医療情報ガイドラインをクラウド上で実践する -概要編-

近年、医療分野でもクラウドサービスの活用が進んでいます。しかしながら、医療情報の取り扱いには細心の注意が必要です。そこで策定されたのが、厚生労働省より策定された「医療情報システムの安全管理に関するガイドライン」（以下厚労省ガイドライン）と経済産業省・総務省より策定された「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（以下２省ガイドライン）です。これら 2 つを合わせた 2 つのガイドラインのことを通称３省２ガイドライン、もしくは医療情報ガイドラインと呼びます。

本ブログシリーズでは、ガイドラインの改定のポイントをまとめると共に AWS における医療情報システム構築における技術的なポイントについても取り上げていきます。第 3 弾となる本ブログでは、この医療情報ガイドラインをクラウド上での実践例を解説します。特に、システム事業者の立場から見たガイドライン対応のポイントを概要編と詳説編に分けて整理していきます。 概要編では対応方針の全体像を解説し、詳説編で各ステップごとの具体的な進め方について解説します。なお、本ブログのコンテンツは医療情報ガイドライン準拠を保証するものでは無く、ガイドライン準拠におけるヒントを提示することを主目的としています。

本ブログシリーズの各種リンクはこちら。

• 医療情報ガイドラインの改定から読み解くクラウド化
• 医療情報ガイドラインをクラウド上で実践する – ネットワーク編 Part 1
• 医療情報ガイドラインをクラウド上で実践する -概要編-
• 医療情報ガイドラインをクラウド上で実践する -詳説編-

ガイドライン対応する上での課題

医療情報ガイドラインは、医療情報と呼ばれる患者情報を扱う情報システムの適切な管理・運用方法を定めたものです。具体的には、診療録や検査画像、看護記録など、患者に関する様々な医療情報を対象としています。医療情報ガイドラインについての概要については本ブログシリーズの第 1 弾「医療情報ガイドラインの改定から読み解くクラウド化」を参照ください。

この中でも特に、システム・サービス提供事業者向けに策定されているガイドラインが経済産業省・総務省より策定された「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（以下 2 省ガイドライン）です。2 省ガイドラインでは、下記のように策定方針が定められており、過去のガイドラインと同等の安全管理水準は保ちつつも一律に要求事項を定めることはしないといった言及がされています。その達成する方針としてリスクマネジメントプロセスの定義がされています。

• 他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの要求事項と同等の安全管理水準が確保されるようにする
• 医療情報システム等の特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義する
• セキュリティ対策の妥当性と限界について、正しい共通理解と明示的な合意のもと医療情報システム等を運用するために、リスクコミュニケーションを実施できるようにする
• 医療情報システム等に関連する法令の求めに対して、セキュリティ対策の抜け漏れを防止するために、医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 1.1 版（p.4) より抜粋

このように、一律の要求事項を定めないリスクベースアプローチによりクラウドやオンプレミスといった医療情報システムなどの特性に応じた柔軟なシステム設計が可能になりました。一方で、画一された要求事項が定まっていないことにより「どこまでやれば対応したと言えるのかが分からない」「リスクベースアプローチと言うが、具体的にどうやって対応を始めればいいのか分からない」と感じるサービス提供事業者もいらっしゃいます。我々ソリューションアーキテクトに対しても日々このような問い合わせをいただきます。

このあとの章では、医療情報ガイドラインの対応例について触れながら事業者としてのの対応方針に触れていきます。医療機関側から見た対応例については別ブログで取り上げる予定です。

サービス提供事業者が果たす責任

2 省ガイドラインによるとサービス提供事業者は、法律的観点から下記の義務を負います。

• 個人情報保護法に基づき、医療情報の善管注意義務・守秘義務・安全管理措置を講じる義務がある。
• 委託契約に基づき、医療機関等が患者に対する安全管理義務を履行するために必要な情報を適時適切に提供する義務がある。
• 情報セキュリティ事故発生時には、個人情報保護法に基づき危機対応義務と報告・通知する義務がある。

また、医療情報システム等の一連のプロセス（ガイドライン本文ではライフサイクルと表記）における義務と責任として、「対象事業者は説明義務を果たすために、医療機関等との間で「共通理解」と「明示的な合意」の形成を行う」必要があります（医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 1.1 版 p.14-p.19）。

上記の義務を遂行する中で、医療機関等への情報提供と合意形成を行うことは必須です。この適切な合意形成をするにあたって、作成する資料の例として「サービス仕様適合開示書」や「サービスレベル合意書 (SLA)」等があります。これらの文書では、サービスの概要や性能、セキュリティ対策、障害時の対応等について詳細に記載する必要があり、合意形成を行う上で重要な書類となります。ガイドラインではこれらの文書に加えて共通理解を形成することの重要性を説いています。

さらに、厚労省ガイドラインにおいて事業者確認用の「医療機関におけるサイバーセキュリティ対策チェックリスト」や「（事業者確認用）薬局におけるサイバーセキュリティ対策チェックリスト」において医療情報セキュリティ開示書（MDS/SDS）の提出に関するチェック項目が盛り込まれています。

上記で言及された書類を作成していくフローの具体例に触れます。あくまで一例ですので、冒頭の繰り返しになりますが絶対的な正解ではなく読者のみなさまがガイドライン対応を進める方針を策定する際の参考にしていただくことを目的としています。

リスクマネジメントプロセスフローの概要

2 省ガイドライン本編では対象事業者が行うべきリスクマネジメントプロセスのステップとして「リスク特定」「リスク分析」「リスク評価」「リスク対応の選択肢の選定」「リスク対応策の設計・評価」「説明・合意形成」に言及してます。これらを大まかに分類して整理すると下図で示したフローになります。

医療情報システム向け AWS 利用リファレンス 概要資料と２省ガイドラインの中身をベースに作成

各種ステップをまとめて大きく「リスクアセスメント」「リスク対応「リスクコミュニケーション」と３つのフェーズに分けています。リスクアセスメントフェーズでは、医療情報システム等を提供する中でのリスクの特定・分析・評価を通じて対応すべきリスクについての洗い出しを行います。次のリスク対応フェーズでは、洗い出されたリスクに対しての具体的な対応方針を決め、それぞれのリスクに対する対応と残存リスク等に関しての文書化を目指します。最後のリスクコミュニケーションではリスクアセスメント・リスク対応で作成した文書化などを通じて、医療機関等との間での役割分担・受容したリスク内容等について必要な情報を説明した上で合意形成を行います。

まとめ

概要編となる本ブログでは医療情報ガイドラインの概要とサービス提供事業者の立場からの対応方針の概要について概説しました。次の詳説編では、リスクマネジメントプロセスの各段階の具体的な進め方ついて、リスクアセスメント、リスク対応、リスクコミュニケーションの各プロセスの実践的な進め方を解説します。

著者について

尾原 颯 (Ohara, Soh) は AWS Japan にて主にヘルスケア系スタートアップに対して技術支援をしています。好きなサービスは Amazon SageMaker と Amazon HealthLake です。

片山 洋平 (Yohei, Katayama) は AWS Japan のパブリックセクターのソリューションアーキテクトです。主に医療機関をはじめとしたヘルスケア業界のお客様のソリューション構築の支援を行なっています。週末は登山を嗜んでいます。