3省2ガイドライン

「3省2ガイドライン」とは、厚生労働省、経済産業省、総務省により作成された、医療情報を保護するためのガイドラインのことです。具体的には以下の2つのことを指し、医療に関する情報を扱う事業者は、例外なくこれらのガイドラインに準拠する必要があるとされています。

• 厚生労働省の「医療情報システムの安全管理に関するガイドライン」（最新版は第6.0版）
• 経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（最新版は第2.0版）

もともとは、厚生労働省、経済産業省、総務省がそれぞれ1つずつガイドラインを策定しており、これらはまとめて「3省3ガイドライン」と呼ばれていました。しかし2021年8月に、経済産業省のガイドライン「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」と総務省のガイドライン「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」が1つのガイドラインに統合されて以降は、「3省2ガイドライン」という呼称が使われるようになっています。

大まかに言うと、厚労省のガイドラインが主に医療機関を対象とし、経産省・総務省のものが主に医療情報システムを提供するベンダーを対象としています。ただ、経済産業省・総務省のガイドラインではベンダーなどの対象事業者に対し、医療機関が厚労省ガイドラインを遵守できるような設計のリスク対応策を策定するよう要求していることから、ベンダー側も厚労省ガイドラインの内容を把握しておく必要があると言えます。

＜厚労省ガイドラインの概要＞

• 患者の電⼦カルテなどの医療情報を適切に管理するために定められたガイドラインで、個⼈情報保護法、e-⽂書法、医療法、医師法などを根拠として作成されている。
• 対象となるのは主に医療機関。例えば、病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者など。
• ガイドラインの概要を伝える『概説編』、経営層を対象とする『経営管理編』、システムの安全管理者を対象とする『企画管理編』、システムの運用担当者を対象とする『システム運用編』の4編から構成される。

＜経済産業省・総務省ガイドラインの概要＞

• もともと総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」に定められていた要件を整理し、1つにまとめたもの。
• 事業者に対して一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義している。
• 対象となるのは、医療機関との契約等に基づいて医療情報システム等を提供する事業者。具体的には、医療機関向けSier（システムインテグレーター）、医療機関向けクラウドサービスのプロバイダー、運用保守監視等のベンダー、医療機関向けコールセンター、レセプト業務などBPO業務の受託企業などが該当すると考えられる。

3省2ガイドラインについてのさらに詳しい解説や、医療業界を取り巻くサイバー脅威、また医療機関等における実際のインシデント事例などについては以下の記事をご覧ください：