3省2ガイドラインとは？医療情報を扱う企業が知っておくべきポイント

「3省2ガイドライン」とは、厚生労働省、経済産業省、総務省が作成した、医療情報を保護するためのガイドラインのことです。本記事では厚生労働省のガイドラインと経産省・総務省のガイドライン双方について、医療情報を扱う企業が知っておくべきポイントを交えて紹介します。また、医療業界におけるサイバー脅威についても、実際のインシデント事例と併せて解説します。

3省2ガイドラインとは？

3省2ガイドラインの概要

3省2ガイドラインとは、医療情報を扱う事業者向けの、医療情報を保護するためのガイドラインのことです。ここでいう3省とは厚生労働省、経済産業省、総務省のことを指し、具体的には、厚生労働省の「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」をまとめて「3省2ガイドライン」と呼んでいます。医療に関する情報を扱う事業者は、例外なくこれらのガイドラインに準拠する必要があります。

もともとは、厚生労働省、経済産業省、総務省がそれぞれ1つずつガイドラインを策定していました（「3省3ガイドライン」）。しかし2021年8月に経済産業省と総務省のガイドラインが統合されたため、「3省2ガイドライン」と呼ばれるようになりました。

※現在、最新版はそれぞれ「医療情報システムの安全管理に関するガイドライン（第 6.0 版、2023年5月に改定）」、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（第 2.0 版、2025年3月に改定）」となっています。

ガイドライン制定の背景

近年、電⼦カルテをはじめとする医療情報（※）を活⽤したシステムは発展を続けており、患者にとっての利便性や医療の質を⾼めることに貢献してきました。ただ、ソーシャルネットワークやネット通販などさまざまな情報サービス事業においてシステムの脆弱性を突いた事件が起きていることを踏まえると、最も重要な個⼈情報のひとつである医療情報においては、システムの安全性が特に強く求められると言えます。

こうした背景から、医療関連の情報システム・サービスを実際に利用する病院などの医療機関と、システム・サービスを提供する側の事業者（ベンダー）に向けて、安全管理のための対策や手引きを記載したガイドラインが制定されることとなりました。厚生労働省のガイドラインが主に医療機関向け、経済産業省・総務省のものが主にベンダー向けとなっています。

※両ガイドラインにおける「医療情報」の定義は同一で、「医療に関する患者情報（個人識別情報）を含む情報」とされています。これには、医療従事者が作成・記録した情報のほか、医療従事者の指示に基づき介護事業者が作成・記録した情報も含まれます。

その他の医療関連ガイドラインおよび関連法規

3省2ガイドライン以外にも、医療業界のセキュリティ関連ガイドラインには以下のようなものがあります。

・厚生労働省「オンライン診療の適切な実施に関する指針」

・厚生労働省「電子処方箋の運用ガイドライン」

・厚生労働省「オンライン資格確認等、レセプトのオンライン請求及び健康保険組合に対する社会保険手続きに係る電子申請システムに係るセキュリティに関するガイドライン」

・個人情報保護法

・e-⽂書法

・医療法

・医師法　等

厚生労働省のガイドライン

ではまず、厚生労働省策定の「医療情報システム（※）の安全管理に関するガイドライン」について見ていきましょう。

※ここでの「医療情報システム」とは、医療機関等のレセプト作成用コンピュータ（レセコン）、電子カルテ、オーダリングシステムといった、医療事務や診療を支援するシステムのことです。これらに加え、何らかの形で患者の情報を保有するコンピューター、遠隔で患者の情報を閲覧・取得するようなコンピューターや携帯端末も範疇として想定されています。また、患者情報が通信される院内・院外ネットワークも含まれます。

ガイドラインの概要

患者の電⼦カルテなどの医療情報を適切に管理するために国が定めたガイドラインで、個⼈情報保護法、e-⽂書法、医療法、医師法などを根拠として作成されています。技術的な記載の陳腐化を避けるために定期的に改定されており、最新版は、2023年5月に公開された第6.0版です。

なお、このガイドライン自体には罰則はありません。ただ、e-文書法が医療分野において執行される際の指針となっているガイドラインであることから、本ガイドラインに違反した状態は、医療に関連する法令等を遵守していないものとみなされる可能性があります。ガイドラインへの違反により法令の要件を満たすことができず、結果的に「法令に違反している」ものと解釈された場合には、法令による罰則が適用される恐れがあるとされています。

ガイドラインの対象者

医療機関等において、すべての医療情報システムの導入、運用、利用、保守および廃棄に関わる者が、本ガイドラインの対象者とされています。また、レセプト業務などを受託する一部のベンダーも対象事業者に含まれます。

※ここでの「医療機関」には、以下のような機関が含まれます：病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者など。

医療情報システムを提供するベンダーも厚労省ガイドラインを読んでおく必要がある？

ベンダー向けのガイドラインは、経済産業省・総務省のガイドラインとなります。しかし、後述するように、経済産業省・総務省のガイドラインで定義されるリスクマネジメントプロセスにおいてベンダーなどの対象事業者は、医療機関が厚労省ガイドラインを遵守できるような設計のリスク対応策を策定するよう要求されています。これを踏まえると、ベンダー側も厚労省ガイドラインの内容を把握しておく必要があると言えます。

ガイドラインの構成

厚生労働省のガイドラインは2023年5月に改定され、構成が大きく変更されました。第5版までは一本化されていたものが、最新版の第6.0版では概説編、経営管理編、企画管理編、システム運用編の4編に分けられています。また本編に加え、Q＆Aや用語集、各種特集資料、サイバーセキュリティ対策チェックリストなどから成る別添資料（Appendix）も用意されています。

• 概説編（Overview）：本ガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編を理解する上で前提となる考え方など、各編に共通する内容を示すもの。
• 経営管理編（Governance）：主な対象者は、医療機関等において組織の経営方針を策定し、意思決定を担う経営層。経営層として遵守・判断すべき事項、企画管理やシステム運営の担当部署／担当者に対して指示または管理すべき事項およびその考え方を示している。
• 企画管理編（Management）：主な対象者は、医療機関等において医療情報システムの安全管理（企画管理、システム運営）の実務を担う担当者（企画管理者）。医療機関等全体の安全対策の管理や、組織的な対応に関する対策などに関する内容。
• システム運用編（Control）：主な対象者は、医療機関等において医療情報システムの実装・運用の実務を担う担当者。技術的な対応に関する対策に関する内容。

ガイドラインの内容

各編の主な内容は、以下の通りです。なお第6.0版では、対策のあり方として、ゼロトラストネットワーク型思考を取り入れることの有用性について示している点が改定後の新たなポイントで、境界防御型思考とゼロトラスト思考をうまく組み合わせて対応することの重要性が強調されています。

概説編（Overview）：

• ガイドラインの目的
• 対象とする情報・文書・システム
• 関連する法令等の規定との関係や経緯
• 各編の位置付けと目次構成、概要

など

経営管理編（Governance）

• 取り扱う情報の重要性と関連法規
• 情報資産管理や情報システム運用に伴い生じる責任・責務
• 情報システムの有用性と安全管理

など

企画管理編（Management）

• 情報資産管理体制と責任分界
• リスクアセスメントと対策
• 情報の種類に応じた管理・監査
• 非常時の対応と非常時への対策

など

システム運用編（Control）

• 個人情報保護法、e-文書法、電子署名法等により求められる技術
• システム利用者、クライアント側/サーバ側/インフラ領域等それぞれで活用する安全管理対策・措置技術

など

チェックリスト

厚生労働省は、「医療機関におけるサイバーセキュリティ対策チェックリスト（令和７年５月）」やチェックリストの使い方を説明した「医療機関等におけるサイバーセキュリティ対策チェックリストマニュアル～医療機関等・事業者向け～（令和７年５月）」という資料も公開しています。上記の「医療情報システムの安全管理に関するガイドライン」に加え、「オンライン診療の適切な実施に関する指針」や「電子処方箋の運用ガイドライン」といった複数のガイドライン等を参考にチェック項目が整理されているため、このチェックリストを利用することで、医療機関は自院のサイバーセキュリティ対策の現状を把握することが可能です。

経済産業省・総務省のガイドライン

次に、経済産業省・総務省策定の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」について見ていきましょう。最新版は、2025年3月に改定された第 2.0 版です。

ガイドラインの概要

総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」に定められた要件を整理し、1つにまとめたものが本ガイドラインです。

このガイドラインでは、事業者に対して一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスが定義されています。

ガイドラインの対象者

医療機関との契約等に基づいて医療情報システム等を提供する事業者が、本ガイドラインの対象事業者とされています。また、医療機関等と直接的な契約関係のないベンダーであっても、医療情報システム（※）のサプライチェーンの一部としてシステムやサービスを提供している場合は、本ガイドラインの対象事業者となります。以下が、対象事業者の具体例です。

・医療機関向けSier（システムインテグレーター）

・医療機関向けクラウドサービスのプロバイダー

・運用保守監視等のベンダー

・医療機関向けコールセンター

・レセプト業務などBPO業務の受託企業

※ここでの「医療情報システム」とは、医療情報（電子カルテ、レントゲンやCT画像等）の外部保存サービス、クラウド型電子カルテサービス、医療機関の医療情報システム等と接続されたオンライン診療システム等を指します。

ガイドラインの内容

本ガイドラインのメイン部分は、第5章「安全管理のためのリスクマネジメントプロセス」です。この章では、想定されるリスクを洗い出し、必要な対策を導き出すための手順が詳しく説明されています。これに加え、本ガイドラインでは、医療情報の安全管理に関して対象事業者に求められる義務・責任についての考え方や、医療機関等への情報提供および合意形成を行うべき対象のほか、制度上の要求事項などもまとめられています。

安全管理のためのリスクマネジメントプロセス

本ガイドラインで定義されるリスクマネジメントプロセスは、大きく3つのプロセスに分かれています。

①リスクアセスメント

リスクの特定、分析、評価。

②リスク対応

リスク対応の選択肢の決定、リスク対応策の設計・評価。

なお、冒頭でも触れた通り、リスク対応策の設計にあたっては、医療機関が厚労省ガイドラインを遵守できるような設計になっているようにしなければなりません。

③記録作成および報告

医療機関等とのリスクコミュニケーションの実施、文書・規程類の作成。

医療業界をめぐるサイバー脅威と実際のインシデント事例

前述の通り、3省2ガイドラインが制定された背景には、医療情報の機密性の高さゆえ、医療情報システムの安全性が非常に重要になるという事情がありました。実際に、医療業界の組織がサイバー攻撃の標的となるケースは多々報告されています。では、医療関連組織を脅かすサイバー脅威には具体的にどのようなものがあるのでしょうか？

医療業界を取り巻くサイバー脅威 ①：ランサムウェア

医療業界は、国内外問わず頻繁にランサムウェア攻撃の標的になっています。国内における近年のランサムウェア被害事例には、以下のようなものがありました。

近年の主なランサムウェア被害事例

• （公表月：2025年5月）医療機器・介護用品に特化した総合医療商社へのランサムウェア攻撃が発生。影響が及ぶ可能性のあるサーバーの停止、ネットワークの遮断等が行われたことで、受発注業務や物流体制に支障が生じた。
• （2025年2月）栃木県のがん治療クリニックのサーバーがランサムウェア攻撃を受け、患者および同院関係者の個人情報が外部へ漏えいした可能性があることが判明。また、院内システムが使用できない状態が続いたことでしばらくの間診察および健診業務を制限せざるを得なくなった。
• （2024年7月）放射線診療を基礎に置く千葉県の研究病院のシステムで、ランサムウェア被害が発生。匿名化された症例情報が利用不能になるも、診療業務を含む同病院の業務に支障は生じなかった。
• （2024年5月）岡山県の精神科医療センターがランサムウェア攻撃を受け、電子カルテシステム等が暗号化された。攻撃犯は一部の情報を盗み出しており、岡山県警は同病院のものと思われる個人情報がダークウェブ上へ流出しているのを確認している。
• （2024年3月）鹿児島県の病院の画像管理サーバーがランサムウェア攻撃を受け、正常な運用ができなくなる事態に。診療記録のPDFファイルの一部が暗号化されたほか、個人情報漏洩の可能性も否定できないとされている。
• （2024年1月）検診車等による健診・検査事業などを行う埼玉県の公益社団法人が保有するX線画像読影システムでランサムウェア被害が発生。これにより、X 線画像（胸部、胃部、乳部）および超音波画像（腹部、乳部）と、画像に付帯する個人情報などが漏洩した恐れがある。

医療業界を取り巻くサイバー脅威②：サイバー攻撃や不正アクセス（ランサムウェア以外）

ランサムウェア以外にも、医療業界の組織が被害に遭う恐れのあるサイバー攻撃にはさまざまなものがあります。実際に近年では、以下のような事例が報告されています。

実際の事例

• （公表月：2025年2月）東京都の内科系クリニックのWebサーバーが不正アクセスを受け、患者の個人情報の一部が漏洩した恐れが生じた。
• （2025年1月）東京都保健医療情報センターのメールサーバーが外部から不正に利用され、479,716件のスパムメールが送られた。
• （2024年9月）東京都の医療用品メーカーのメールアカウントが何者かに不正に利用され、不特定多数の人々に迷惑メール（なりすましメール）が送信される事案が発生。
• （2024年7月）秋田県立医療療育センターのWebサイトが改ざんされ、本来とは異なるページが表示されていたことが判明。
• （2024年2月）東京都の総合病院において、インターネット検索作業をしていた職員が、詐欺広告の誘導により遠隔で PC 内を不正に操作された。

医療業界を取り巻くサイバー脅威③：不注意やヒューマンエラー

公開範囲の誤設定やケアレスミスなど、悪意のない不注意や人的なエラー（ヒューマンエラー）であっても、情報漏洩などのインシデントに繋がる恐れがあります。

実際の事例

• （公表月：2025年4月）兵庫県の医療センター内で、事務職員が患者の個人情報を含むデータを保存したUSBを紛失。
• （2024年12月）大阪府の地域医療情報連携ネットワークで、患者一覧表示マスターの誤設定により、本来は表示されるべきでない患者一覧が表示され、当該ネットワークに登録している医師から閲覧可能な状態に。これにより、患者の個人情報が漏洩した。
• （2024年5月）大阪府の大学病院で、非常勤医師（当時）がインターネット利用時にサポート詐欺の被害に遭った。これがきっかけで、当該医師が患者データを無断で院外に持ち出していたことが発覚したほか、妊婦健診時の胎児エコー動画を別の患者に提供するというミスを犯していたことも発覚。

医療業界を取り巻くサイバー脅威④：サードパーティリスク

業務委託先や協業先などのサードパーティが原因で、情報セキュリティ事案が生じることもあります。

実際の事例

• （公表月：2025年3月）静岡県の病院ホームページに、患者の個人情報を含む情報が誤って掲載された。同院がホームページへの情報掲載作業を委託している業者が、病院側から渡された一次情報を十分に確認せず、個⼈情報が含まれたままの資料を掲載してしまったことが原因とされている。
• （2024年8月）沖縄県の医療センターが業務を委託する会社が、診療費入金に関わる書類の一部を誤って廃棄する事案が発生。これには患者の要配慮個人情報や一部のケースではクレジットカード会社およびカード名義が記載されていたことから、個人情報漏洩の恐れが生じた。

医療業界を取り巻くサイバー脅威⑤：内部不正

職員や従業員が悪質な目的のために個人情報を持ち出すなどの内部不正事案も、医療業界を脅かす脅威の1つです。

実際の事例

• （公表月：2024年10月）秋田県の大学病院で、看護師の男性が業務上の必要がないにもかかわらず1,000件以上のカルテを不正に閲覧し、親族のカルテ情報を身内に漏らしたことが発覚。この看護師はまた、知人のカルテ情報を不正に閲覧し、当該知人に架電していた。
• （2024年10月）秋田県の大学病院で、看護師の男性が入院患者のクレジットカードを拾得後、不正に利用（およそ45万円分）していた。

セキュリティ対策の重要性

上記のようなインシデント事例や医療情報の機密性の高さを踏まえると、医療関連組織において強固なセキュリティ対策が必須であることは明らかです。また、医療情報システムは従来、医院内の限られた閉鎖的環境の中で利用されるものに過ぎませんでした。しかし、時代とともにクラウドサービス利用やスマートフォンが普及したことや、コロナ禍をきっかけとしてオンライン診療などの新しい形の医療サービスが登場したことにより、これまでのような閉鎖的環境を前提としたセキュリティ対策だけでは重大なセキュリティインシデント（情報セキュリティ事故）を防ぎきれない可能性が高くなっています。そのため、都度内容のアップデートされる両ガイドラインおよび関連法規に従って対策を実施していくことは非常に重要であると言えます。

ISMS認証の取得について

3省2ガイドラインにおいては、ISMS認証（※）の取得が強く推奨されています。第三者認証を伴う情報セキュリティマネジメントシステムを導入し、ガイドラインで要求される各対策をより効率的・効果的に、かつ形骸化させることなく運用していくことが求められています。

※ISMS（ISMS適合性評価制度）とは、国際規格「ISO/IEC 27001（日本版はJIS Q 27001）」で定められている要求事項（情報セキュリティを効果的かつ継続的に行うための具体的なルール）が満たされているかどうかを認証する制度のことを言います。

関連記事：「ISMSとは：なぜ必要？ISOとの違いや認証制度について解説」

ガイドライン準拠を支援するコンサルサービス

前述の通り、医療情報を扱う事業者は3省2ガイドラインに準拠する必要があります。ただ、これらのガイドラインは非常に分量が多く、専門的な内容も含まれるため、自組織単独での準拠は難しいかもしれません。そのような場合には、ガイドライン準拠を支援するコンサルティングサービスの利用をお勧めします。

コンサルサービスを利用するメリット

コンサルサービスを利用するメリットには、以下のようなものがあります。

・セキュリティ人材を新たに雇用する必要がなくなる

・セキュリティを担当する従業員/職員の負担を軽減できる

・自組織の現状や課題を把握しやすくなる

・効率的なタイムスケジュールでセキュリティ対策を進められる

マキナレコードの3省2ガイドライン準拠支援サービス

マキナレコードでは、3省2ガイドラインに沿ったセキュリティ体制の構築を支援しています。業務内容のヒアリングや各部門との打ち合わせの実施からリスクアセスメントやセキュリティ関連文書作成、従業員/職員教育まで、準拠への全工程を通して現場目線の実務的な支援を実施いたします。また、併せてISMS認証取得の支援を行うことも可能です。

弊社支援サービスの具体的な対応内容は以下の通りです。

要件整理

・業務内容やフローのヒアリング、各部門との打ち合わせ

・対応要件の一覧化（両ガイドラインの要点を盛り込んだチェックリスト等を使用）

アセスメント

・ギャップ分析

・リスクアセスメント

文書作成

・情報セキュリティポリシー（規程）をはじめとするセキュリティ関連文書の作成

システム実装支援

・対応策の検討

・技術的支援

教育

・従業員/職員へのセキュリティ教育

ISMS認証取得支援

・ISMS準拠準備の支援

・審査支援

※なお、ガイドライン準拠のみの支援も可能ですが、ISMS取得はガイドラインの中で強く推奨されています。

支援サービスについて詳しくは、弊社ホームページをご覧ください。