電子カルテにおける3省2ガイドラインとは?従来のものとの違いや制定の背景

  • HOME
  • ブログ
  • 電子カルテにおける3省2ガイドラインとは?従来のものとの違いや制定の背景

業務の効率化のため、医療分野でも電子カルテなどクラウド型のシステムが導入されていますが、サイバー攻撃により診療に大きな支障を来している例も見られます。

このような状況から、医療機関、サービス提供事業者の両者で、3省2ガイドラインに従い、セキュリティ対策を徹底する必要があります。

この記事では、3省2ガイドラインについて解説しています。

電子カルテにおける3省2ガイドラインとは?

医療情報の電子化に伴い、厚生労働省、経済産業省、総務省の3省が、情報の管理方法について、2019年に合わせて2つのガイドラインを策定しています。

これを総称して、3省2ガイドラインと呼んでいます。

1つは、厚生労働省より出され、もう1つは経済産業省と総務省から出されたガイドラインです。

それぞれのガイドラインについて説明します。

厚生労働省のガイドライン

「医療情報システムの安全管理に関するガイドライン」は、医療機関の電子的医療情報の取り扱いに係る責任者を対象にし、以下のような内容を明記しています。

  • システムを取り扱う際の責任のあり方

通常の運用における、医療情報の安全管理に関する患者への説明責任、管理責任、定期的見直しについて記載しています。また、情報漏洩などが起きた場合の対応について明記しています。

  • 医療情報システムの安全管理

システムを安全に管理するためのセキュリティに関する基準について、組織的・物理的・技術的・人的側面から明記しています。

・電子保存の要求事項

電子保存の要求事項では、医療情報の真正性・見読性・保存性を確保するうえでの考え方などを確認できます。

参考:医療情報システムの安全管理に関するガイドライン 第 5.2 版 本編

経済産業省のガイドライン

「医療情報を取り扱う情報システム・サービス事業者における安全管理ガイドライン」には、システムやサービスの提供者が順守すべき、以下のような内容が記載されています。

  • 医療情報の安全管理に関する義務・責任

法律に基づいた、医療機関とシステム提供者の義務・責任が記載されています。

  • 医療機関との合意

医療機関へ提供すべき情報の項目や、運用管理を踏まえた役割分担の明確化について、まとめられています。

  • リスクマネジメントプロセス

 システムを使用する際に考えられるリスクに対して、適切に対処するためのプロセスが記載されています。

3省2ガイドラインが制定された背景

近年、医療現場では、働き方改革や医療業界の人手不足などの影響で、業務効率化アップを目的としたITツールの導入・運用が進んでいます。

とくに電子カルテは、政府が標準化を目指していることもあり、普及率が高まっているのが現状です。

業務を効率化することで、医療サービスの質向上やスピードアップを見込めるため、ITの活用は歓迎すべき技術の1つです。

一方で、扱われる情報は、極めて重要な個人情報を含んでおり、さまざまな法令を守りながら運用する必要があり、管理する側には大きな責任が求められます。

このような背景から3省2ガイドラインが制定されたのです。

3省3ガイドラインとの違い

近年多くのサービスでクラウドの利用が前提となり、経済産業省と総務省のガイドラインを1つに統合されました。

統合されたことで確認すべきガイドラインの数が減り、医療機関・情報処理ベンダーの負担が軽減されています。

また、改正後は「リスクベースアプローチ」の方針が取られ、各ベンダーが提供するシステムやサービスのセキュリティリスクに応じた、適切な対応策を柔軟に選べるようになっています。

さらに、医療情報システム特有のリスクに対応した、リスクマネジメントプロセスが定められました。これにより、ベンダーは医療機関に対して統一された対応が可能になったのです。

医療機関におけるサイバー攻撃の事例

近年、医療機関を標的にした、コンピューターウイルスなどによるサイバー攻撃が後を絶ちません。

その被害は大きく、場合によっては長期の診療停止に追い込まれることもあり、セキュリティ対策の強化は急務です。また、職員の意識を高めることも重要な対策の一つでもあります。ここでは、実際にサイバー攻撃に遭った医療機関の事例をいくつか紹介します。

2018年奈良県の事例

奈良県の宇陀市立病院で発生したのは、身代金要求型のランサムウェア攻撃でした。

コンピューターをロックしたり、ファイルを暗号化したりして使用不能にするウイルスです。この攻撃により、電子カルテシステムが全く使用できなくなり、病院はサーバーを停止させて対応しています。

電子カルテの復旧まで、紙カルテで運用して診療をつないだと報告されています。

原因は、職員が私物のパソコン・ネットワークを接続しないというルールを守らなかったことが原因の1つです。

2019年東京都の事例

多摩北部医療センターでは、職員端末、またメールアカウントが不正アクセスを受け、職員の氏名を使用した、マルウェアファイルを添付した、いわゆる「なりすましメール」が送信される被害が発生しました。

マルウェアファイルは不正かつ有害に動作させることを意図して作成された悪意あるファイルです。

この不正アクセスの原因は、職員へのメールの添付ファイル開封によるマルウェア感染だったとされています。

2020年福島県の事例

福島県立医科大学附属病院では、2017年8月以降コンピューターウイルスによる検査機器の不具合が複数の部署で発生していたことを公表しました。身代金要求やデータの流出は認められていないものの、CTの画像を保存できないなどの不具合が続いたのです。

院内のシステムはインターネットとは接続されていないため、私用端末など外部の端末経由で感染した可能性が示唆されました。

私用端末は徹底したセキュリティ対策が取れていない可能性があります。このため、病院の情報システムに外部からアクセスしないような、環境づくりが必要でしょう。

MEDIBASEは3省2ガイドラインに対応しています

「MEDIBASE」は自由診療に特化したクラウド型の電子カルテで、3省2ガイドラインに対応しています。

データは、すべてデータセンターでお預かりしますが、外部からはアクセスできないように対応しているため、情報漏洩などの心配はありません。

また、システムは自動的にアップデートされるため、常に最新の状態の機能がついたシステムをご利用いただけます。

データセンターは24時間、有人監視の体制なのでサーバー障害時にも即座に対応することができます。

電子カルテの導入でお困りの方は、ぜひ一度ご相談ください。