第2技術部
第3技術グループ
主任 / エキスパート

IoMT
詳しくみる