医療情報システムの安全管理に関するガイドラインとは

「医療情報システムの安全管理に関するガイドライン」は、医療機関などが医療情報システムを安全に管理し、患者のプライバシーを保護しながら質の高い医療を提供するために、厚生労働省が定めた指針です。法的な強制力はないものの、遵守すべき基準として機能しています。

ガイドラインの目的と病院経営における重要性

本ガイドラインの目的は、医療情報の機密性・完全性・可用性を確保し、安全で質の高い医療サービスを提供することにあります。 病院経営の観点からは、このガイドラインを遵守することが、患者からの信頼獲得、医療過誤や情報漏洩といった重大なインシデントの予防につながります。さらに、結果的に安定した病院経営につながる経営上の重要なリスクマネジメントでもあるといえます。

最新版「第6.0版」の概要

最新版は2023年5月に改訂された「第6.0版」です。医療DXの進展、サイバー攻撃の深刻化、クラウドサービスの普及などが反映されました。なかでも、経営層が主体的に関与することの重要性が強調されている点が特徴です。

ガイドラインで押さえるべき3つの要点

ガイドラインの中から、特に病院経営層が把握しておくべきポイント3点を解説します。

要点1：経営層の責務の明確化

第6.0版では、医療情報システムの安全管理は経営課題であると位置づけられました。これにより、院長や理事長など経営層の責務がより明確にされました。具体的には、以下の点が求められます。

• 情報セキュリティに関する方針の策定と周知
• 安全管理のための組織体制の整備
• 必要な資源（予算・人材）の確保

経営層がリーダーシップを発揮し、病院全体で安全管理に取り組むことが重要です。

要点2：サイバーセキュリティ対策の強化

ランサムウェア攻撃など、医療機関を標的としたサイバー攻撃は年々深刻化しています。これを受け、ガイドラインでは技術的な安全対策の強化が求められています。

• 外部公開サーバの監視強化
• インシデント発生を前提とした対応計画（BCP）の策定と訓練
• ネットワークの分離やアクセス制御の徹底

これらの対策は専門的な知識を要します。システムベンダーやセキュリティ専門家と連携して進める必要があるでしょう。

要点3：外部委託・クラウドサービス利用時の留意点

電子カルテをはじめ、多くのシステムがクラウドサービスで提供されるようになりました。これらの外部サービスを利用する際の医療機関側の責任を明確にしています。

• 委託先の選定基準の明確化と評価
• 契約書における安全管理措置の明記
• 委託先における管理状況の定期的な監督・監査

「委託先に任せているから安心」ではなく、自院の情報を管理する主体者として、委託先を適切に管理・監督する責任があることを認識する必要があります。

ガイドライン遵守に向けた院内体制の構築方法

実効性のある安全管理体制を築くためには、具体的な組織づくりが不可欠です。

医療情報システム安全管理責任者の任命

院内に医療情報システム安全管理責任者を任命し、その役割と権限を明確にすることが第一歩です。この責任者は、経営層と連携し、院内の情報セキュリティポリシーの策定、職員への教育、インシデント発生時の対応などを統括します。

職員全体への教育・研修の徹底

どれほど高度なシステムを導入しても、それを利用する「人」の意識が低ければ、情報漏洩や不正アクセスのリスクはなくなりません。全職員を対象に、情報セキュリティに関する定期的な研修を実施し、知識と意識の向上を図ることが重要です。特にフィッシングメールへの対応など、具体的な脅威に対する訓練も有効です。

医療安全と持続可能な病院経営の両立に向けて

本ガイドラインへの対応は、単なる規制遵守ではありません。これは、患者の安全と信頼を守り、将来にわたって持続可能な病院経営を実現するための重要な経営戦略です。経営層がリーダーシップを発揮して院内体制を構築・強化していくことが求められています。

＜参考＞厚生労働省：「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）」