「3省2ガイドライン」とは、厚生労働省、経済産業省、総務省が作成した、医療情報を保護するためのガイドラインのことです。本記事では厚生労働省のガイドラインと経産省・総務省のガイドライン双方について、医療情報を扱う企業が知っておくべきポイントを交えて紹介します。また、医療業界におけるサイバー脅威についても、実際のインシデント事例と併せて解説します。
3省2ガイドラインとは?
3省2ガイドラインの概要
3省2ガイドラインとは、医療情報を扱う事業者向けの、医療情報を保護するためのガイドラインのことです。ここでいう3省とは厚生労働省、経済産業省、総務省のことを指し、具体的には、厚生労働省の「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」をまとめて「3省2ガイドライン」と呼んでいます。医療に関する情報を扱う事業者は、例外なくこれらのガイドラインに準拠する必要があります。
もともとは、厚生労働省、経済産業省、総務省がそれぞれ1つずつガイドラインを策定していました(「3省3ガイドライン」)。しかし2021年8月に経済産業省と総務省のガイドラインが統合されたため、「3省2ガイドライン」と呼ばれるようになりました。
ガイドライン制定の背景
近年、電⼦カルテをはじめとする医療情報(※)を活⽤したシステムは発展を続けており、患者にとっての利便性や医療の質を⾼めることに貢献してきました。ただ、ソーシャルネットワークやネット通販などさまざまな情報サービス事業においてシステムの脆弱性を突いた事件が起きていることを踏まえると、最も重要な個⼈情報のひとつである医療情報においては、システムの安全性が特に強く求められると言えます。
こうした背景から、医療関連の情報システム・サービスを実際に利用する病院などの医療機関と、システム・サービスを提供する側の事業者(ベンダー)に向けて、安全管理のための対策や手引きを記載したガイドラインが制定されることとなりました。厚生労働省のガイドラインが主に医療機関向け、経済産業省・総務省のものが主にベンダー向けとなっています。
※両ガイドラインにおける「医療情報」の定義は同一で、「医療に関する患者情報(個人識別情報)を含む情報」とされています。これには、医療従事者が作成・記録した情報のほか、医療従事者の指示に基づき介護事業者が作成・記録した情報も含まれます。
その他の医療関連ガイドラインおよび関連法規
3省2ガイドライン以外にも、医療業界のセキュリティ関連ガイドラインには以下のようなものがあります。
・厚生労働省「オンライン診療の適切な実施に関する指針」
・厚生労働省「電子処方箋の運用ガイドライン」
・厚生労働省「オンライン資格確認等、レセプトのオンライン請求及び健康保険組合に対する社会保険手続きに係る電子申請システムに係るセキュリティに関するガイドライン」
・個人情報保護法
・e-⽂書法
・医療法
・医師法 等
厚生労働省のガイドライン
ではまず、厚生労働省策定の「医療情報システム(※)の安全管理に関するガイドライン」について見ていきましょう。
※ここでの「医療情報システム」とは、医療機関等のレセプト作成用コンピュータ(レセコン)、電子カルテ、オーダリングシステムといった、医療事務や診療を支援するシステムのことです。これらに加え、何らかの形で患者の情報を保有するコンピューター、遠隔で患者の情報を閲覧・取得するようなコンピューターや携帯端末も範疇として想定されています。また、患者情報が通信される院内・院外ネットワークも含まれます。
ガイドラインの概要
患者の電⼦カルテなどの医療情報を適切に管理するために国が定めたガイドラインで、個⼈情報保護法、e-⽂書法、医療法、医師法などを根拠として作成されています。技術的な記載の陳腐化を避けるために定期的に改定されており、最新版は、2022年3月に公開された第5.2版です。
ガイドラインの対象者
医療機関などで電⼦的な医療情報の取り扱いに関わる責任者が、本ガイドラインの対象者とされています。また、レセプト業務などを受託する一部のベンダーも対象事業者に含まれます。
※ここでの「医療機関」には、以下のような機関が含まれます:病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者など。
医療情報システムを提供するベンダーも厚労省ガイドラインを読んでおく必要がある?
ベンダー向けのガイドラインは、経済産業省・総務省のガイドラインとなります。しかし、後述するように、経済産業省・総務省のガイドラインで定義されるリスクマネジメントプロセスにおいてベンダーなどの対象事業者は、医療機関が厚労省ガイドラインを遵守できるような設計のリスク対応策を策定するよう要求されています。これを踏まえると、ベンダー側も厚労省ガイドラインの内容を把握しておく必要があると言えます。
ガイドラインの内容
厚生労働省のガイドラインには、情報セキュリティマネジメントシステム(ISMS)構築の手順やリスク分析の方法といったセキュリティ体制構築に関する手引きのほか、具体的な安全管理対策や非常時の対応方法などが細かく記載されています。
医療機関が⾏うべき主な対策
医療機関が行うべき主な対策としては、以下のようなものが挙げられています。
・セキュリティの責任者を置く(組織体制の構築)
・アクセスの適切な制御
・IoT(モノのインターネット)機器の管理
・PCの外部持ち出しに関する⽅針や規程の整備
・BYOD(職員私物機器の業務への利用)の原則禁⽌
・サイバー攻撃などへの対応
・バックアップ
・情報の破棄
チェックリスト
厚生労働省は、「医療機関のサイバーセキュリティ対策チェックリスト」という資料も公開しています。上記の「医療情報システムの安全管理に関するガイドライン」に加え、「オンライン診療の適切な実施に関する指針」や「電子処方箋の運用ガイドライン」といった複数のガイドライン等を参考にチェック項目が整理されているため、このチェックリストを利用することで、医療機関は自院のサイバーセキュリティ対策の現状を把握することが可能です。
経済産業省・総務省のガイドライン
次に、経済産業省・総務省策定の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」について見ていきましょう。
ガイドラインの概要
総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」に定められた要件を整理し、1つにまとめたものが本ガイドラインです。
このガイドラインでは、事業者に対して一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスが定義されています。
ガイドラインの対象者
医療機関との契約等に基づいて医療情報システム等を提供する事業者が、本ガイドラインの対象事業者とされています。また、医療機関等と直接的な契約関係のないベンダーであっても、医療情報システム(※)のサプライチェーンの一部としてシステムやサービスを提供している場合は、本ガイドラインの対象事業者となります。以下が、対象事業者の具体例です。
・医療機関向けSier(システムインテグレーター)
・医療機関向けクラウドサービスのプロバイダー
・運用保守監視等のベンダー
・医療機関向けコールセンター
・レセプト業務などBPO業務の受託企業
※ここでの「医療情報システム」とは、医療情報(電子カルテ、レントゲンやCT画像等)の外部保存サービス、クラウド型電子カルテサービス、医療機関の医療情報システム等と接続されたオンライン診療システム等を指します。
ガイドラインの内容
本ガイドラインのメイン部分は、第5章「安全管理のためのリスクマネジメントプロセス」です。この章では、想定されるリスクを洗い出し、必要な対策を導き出すための手順が詳しく説明されています。これに加え、本ガイドラインでは、医療情報の安全管理に関して対象事業者に求められる義務・責任についての考え方や、医療機関等への情報提供および合意形成を行うべき対象のほか、制度上の要求事項などもまとめられています。
安全管理のためのリスクマネジメントプロセス
本ガイドラインで定義されるリスクマネジメントプロセスは、大きく3つのプロセスに分かれています。
①リスクアセスメント
リスクの特定、分析、評価。
②リスク対応
リスク対応の選択肢の決定、リスク対応策の設計・評価。
なお、冒頭でも触れた通り、リスク対応策の設計にあたっては、医療機関が厚労省ガイドラインを遵守できるような設計になっているようにしなければなりません。
③記録作成および報告
医療機関等とのリスクコミュニケーションの実施、文書・規程類の作成。
医療業界とサイバー脅威
前述の通り、3省2ガイドラインが制定された背景には、医療情報の機密性の高さゆえ、医療情報システムの安全性が非常に重要になるという事情がありました。実際に、医療業界の組織がサイバー攻撃の標的となるケースは多々報告されています。では、医療関連組織を脅かすサイバー脅威には具体的にどのようなものがあるのでしょうか?
医療業界を取り巻くサイバー脅威 ①:ランサムウェア
昨年、アイルランド保健サービス委員会(HSE)や、徳島県のつるぎ町立半田病院へのランサムウェア攻撃が大きな話題になったことを覚えているという方も多いと思います。国内における近年のランサムウェア被害事例には、以下のようなものがありました。
2022年の主なランサムウェア被害事例
・10月、大阪急性期・総合医療センターがランサムウェア攻撃を受け、電子カルテシステムに障害が発生。通常診療が行えない状態に。
・6月、 鳴門山上病院がランサムウェアLockbit 2.0による攻撃を受け、電子カルテと院内LANシステムが使用不能に。
・1月、春日井リハビリテーション病院の電子カルテがランサムウェアにより暗号化され、一切閲覧できない状態に。
2021年の主なランサムウェア被害事例
・10月、つるぎ町立半田病院の院内システムがランサムウェアに感染し、カルテが閲覧できなくなるなどの大きな被害が発生。
・8月、西日本メディカルリンクのサーバーにランサムウェアによる不正アクセス。ファイルサーバーが破損。
医療業界を取り巻くサイバー脅威②:マルウェア「Emotet」
日本の組織を狙うマルウェアとして有名なEmotetですが、医療業界も例外なくその標的となっています。以下は、2022年に確認された主な事例です。
・5月、秋田赤十字病院の一部のPCがEmotetに感染し、同院職員を装った第三者からの不審なメールが複数人へ送付される。
・3月、医療機器専門商社である株式会社グッドマンの一部のPCがEmotetに感染し、同社従業員を装った不審なメールが複数人へ送付される。
・3月、医療法人健昌会のPC1台がEmotetに感染し、同法人になりすました不審なメールが発信される。
・2月、社会医療法人大雄会の一部のPCがEmotet系のウイルスに感染し、同法人あるいは同法人職員を名乗る不審なメールが送付される。
医療業界におけるその他のインシデント事例
上記以外にも、医療業界ではさまざまな脅威・要因により情報セキュリティ事故(インシデント)が発生しています。以下は、近年の主なインシデント事例です。
なお、各事例を、原因別に大きく4つのカテゴリに分類しています。
・A:第三者によるサイバー攻撃
・B:自組織内でのミス/過失
・C:サードパーティで発生したインシデント/過失
・D:内部不正
インシデント事例 | カテゴリ |
(2022年8月)島根県立中央病院で、患者24,563人分の個人情報が入った電子カルテ用端末を紛失する事態が発生。 | B |
(2022年5月)医療法人社団医仁会ふくやま病院の患者情報管理システムが、設定不備により第三者からアクセス可能な状態になっていた。個人情報を含む患者情報が漏洩した可能性がある。 | B |
(2022年4月)医療法人ラポール会青山病院が不正アクセスを受け、システムの一部に障害が発生した。 | A |
(2021年10月)新潟県立精神医療センターの医師の私用PCに不正アクセス。診療業務に関連する個人情報が流出した恐れがある。 | A |
(2021年1月)岡山大学病院の医師が個人で使用していたクラウドサービス用ID及びパスワードをフィッシング詐欺により窃取され、クラウド上の保存データ等にアクセスできなくなった。当該クラウドには延べ269人の個人情報を含む患者情報を記したファイルが保存されており、攻撃者による閲覧が可能な状態になっていた。 | A |
(2020年5月)広島市立リハビリテーション病院の職員が無許可で私物のUSBメモリを院内に持ち込んで、患者101人分の個人情報を含むデータを保存し院外に持ち出した上、当該USBを紛失。 | D |
(2020年4月)墨東病院が業務を委託する株式会社セノーが、患者の個人情報が記載された資料を誤ったメールアドレス宛に送信したことが判明。 | C |
(2019年11月〜2021年1月)聖マリアンナ医科大学病院の看護師が業務連絡のために自主的に開設していた「Googleグループ」が、Web上のすべてのユーザーが閲覧できる設定になっていた。患者情報などが第三者により閲覧された可能性がある。 | B |
(〜2019年12月)予防医療事業と在宅医療事業を行うケアプロ株式会社の物流業務の委託先データベースが、第三者による閲覧が可能な状態になっていた。原因は、委託先がAWSストレージの設定を公開設定にしていたこと。 | C |
(複数サイトを参考に作成、情報源一覧はページ下部に記載)
セキュリティ対策の重要性
上記のようなインシデント事例や医療情報の機密性の高さを踏まえると、医療関連組織において強固なセキュリティ対策が必須であることは明らかです。また、医療情報システムは従来、医院内の限られた閉鎖的環境の中で利用されるものに過ぎませんでした。しかし、時代とともにクラウドサービス利用やスマートフォンが普及したことや、コロナ禍をきっかけとしてオンライン診療などの新しい形の医療サービスが登場したことにより、これまでのような閉鎖的環境を前提としたセキュリティ対策だけでは重大なセキュリティインシデント(情報セキュリティ事故)を防ぎきれない可能性が高くなっています。そのため、都度内容のアップデートされる両ガイドラインおよび関連法規に従って対策を実施していくことは非常に重要であると言えます。
ISMS認証の取得について
3省2ガイドラインにおいては、ISMS認証(※)の取得が強く推奨されています。第三者認証を伴う情報セキュリティマネジメントシステムを導入し、ガイドラインで要求される各対策をより効率的・効果的に、かつ形骸化させることなく運用していくことが求められています。
※ISMS(ISMS適合性評価制度)とは、国際規格「ISO/IEC 27001(日本版はJIS Q 27001:2014)」で定められている要求事項(情報セキュリティを効果的かつ継続的に行うための具体的なルール)が満たされているかどうかを認証する制度のことを言います。
関連記事:「ISMSとは:なぜ必要?ISOとの違いや認証制度について解説」、「Pマーク(PMS)とISMSの違い、取得のメリットとは」
ガイドライン準拠を支援するコンサルサービス
前述の通り、医療情報を扱う事業者は3省2ガイドラインに準拠する必要があります。ただ、これらのガイドラインは非常に分量が多く、専門的な内容も含まれるため、自組織単独での準拠は難しいかもしれません。そのような場合には、ガイドライン準拠を支援するコンサルティングサービスの利用をお勧めします。
コンサルサービスを利用するメリット
コンサルサービスを利用するメリットには、以下のようなものがあります。
・セキュリティ人材を新たに雇用する必要がなくなる
・セキュリティを担当する従業員/職員の負担を軽減できる
・自組織の現状や課題を把握しやすくなる
・効率的なタイムスケジュールでセキュリティ対策を進められる
マキナレコードの3省2ガイドライン準拠支援サービス
マキナレコードでは、3省2ガイドラインに沿ったセキュリティ体制の構築を支援しています。業務内容のヒアリングや各部門との打ち合わせの実施からリスクアセスメントやセキュリティ関連文書作成、従業員/職員教育まで、準拠への全工程を通して現場目線の実務的な支援を実施いたします。また、併せてISMS認証取得の支援を行うことも可能です。
弊社支援サービスの具体的な対応内容は以下の通りです。
要件整理
・業務内容やフローのヒアリング、各部門との打ち合わせ
・対応要件の一覧化(両ガイドラインの要点を盛り込んだチェックリスト等を使用)
アセスメント
・ギャップ分析
・リスクアセスメント
文書作成
・情報セキュリティポリシー(規程)をはじめとするセキュリティ関連文書の作成
システム実装支援
・対応策の検討
・技術的支援
教育
・従業員/職員へのセキュリティ教育
ISMS認証取得支援
・ISMS準拠準備の支援
・審査支援
※なお、ガイドライン準拠のみの支援も可能ですが、ISMS取得はガイドラインの中で強く推奨されています。
支援サービスについて詳しくは、弊社ホームページをご覧ください。
情報源
https://www.mhlw.go.jp/content/10808000/000936160.pdf(医療情報システムの安全管理に関するガイドライン 第5.2版)
https://www.mhlw.go.jp/content/10808000/000644762.pdf(「医療情報システムの安全管理に関するガイドライン」とは)
https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html(厚労省ガイドライン 関係資料一式)
https://www.soumu.go.jp/main_content/000703894.pdf(「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」)
https://www.soumu.go.jp/main_content/000703898.pdf(「『医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン』概要」)
https://www.soumu.go.jp/main_content/000703895.pdf(「ガイドラインに基づくサービス仕様適合開示書及びサービス・レベル合意書(SLA)参考例」)
https://www.gh.opho.jp/pdf/info20221031.pdf(大阪急性期・総合医療センター)
https://www.gh.opho.jp/pdf/info20221101.pdf(大阪急性期・総合医療センター)
https://www.gh.opho.jp/pdf/info20221102.pdf(大阪急性期・総合医療センター)
https://www.gh.opho.jp/pdf/info20221104.pdf(大阪急性期・総合医療センター)
https://www.gh.opho.jp/pdf/info20221109.pdf(大阪急性期・総合医療センター)
https://kyujinkai-mc.or.jp/info/20220620/(鳴門山上病院)
https://www3.nhk.or.jp/news/special/sci_cul/2022/05/special/2022-05-27-cyber/(春日井リハビリテーション病院)
https://www.handa-hospital.jp/topics/2022/0616/index.html(つるぎ町立半田病院)
https://www.jml-west.jp/wp-content/uploads/2021/09/%E5%BC%8A%E7%A4%BE%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%B8%E3%81%AE%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6-1.pdf(西日本メディカルリンク)
https://www.jml-west.jp/wp-content/uploads/2021/09/%E5%BC%8A%E7%A4%BE%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%81%B8%E3%81%AE%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A60930-1.pdf(西日本メディカルリンク)
http://akita-med.jrc.or.jp/archive/news/1592(秋田赤十字病院)
https://www.goodmankk.com/data/PR_20220502.pdf(株式会社グッドマン)
https://www.i-kenshokai.or.jp/news/news_info_20220307.html(医療法人健昌会)
https://www.daiyukai.or.jp/news/14181/(社会医療法人大雄会)
http://www3.pref.shimane.jp/houdou/articles/157444(島根県立中央病院)
https://fukuyama-hp.jp/2022/05/09/news20220509/(医療法人社団医仁会ふくやま病院)
https://fukuyama-hp.jp/2022/06/13/news20220613/(医療法人社団医仁会ふくやま病院)
https://www.aoyama-med.gr.jp/medical-rapport/aoyama-hospital/upload/document/284_1.pdf(医療法人ラポール会青山病院)
http://psyche-niigata.jp/pdf/031007jyouhouroueiutagai.pdf(新潟県立精神医療センター)
https://www.okayama-u.ac.jp/user/hospital/news/detail284.html(岡山大学病院)
http://soriha-hiroshima.jp/archives/3429(広島市立リハビリテーション病院)
https://www.metro.tokyo.lg.jp/tosei/hodohappyo/press/2020/04/07/01.html(墨東病院)
https://www.marianna-u.ac.jp/hospital/hospital_hospital/hospital20210201-2/(聖マリアンナ医科大学病院)
https://carepro.co.jp/about/yobou_news_20200604.pdf(ケアプロ株式会社)
Writer
2015年に上智大学卒業後、ベンチャー企業に入社。2018年にオーストラリアへ語学留学し、大手グローバル電機メーカーでの勤務を経験した後、フリーランスで英日翻訳業をスタート。2021年からはマキナレコードにて翻訳業務や特集記事の作成を担当。情報セキュリティやセキュリティ認証などに関するさまざまな話題を、「誰が読んでもわかりやすい文章」で解説することを目指し、記事執筆に取り組んでいる。