医療情報システム開発におけるセキュリティ対策、「3省2ガイドライン」への取り組み【第2回】

  1. 医療機関に求められるセキュリティ対策
  2. 3省2ガイドラインとは
  3. 3省2ガイドラインの特徴と富士ソフトの対応
  4. まとめ
  5. この記事の執筆者
  6. この記事の執筆者
Twitter
Facebook
Hatena
医療情報システム開発におけるセキュリティ対策、「3省2ガイドライン」への取り組み【第2回】

前回のコラムでは、富士ソフトが医療機器の開発に取り組んできた背景や、IEC 62304という規格、そして当社のIoMTビジネスについてご紹介しました。医療機器がIoMTとしてネットワークにつながることで、これまで以上にセキュリティ対策が求められているのです。

今回は、医療情報システム開発におけるセキュリティに関する対応の中でも、「3省2ガイドライン」への取り組みについてご紹介します。

まずはお気軽にご相談ください

医療機関に求められるセキュリティ対策

医療業界においても2018年頃から、Web技術やクラウドの使用などの事例が増えてきました。近年は、医療機関へのサイバー攻撃が増加しており、セキュリティインシデント事例も数多く報告されるようになっています。

その状況から政府は、医療業界を重要インフラの一つとして定め、サイバーセキュリティ対策の義務化を公表、国を挙げてセキュリティ強化の取り組みを進めています。

医療機関では、電子カルテや電子処方箋などの多くのシステムでWeb活用やクラウド化が進んでいます。医療情報(患者の個人情報や診断診療の情報など)をクラウドなどに保存するにあたっては、当然高いセキュリティ対策が求められます。医療情報を扱う事業者が準拠すべき医療情報の保護に関するガイドラインが、厚生労働省と経済産業省・総務省から公開されている「3省2ガイドライン」です。

3省2ガイドラインとは

もともと、厚生労働省と経済産業省、総務省から公開されているガイドラインは「3省3ガイドライン」と呼ばれ、次の3つがありました。

  • 厚生労働省「医療情報システムの安全管理に関するガイドライン」
  • 経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」
  • 総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

このガイドラインのうち、厚生労働省のものは医療機関向けで、経済産業省のものは「医療情報を受託管理する事業者」、いわゆる情報処理事業者向け、総務省のものは「クラウドサービス事業者」、いわゆるクラウドベンダー向けでした。しかし、近年では医療情報はクラウド上にデータを保存、処理することが主流のため、情報処理事業者向け、クラウドベンダー向けのどちらのガイドラインも準拠が必要になり、事業者にとっては負担になっていました。

そこで、2020年8月に経済産業省と総務省のガイドラインが統合し「3省2ガイドライン」に変更され、次の2つのガイドラインになりました。

  • 厚生労働省「医療情報システムの安全管理に関するガイドライン」
  • 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」

情報処理事業者もクラウドベンダーも、医療情報を扱うシステム・サービスの提供事業者は、医療情報の漏洩を防ぎ保護するために、このガイドラインに準拠した形でのセキュリティ対策の実施が求められます。

もちろん、医療情報を扱うシステムを開発する富士ソフトのような開発ベンダーにとっては、「医療情報を取り扱う情報システム・サービスの提供事業者」向けのガイドラインが重要です。さらにシステムを開発するためのすべての情報を網羅するためには、厚生労働省の医療機関向けガイドラインも知っておくことが重要です。つまり、開発ベンダーが医療情報の保護に必要な全ての指針に対応するには、「3省2ガイドライン」の両方に取り組むことが必要なのです。

3省2ガイドラインの特徴と富士ソフトの対応

富士ソフトでは、2018年頃から「3省3ガイドライン」に取り組み、「3省2ガイドライン」にもいち早く着手しています。

このガイドラインには内容が細かく書かれています。しかし、じっくり読み解いてみると、技術的な要素については一般的なWebセキュリティ対策と同じものだと分かりました。セキュリティに関しても多くの実績がある当社にとっては、自信を持って対応できる内容でした。

当社は、「3省2ガイドライン」に準拠したソフトウェア開発だけでなく、セキュリティ対策とシステム開発のノウハウを活用して、ガイドラインに準拠するためのコンサルティングサービスも提供しています。

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、リスクマネジメントを重視し、リスクベースアプローチによるセキュリティ対策を求めています。当社は、専門家によるリスクアセスメントと、堅牢なシステム開発の支援を行います。また、ガイドラインが要求する文書はさまざまなものがあり、作成には非常に手間がかかりますが、当社は雛形やサンプルを準備していますので、活用いただくことで効率的な作業が可能です。

まとめ

昨今の政府や各省庁の働きにより、医療機関におけるセキュリティ意識は高まりを見せつつあります。医療情報システムは古くから流用・活用されているレガシーシステムも多く、本質的なセキュリティ対策が施されるにはまだ時間がかかりそうな状況です。しかし、医療情報に関わるシステムメーカーは、ガイドラインの非常に難しい対応が求められ、さらに新しい技術要素を取り入れ、効率的に、セキュアなシステムの開発に取り組んでいるのです。

今後、医療情報を扱うシステムでは「3省2ガイドライン」への準拠が求められます。政府の動きを鑑みるに、セキュリティ対策に対する要求がさらに高まることも予想されます。当社は、今後も常に市場動向を把握して時代に適したサービスを提供し続けられるよう、取り組みを進めてまいります。

富士ソフトでは、「3省2ガイドライン」についての幅広い知見を強みとして、お客様へのコンサルティングやシステム開発を支援いたします。ぜひお気軽にお問い合わせください。

詳しくはこちら

前回の記事はコチラ
『医療機器の開発に取り組む富士ソフトが注目する「IEC 62304」とIoMT【第1回】』

次の記事はコチラ
『富士ソフトの医療機器開発におけるサイバーセキュリティ対策、JIS T 81001-5-1への取り組み【第3回】』

 

まずはお気軽にご相談ください

 

この記事の執筆者

伊藤 健Ken Ito

システムインテグレーション事業本部
インフォメーションビジネス事業部 第2技術部
第1技術グループ
課長 / フェロー

IoMT
詳しくみる

この記事の執筆者

降籏 信也Shinya Furihata

システムインテグレーション事業本部
インフォメーションビジネス事業部 第2技術部
第3技術グループ
主任 / エキスパート

IoMT
詳しくみる