【連載】華と学ぶやさしい医療ICT | 第6回:クラウド社会とリスク対策
クラウド社会とリスク
私たちの生活は様々なクラウドサービスに支えられています。例えば、Web検索やSNS(LINE、Facebook)、スケジューラー、地図検索、商品売買、QRコード決済など挙げたらきりがありません。いまはこれらのサービスが無料もしくは低価格で利用できるのです。クラウドサービスがない生活はとても想像できない時代となりました。
医療の世界に目を移しても、2010年の医療分野のクラウド解禁以来、どんどんシステムのクラウド化が進んでいます。現在、例えば予約システム、PACS、電子カルテ、地域連携システム、医療版SNSなどがクラウドサービスとして提供されています。
一方で、クラウドサービスには「リスク」があることは忘れてはなりません。今回は、クラウド社会におけるリスクについて考えていきたいと思います。
相次ぐ自然災害を受けてクラウドバックアップが進む
2011年の東日本大震災、最近では中国地方での集中豪雨など、我が国は相次ぐ自然災害に見舞われています。災害によって、紙カルテや電子カルテが水没する事件が、ニュースでたびたび報道されています。相次ぐ自然災害の報道を受けて、自らが当事者になるかもしれないという恐れから、多くの医療機関で危機管理意識が高まっており、BCP(Business Continuity Plan:事業継続計画)を作成する医療機関も増えています。
医療機関にとって、事業を継続する、すなわち災害がおきても患者を診療するためには、カルテなど医療情報を安全に管理することは重要です。
そこで、災害対策として医療機関内で電子カルテやレセコンなどのサーバを管理するだけではなく、クラウド上でバックアップデータを管理し、万が一に備える医療機関が増えています。医療情報の分散管理を行うことが一般的になりつつあるのです。
クラウドサービスに関する「3省3ガイドライン」
一方、世の中のクラウドサービスの利用状況に比べて、医療の世界ではそれほど利用が進んでいないように感じます。その理由は様々ありますが、医療機関が取り扱う情報が他の業種に比べて、非常に高いレベルで安全性を確保する必要があるためです。クラウドサービスを利用する際、情報が流出してしまった場合やサービスが使えなくなった時の不安がいまだ先行しているためだと思われます。
そういった不安や課題に対応するため、政府は医療分野におけるクラウドサービスの利用についてのルールや守るべき規範をまとめたガイドラインを定めています。
ガイドラインは、医療分野を管轄する厚生労働省、総務省、経済産業省の3省がそれぞれ出しており、この3省が出している3つのガイドラインを総称して、「3省3ガイドライン」と呼ばれています。
※ 以前は「3省4ガイドライン」と呼ばれていましたが、総務省のガイドラインが2018年に1つに整理され、今は「3省3ガイドライン」となっています。
- 「医療情報システムの安全管理に関するガイドライン」
病院、診療所薬局など医療機関が対象で、これら組織で扱う医療・介護情報システムを運営するための組織体制や設置基準、外部委託時の外部事業者と定める内容などを提示しています。
<厚生労働省>
- 「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」
サービス提供事業者が対象で、厚生労働省のガイドラインをクラウドサービス事業者の観点から追加・補強したものです。クラウドサービス事業者が医療情報の処理を行う際の責任や安全管理に関する要求事項などを提示しています。
<総務省>
- 「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」
サービス提供事業者が対象で、厚生労働省のガイドラインを情報処理事業者の観点から追加・補強したものです。医療情報を受託管理する情報処理事業者を対象に安全管理上の要求事項を提示しています。
<経済産業省>
最低限遵守すべき事項
「医療情報システムの安全管理に関するガイドライン」では、医療機関等がクラウドサービスを利用する場合の最低限遵守すべき事項として、以下のように示しています。
(ア)医療機関等が、外部保存を受託する事業者と、その管理者や電子保存作業従事者等に対する守秘に関連した事項や違反した場合のペナルティも含めた委託契約を取り交わし、保存した情報の取扱いに対して監督を行えること。
(イ)医療機関等と外部保存を受託する事業者を結ぶネットワーク回線の安全性に関しては「6.11 外部と個人情報を含む医療情報を交換する場合の安全管理」を遵守していること。
(ウ)受託事業者が民間事業者等に課せられた経済産業省のガイドラインや総務省のガイドライン等を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等で確認をすること。
(エ)保存された情報を、外部保存を受託する事業者が契約で取り交わした範囲での保守作業に必要な範囲での閲覧を超えて閲覧してはならないこと。
(オ)外部保存を受託する事業者が保存した情報を分析、解析等を実施してはならないこと。匿名化された情報であっても同様であること。これらの事項を契約に明記し、医療機関等において厳守させること。
(カ)保存された情報を、外部保存を受託する事業者が独自に提供しないように、医療機関等は契約書等で情報提供について規定すること。外部保存を受託する事業者が提供に係るアクセス権を設定する場合は、適切な権限を設定し、情報漏えいや、誤った閲覧が起こらないようにさせること。
(キ)医療機関等において(ア)から(カ)を満たした上で、外部保存を受託する事業者の選定基準を定めること。少なくとも以下の4 点について確認すること。
(a)医療情報等の安全管理に係る基本方針・取扱規程等の整備
(b)医療情報等の安全管理に係る実施体制の整備
(c)実績等に基づく個人データ安全管理に関する信用度
(d)財務諸表等に基づく経営の健全性
※ 出典「医療情報システムの安全管理に関するガイドライン第5版」<厚生労働省>
このように、クラウドサービスを利用する際に起こり得る事象に対して、厳格なガイドラインが定め3省が協力して監督を行うことで、安全安心なクラウドサービスを利用できるようになると政府は考えています。医療機関がクラウドサービスを利用する際、是非一読いただき、業者選定やシステム構築の際に確認いただきたい資料です。
クラウド事業者側だけでなく、利用者側の医療機関でも3省3ガイドラインを満たすために対応が必要になります。各社から対応リファレンスが出されていますので、そちらも参考にしてください。
アルファテック・ソリューションズでもクラウドサービスへの導入をご支援しています。
お困りごとがあれば、是非お気軽にお問い合わせください。
次回は、「効率的なシステム構築」です。お楽しみに!
★今後の予定★
(第1回)医療ICTの歴史
(第2回)医療情報の標準化
(第3回)プラットフォームという考え方
(第4回)画像・検査の管理
(第5回)データを経営に活かす
(第6回)クラウド社会とリスク対策
(第7回)効率的なシステム構築
(第8回)「ソフト」と「ハード」を分けて考える
(第9回)プライベートクラウド
(最終回)AI・RPAの医療における可能性