一般的に、個人情報は、一旦漏洩した場合に回復措置が困難とされるものであり、特に医療情報は患者の生命・身体に関わるほか、差別を受ける等、権利利益が侵害される可能性もあるため、高い保護方策が求められます。この観点から、医療機関等向けには「医療情報システムの安全管理に関するガイドライン(厚生労働省)」、医療情報の処理等サービスをオンラインで提供するASP・SaaS(※1)事業者向けには「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」及び「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドラインに基づくSLA参考例」(総務省)が公表されております。
「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」及び「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドラインに基づくSLA参考例」については、ASP・SaaS事業者が各要求項目について理解した上で、必要に応じた対策を行うことを想定しておりますが、公表から7年以上が経過し、アプリケーション領域であるASP・SaaSから実行環境・インフラ領域であるIaaS(※2)、PaaS(※3)にクラウドサービスの多様化が進んでおります。また、近年のサイバー攻撃の手法の多様化・巧妙化、地域における医療情報連携ネットワークやオンライン診療等の普及、PHR(パーソナル・ヘルス・レコード:患者等が医療情報を自らの判断のもとで活用する仕組み)サービスの登場等、医療情報システムを取り巻く環境の変化に対応する必要性が高まっております。
このような状況の下、引き続き本ガイドラインが医療情報を扱う際に求められる高度な安全性確保の要求に応えられるよう、総務省では、ASPIC(※4)と合同で設立した「ASP・SaaS・クラウド普及促進協議会」において、「ASP・SaaS・クラウド事業者が医療情報を取り扱う際の安全管理に関する検討委員会」(構成員は
別紙1(PDF)のとおり)を開催し、本ガイドラインの改定に向けた検討を進めてまいりました。
今般、本検討会における検討結果等を踏まえ、「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」(案)(
別紙2(PDF))を取りまとめましたので、同ガイドライン案に対する意見を募集します。
(※1)ASP・SaaS:ネットワークを通じて、アプリケーション・ソフトウェア及びそれに付随するサービスを利用させること、あるいはそうしたサービスを提供するビジネスモデル。
(※2)IaaS:ネットワーク/ハードウェア(CPU・メモリー・ハードディスク)/OSなどのインフラを提供する、クラウドサービスの一つ。
(※3)PaaS:アプリケーションを稼働させるための基盤(プラットフォーム)を提供する、クラウドサービスの一つ。IaaSの構成要素に「ミドルウェア」(データベースソフト、Webサーバソフト、アプリケーション開発環境等)を提供する。
(※4)ASPIC:特定非営利活動法人ASP・SaaS・IoTクラウドコンソーシアム