おしらせ

　同ガイドラインは、医療機関等における診療録等の電子保存に係る責任者を対象とし、「遵守すべき事項として、個人情報保護に関する方針の制定および公表、外部と個人情報を交換する場合の安全管理、ネットワークからの不正アクセス対策等」、「診療録等の電子保存にかかわる要求事項として、真正性、見読性、保存性の確保、電子署名を行う場合の要件等および受託機関の選定・責任の明確化等」、「診療録等をスキャナ等により電子化して保存する場合の要件等」について指針を示したもので、これまで定期的に見直しが行われてまいりました。
　第 5.1 版では、近年のサイバー攻撃の手法の多様化・巧妙化、情報セキュリティに関するガイドラインの整備、地域療連携や医療介護連携等の推進、クラウドサービス等の普及等に伴い、医療機関等を対象とするセキュリティリスクが顕在化していることへの対応として、情報セキュリティの観点から医療機関等が遵守すべき事項等の規定を設けるなど所要の改定を行われております。
　主なポイントとしては、「4.3 例示による責任分界点の考え方の整理」オンライン外部保存を委託する場合等において、クラウドサービスの概要の図示や、利用する場合の責任分界の考え方の追記。「6.2.3 リスク分析」組織が管理しない機器やソフトウェア、サービス等の利用の禁止などリスク考慮の追記。「6.5 技術的安全対策」医療情報システムにおける利用者認証での、二要素認証導入のさらなる推奨や考え方の追記。「6.10 災害、サイバー攻撃等の非常時の対応」サイバー攻撃を含む非常時の体制構築、平常時におけるサイバー攻撃等が生じた場合の通報先等の追記。「8.1.2 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準」の外部保存の受託事業者の選定に関して、Cookie 等の取扱いに関する事項や、受託事業者に対する国内法の適用、求められる認証や提供すべきセキュリティ情報などに関する内容等が挙げられます。

　★　医療情報システムの安全管理に関するガイドライン　第５．１版（令和3年1月）

「医療情報システムの安全管理に関するガイドライン」は、医療に関わる情報を扱うすべての情報システムと、それらのシステムの導入、運用、利用、保守及び廃棄に関わる人または組織を対象として、平成17 年３月に第１版が策定され、平成28 年３月に最新の改訂版である第4.3 版が策定・公表されております。

　今般、厚生労働省政策統括官付情報化担当参事官室より上部医師会を通じ、同ガイドライン第4.3 版に関するＱ＆Ａ策定について周知依頼がありましたのでお知らせいたします。

　今回のＱ＆Ａは、第4.2 版策定時のＱ＆Ａに、新たに１項目が追加されたものとなります。
　新項目では、「IPsec によるVPN 接続等ではなく、インターネット等のオープンなネットワークを介し、HTTPS を用いて医療情報システムに接続する場合には、TLS1.2 のみに限定した通信経路の暗号化およびクライアント証明書を用いた認証を実施することが求められる」との見解が示されております。

　この見解につきましては、日本医師会の平成26・27 年度医療IT 委員会答申の提言を元に日本医師会が主張しております、SNS（Social Network Service）等を使った医療介護連携を安全に行っていく上で注意すべき点、①クローズドSNS を利用する、②通信経路、端末認証にTLS1.2 の暗号化技術を使用する、③個人端末の利用（BYOD）を避ける―にも合致しております。

　　※　「医療情報システムの安全管理に関するガイドライン」第４．３版

　　※　「医療情報システムの安全管理に関するガイドライン　第４．３版」に関するQ&A
　