医療情報システムの安全管理に関するガイドラインとは?第6.0版での変更点と対応ステップも解説
目次
医療機関のデジタル化が急速に進む中、「医療情報システムの安全管理に関するガイドライン」への対応は今や大病院だけの課題ではありません。2023年5月に改定された第6.0版では、従来とは大きく異なる考え方や対策が示されています。
ただ「何から手を付けるべき分からない」と感じている医療機関は多いのではないでしょうか。現実的な対応の手がかりをつかめるよう、最新ガイドラインの要点と旧版からの変更点を整理し、対応ステップを解説します。
医療情報システムの安全管理ガイドラインとは
医療情報システムの安全管理を適切に行うためには、「医療情報システムの安全管理ガイドライン」の全体像を正しく理解する必要があります。最新の第6.0版は、医療機関が順守すべき基本的な指針ですが、その対象範囲やほかのガイドラインとの関係性について、正確に把握できている医療機関は多くないかもしれません。
まずはこのガイドラインの目的や、医療情報システムを取り巻く制度的な枠組みについて解説します。
医療情報システムの安全管理と法令対応を目的とした指針
「医療情報システムの安全管理ガイドライン」とは、医療情報システムの安全管理と関連法令への対応を目的として策定された指針です。厚生労働省が発表しているもので、2026年1月16日時点では2023年5月に改定された「第6.0版」が最新となっています。
本ガイドラインの「概説編」によれば、対象は「全ての医療情報システムの導入、運用、利用、保守及び廃棄に関わる者」です。つまり、「医療機関等(病院・クリニック・歯科医院・薬局など)」であれば規模や種類を問わず順守すべき指針と考えて間違いはありません。
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF P.1|厚生労働省』)
「3省2ガイドライン」の1つ
医療情報システムに関するガイドラインとして、「3省2ガイドライン」という言葉を耳にしたことがある人もいるでしょう。3省2ガイドラインとは、厚生労働省が策定する「医療情報システムの安全管理に関するガイドライン」、経済産業省と総務省が策定する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(クラウド事業者ガイドライン)」を総称した呼び名です。
3省2ガイドラインの1つが、「医療情報システムの安全管理に関するガイドライン」であるという位置付けとなっています。両者の主な違いは、ガイドラインを策定している省庁と対象者です。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の対象範囲は、「医療機関等との契約等に基づいて医療情報システムやサービスを提供する事業者(電子カルテのベンダーやクラウドサービス事業者など)」であり、医療機関そのものではありません。
| ガイドライン名 | 策定省庁 | 主な対象 |
|---|---|---|
| 医療情報システムの安全管理に関するガイドライン | 厚生労働省 | 病院・診療所・薬局・介護事業者 |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(クラウド事業者ガイドライン) | 経済産業省・総務省 | 医療システム・サービス提供事業者 |
このように、医療機関は厚生労働省のガイドラインを、システム事業者は経済産業省・総務省のガイドラインを参照することで、医療情報の安全管理における役割分担が明確になっています。
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF P.1|厚生労働省』)
(参考:『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン「ガイドライン概要」PDF P.4(METI/経済産業省)』)
医療情報システムの安全管理に関するガイドラインを順守すべき理由
医療情報システムの安全管理に関するガイドラインへの対応が求められる背景には、医療現場を取り巻く環境の変化と、医療情報が持つ特別な性質があります。なぜ医療機関は一般企業以上に厳格なセキュリティ対策を講じる必要があるのでしょうか。
そこには医療情報システムの役割や取り扱う情報の機微性、そして法的な義務という三つの観点が深く関わっています。それぞれの観点から、医療機関がこのガイドラインを順守すべき理由を具体的に見ていきましょう。
医療情報システムは医療の効率・正確性の向上に必須
現代の医療現場において、電子カルテをはじめとする医療情報システムは、診療の効率化と正確性の向上に欠かせない基盤となっています。医療情報システムの活用により、複数の診療科や部門が同時に患者情報へアクセスできることで、医療従事者の負担は大幅に軽減されました。
検査結果の即時共有や処方履歴の一元管理により、医療ミスのリスクも低下しています。さらに地域の医療機関同士が情報を連携することで、切れ目のない医療提供が可能になりました。
一方でこうしたシステムの普及に伴い、医療情報を狙ったサイバー攻撃も急増しています。患者の生命に直結する医療の提供が停止するリスクを考えると、医療情報システムの安全管理に関するガイドラインに基づく適切なセキュリティ対策は、もはや選択肢ではなく必須の責務といえるでしょう。
医療情報の機微性・重要性から高度なセキュリティ水準が求められる
医療機関が取り扱う情報は、診療記録や処方箋、検査結果など個人情報保護法上の「要配慮個人情報」に該当するものばかりです。病歴や既往症といった機微性の高い情報が漏えいすれば、患者のプライバシーが著しく侵害され、社会生活にも深刻な影響を及ぼします。
さらに重要なのは、医療情報の不適切な管理が患者の生命・身体に直結する点です。システム障害で必要な情報へアクセスできなくなれば、適切な診断や治療が遅れ、最悪の場合は命に関わる事態を招きます。
このため医療情報システムの安全管理に関するガイドラインでは、「機密性(許可された者のみがアクセスできる)」「完全性(情報が正確で改ざんされない)」「可用性(必要な時にいつでも利用できる)」の3要素をバランスよく確保することが求められています。
一般企業と比較しても、医療機関には高度なセキュリティ水準が要求される理由がここにあります。医療機関にとって、医療情報システムの安全管理は医療提供を継続するために欠かせない取り組みだということです。
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF P.6〜7|厚生労働省』)
関連法令でセキュリティ対応が義務付けられている
医療情報システムの安全管理は、個人情報保護法で診療記録などの要配慮個人情報の適切な取り扱いが義務付けられているほか、e-文書法と厚生労働省令などにより、診療録の電子保存には真正性・見読性・保存性の確保が求められます。
さらに、医療法施行規則第14条第2項では、病院・診療所・助産所の管理者に、医薬品医療機器等法施行規則第11条第2項では薬局の管理者に対し、それぞれサイバーセキュリティの確保について必要な措置を講じることが法令上の義務となりました。
この義務化の背景には、オンライン資格確認の原則義務化により、ほぼ全ての医療機関がマイナンバー情報を含む機微な個人情報を取り扱うようになった事情があります。医療情報システムの安全管理に関するガイドラインに基づく適切な対応は、法令順守の観点からも不可欠です。
| 法令名 | 対象 | 主な義務内容 |
|---|---|---|
| 個人情報保護法(複数条項) | 全ての医療機関 | 要配慮個人情報の適切な取り扱い |
| e-文書法(通称)および厚生労働省所管の関連省令・通知 | 電磁的記録による保存を行う医療機関・事業者 | 電磁的記録による保存を行う場合の、診療録の真正性・見読性・保存性の確保 |
| 医療法施行規則第14条第2項 | 病院・診療所・助産所の管理者 | サイバーセキュリティ確保のために必要な措置 |
| 医薬品医療機器等法施行規則第11条第2項 | 薬局の管理者 | サイバーセキュリティ確保のために必要な措置 |
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF P.6〜7|厚生労働省』)
第5.2版から第6.0版への主な変更点
第5.2版から第6.0版への改定では、医療情報システムの安全管理に関するガイドラインの構成が見直されたほか、内容も医療現場を取り巻く環境変化に即したものへと進化しました。この改定により、医療機関はより実践的な指針を参照できるようになっています。
では、具体的にどのような点が変更されたのでしょうか。主要な変更ポイントについて、詳しく見ていきましょう。
構成の大幅な変更
第6.0版では、医療情報システムの安全管理に関するガイドラインの構成が大きく変わっています。以前の第5.2版は本編と別冊編に分かれており、必要な情報を探すのに手間がかかる構成でした。これが第6.0版では、「概説編」「経営管理編」「企画管理編」「システム運用編」という4編に分冊化されています。
この変更により、立場ごとに必要な情報へアクセスしやすくなりました。 各編の内容や想定読者は以下の通りです。
| 編名 | 内容 | 想定読者 |
|---|---|---|
| 概説編 | ガイドライン全体の目的・構成、基本的な考え方 | 全読者共通 |
| 経営管理編 | 組織運営上の責任、指示・管理事項 | 経営層・管理者 |
| 企画管理編 | 組織体制整備、情報セキュリティ規程の策定 | 企画管理者 |
| システム運用編 | 情報機器・インフラの設計、実装、運用 | システム運用担当者 |
さらに第5.2版の別冊編の一部はQ&Aへ移行され、より実務的な疑問に答えやすい形式となりました。こうした構成の見直しにより、各医療機関が自院の体制や役割に応じて必要な部分を効率的に参照でき、ガイドラインの実効性が高まっています。
(参考:『医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容 P.3|厚生労働省』)
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF P.3|厚生労働省』)
外部委託・外部サービスの利用に関する考え方の整理
第6.0版では、クラウドサービスの普及などを背景として、外部委託や外部サービスの利用を前提にした安全管理の考え方が整理されています。
概説編では、外部保存について、e-文書法などの基準を満たすことを前提とすれば実施可能であることが示されました。また、適切な医療情報システム・サービス事業者へ委託することで、医療機関単独で対応する場合よりも高度なセキュリティ対策を実現できる可能性がある点にも言及されています。
さらに外部と接続するネットワーク利用に伴う情報漏えいリスクと、専門事業者によるセキュリティ対策の可能性の双方が示されており、医療機関の規模や体制に応じて外部保存の活用を検討する必要性が読み取れるでしょう。
企画管理編では、委託先として適切な事業者の選定基準や、契約時に明確化すべき責任分界点、役割分担について具体的な指針が示されました。これらを踏まえると、医療機関は自院のシステム構成や組織特性を踏まえながら、安全管理と業務運営の両立を検討することが求められていることが分かります。
(参考:『医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容 P.4|厚生労働省』)
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF、「企画管理編(Management)」PDF|厚生労働省』)
情報セキュリティに関する考え方の整理
第6.0版での変更点として、情報セキュリティに関する考え方が整理された点も挙げられます。従来の「インターネットと院内ネットワークを分離すれば安全」という境界防御型の発想だけでは、USB経由のマルウェア侵入や内部不正など、巧妙化するサイバー攻撃に対応するのは難しいのが現実です。
そこで第6.0版では、内部ネットワークであっても無条件に信頼せず、利用者や操作内容ごとにアクセスを管理する姿勢が示されています。これは一般に「ゼロトラスト」と呼ばれるセキュリティの考え方とも重なる部分があります。
システム運用編では、災害・サイバー攻撃・システム障害といった非常時への備えも明確化されました。非常時を想定したアカウント管理や、複数世代・複数手段によるバックアップの確保など、復旧を前提とした運用が求められています。
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「システム運用編(Control)」PDF|厚生労働省』)
(参考:『医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容 P.5〜6|厚生労働省』)
新たな技術や制度・規格の変更への対応
技術革新や制度変更を踏まえた対応について整理されたのも、第5.2版から第6.0版へ改定された際の変更ポイントです。オンライン資格確認の原則義務化を背景として、医療情報を取り扱うネットワークにおける安全管理の考え方が示されました。
マイナンバー情報を含む患者データを取り扱う通信においては、暗号化や適切なアクセス制御の重要性が明確化されています。
また、本人確認を要する場面における運用についても検討されました。「医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容」では、eKYC(electronic Know Your Customer)を含む本人確認手法を想定し、オンライン診療や患者ポータルの利用時などにおいて、安全性を確保するための留意点が整理されています。
これらは、特定の手法の導入を推奨するものではなく、医療機関が採用する認証方法に応じて適切な管理を行う必要性を示したものです。
医療情報システムの安全管理に関するガイドライン自体、特定の技術に依存した対策を固定化するものではなく、今後の法令改正や技術・規格の変化を踏まえて継続的に見直されていくことが前提とされています。
(参考:『医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容 P.7|厚生労働省』)
ガイドライン第6.0版への対応ステップ
医療情報システムの安全管理に関するガイドラインの内容を理解したとしても、実際に自院でどのように対応を進めればよいのか悩むケースは多いのではないでしょうか。特に中小規模のクリニックでは、専任のIT担当者を置くことが難しく、限られたリソースの中で効率的に取り組む必要があります。
そこで重要になるのが、現状把握から始める段階的なアプローチです。第6.0版への対応を無理なく進めるための実践的なステップを紹介します。
チェックリストで自院のセキュリティレベルを把握
最新のガイドラインに対応するには、まず自院のセキュリティレベルの把握から始めましょう。この工程にも医療情報システムの安全管理に関するガイドラインが役立ちます。活用できるのは、厚生労働省の公式サイトからダウンロードできる「医療機関におけるサイバーセキュリティ対策チェックリスト」
です。
チェックリスト活用時には、専用のマニュアルや「サイバーセキュリティ対策チェックリスト Q&A」も参照できるため、不明点を解消しながら現状把握を進められるでしょう。
このチェックリストは、医療機関向け・薬局向けにそれぞれ用意されており、Excel形式でもダウンロードできます。 医療機関向けのチェックリストにある医療情報システムの管理運用についての項目例は、例えば以下のようなものです。
- リモートメンテナンス(保守)している機器の有無を確認した。
- 医療機関に製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)を提出した。
- 利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定している。
ほかにも退職者のアカウント・不要なアカウントの管理、セキュリティパッチの適用有無、パスワードの管理についての項目などがあります。重要なのが、「二要素認証を実装している。または令和9年度までに実装予定である。」という項目です。2027年度までに、二要素認証を実装しなければならないことになっています。
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「医療機関におけるサイバーセキュリティ対策チェックリスト」PDF|厚生労働省』)
特性に合わせたガイドライン項目の参照
医療情報システムの安全管理に関するガイドラインは、基本的には全ての編を参照することが推奨されます。ただ、医療機関の特性によって、一部を簡略化することも可能です。
第6.0版では、医療機関の特性に応じた参照パターンが明確に示されました。ここで言う「特性」は、システム運用専任の担当者の有無と、医療情報システムがオンプレミス型かクラウドサービス型かという2つの軸で4パターンに分類したものです。医療機関の特性ごとの参照パターンを、簡単にまとめました。
| 医療機関の特性 | 参照すべき編 | 備考 |
|---|---|---|
| 専任担当者ありオンプレミス型 | 経営管理編・企画管理編・システム運用編の全て | 全編を参照し、包括的な対策が必要 |
| 専任担当者ありクラウド型 | 経営管理編・企画管理編・システム運用編(一部簡略化可) | 事業者との契約内容で運用編の一部を簡略化できる場合あり |
| 専任担当者なしオンプレミス型 | 経営管理編・企画管理編・システム運用編の全て | 「担当者」を「企画管理者」に読み替えて参照 |
| 専任担当者なしクラウド型 | 経営管理編・企画管理編・システム運用編(一部簡略化可) | 「担当者」を「企画管理者」に読み替え、契約内容で運用編の一部を簡略化できる場合あり |
自院がどのパターンに該当するかを概説編で確認することで、参照すべきガイドライン項目を効率的に把握でき、限られたリソースでも適切な安全管理体制の構築が可能になるでしょう。
(参考:『医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)「概説編(Overview)」PDF P.4〜5|厚生労働省』)
BCPの策定や段階的なセキュリティ対策の実施
医療情報システムの安全管理に関するガイドラインは、医療情報システムの安全管理を促し、医療機関の事業継続を助ける指針です。その指針に対応するには、BCP(事業継続計画)の策定が欠かせません。
サイバー攻撃によるシステム停止や自然災害時にも、患者の生命を守るため診療を継続する備えが必要です。 BCP策定は、自院で保有するIT資産を洗い出し、どのシステムが停止すると診療に致命的な影響を与えるかを評価することから始めます。電子カルテや検査システムなど優先度の高いシステムから、復旧手順や代替手段を検討しましょう。
BCPの策定だけでなく実際にセキュリティ対策も強化しなければなりませんが、一気に完璧な対策を済ませるのは簡単ではありません。段階的なセキュリティ対策として、例えばまずID・パスワード管理の職員研修から始め、IT資産管理ツールの導入、多要素認証の実装、バックアップ体制の強化といったように、自院の優先課題や着手のしやすさを考慮して進めるのが現実的です。
優先順位を付け、ステップを踏んで対策を進めることで、無理なくガイドラインへの適合性を高められます。
【関連記事:病院のBCPを策定するには。災害時に求められる役割と策定の手順】
まとめ
医療情報システムの安全管理ガイドラインは、医療の質向上に不可欠なシステムを安全に運用するための指針です。法令でもセキュリティ対応が義務化される中、最新の第6.0版では構成の刷新やゼロトラストのような考え方の導入、クラウド利用時の責任分界点など実践的な整理がなされました。
まずはガイドラインとともに用意されたチェックリストで現状を把握し、自院の特性に合わせてガイドラインを参照しながら、BCP策定や職員研修など段階的な対策を進めましょう。医療情報システムの安全管理ガイドラインへの対応が、患者情報を守り医療機関の信頼を維持することにつながります。
