総務省及び経済産業省では、医療情報を電子的に作成し保存する際の安全を確保するため、医療情報システムの提供事業者に対して、ガイドラインを各省ごとに定めてきました。具体的には、総務省では、ASP・SaaS、PaaSやIaaS等のクラウドサービス事業者を対象とする「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」(平成30年7月策定。以下「クラウド事業者ガイドライン」という。)により、経済産業省では、情報処理事業者を対象とする「医療情報を受託管理する情報処理事業者における安全管理ガイドライン(第2版)」(平成24年10月策定。以下「情報処理事業者ガイドライン」という。)によって、医療情報の安全管理について必要な対策等を規定してきました。
近年、情報サービスの提供形態の多様化により、医療情報システムの提供事業者が「情報処理事業者ガイドライン」と「クラウド事業者ガイドライン」の両方を参照して対応する必要が生じていることから、2つのガイドラインを統合・改定することとしました。改定に際しては、下記の方針で検討を進めています。
●他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの遵守と同等の安全管理水準が確保されるようにする。
●医療情報システムの特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義する。
●医療機関等と医療情報システムの提供事業者においてセキュリティ対策について正しい共通理解と明示的な合意のもと医療情報システムを運用するために、リスクコミュニケーションを重視する。
●医療情報システムに関連する法令の求めに対して対策の抜け漏れを防止するために、医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする。
ガイドラインの改定にあたって、総務省及び経済産業省が合同で「医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会」(構成員は
別紙1
のとおり)を開催し、検討を進めてまいりました。今般、本検討会における検討結果等を踏まえ、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)(
別紙2
)を取りまとめましたので、同ガイドライン案に対する意見を募集します。