近年、医療現場でのデジタル化が急速に進展する中で、その安全性とセキュリティの確保がますます重要視されています。医療機関や医療データを扱う事業者にとって、行政が策定した3省2ガイドラインは重要な規範です。この記事では、3省2ガイドラインの概要、制定の背景、医療機関への影響について解説します。さらに、セキュリティ対策の一環としてWAFサービスについても詳述します。
3省2ガイドラインとは
医療情報を扱う事業者や医療機関が準拠すべき2つのセキュリティガイドラインの総称です。具体的には、厚生労働省が策定した「医療情報システムの安全管理に関するガイドライン」と、経済産業省・総務省が共同で策定した「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つが該当します。つまり、3つの省庁(厚生労働省・経済産業省・総務省)が制定した2つのガイドラインを指します。
以前は「3省4ガイドライン」として知られていましたが、2018年に「3省3ガイドライン」に改訂され、2020年にはよりわかりやすくするために見直しと統合が行われた結果、「3省2ガイドライン」となりました。
これらのガイドラインは、医療情報の電子化が進む中で、セキュリティ対策を含めた安全な管理と個人情報保護に配慮した運用を確保することを目的として制定されたものです。
・厚生労働省のガイドライン
「医療情報システムの安全管理に関するガイドライン」は、医療機関などにおいて医療情報を扱う責任者を対象に策定されています。2023年5月には第6.0版のガイドラインが公表されました。このガイドラインは、医療機関がシステムを適切に運用するために、患者の視点に立った基本的な枠組みと指針を提供しています。具体的には、情報セキュリティの基本的な考え方や責任者の設置、情報漏えいの防止策、システム設計・運用に必要な規程類と文書体系、災害・サイバー攻撃等の非常時の対応について記載されています。
このガイドラインに違反しても、それ自体に罰則はありません。ただし、ガイドラインが個人情報保護法、電子文書法、医療法、医師法などを根拠に策定されていることから、違反行為が法令にも抵触する可能性は極めて高くなります。つまり、これらのガイドラインは法令遵守の基準としても機能し、遵守することが実質的に法的な義務となる可能性があります。
・経済産業省・総務省のガイドライン
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、事業者を対象に策定されています。2023年7月に、厚生労働省のガイドラインと足並みをそろえる形で第1.1版のガイドラインが公表されました。このガイドラインでは、事業者が医療情報における安全管理のために準拠すべき義務・責任について詳細に記載されています。さらに、医療機関と事業者の合意形成やその手法、提供すべき情報項目、および互いの役割分担についても具体的に述べられています。また、安全管理のためのリスクマネジメントに関するガイドラインも含まれています。
3省2ガイドラインが制定された背景
医療現場のデジタル化の進展とそれに伴う弊害が関連しています。
・医療分野のデジタル化の進展
正確な治療行為のため、医療機関では電子カルテの導入や予約・会計などの業務もデジタル化されています。医療情報には患者の病歴をはじめとする機密性の高い個人情報が含まれており、万が一情報が漏えいすれば患者の生命にも関わる可能性があります。そのため、医療情報の安全な管理および運用を確保するためにガイドラインが制定されました。
・医療機関へのサイバー脅威の増加
近年、あらゆる企業へのサイバー攻撃が頻繁に行われています。医療機関も例外ではなく、特に重要な個人情報を扱っていることもあり、年々高まるサイバー脅威は無視できません。このような状況下で、患者の安全とプライバシーを守るために、ガイドラインが制定されました。
3省2ガイドラインが医療機関に求めること
ガイドラインに記載されている主な要点を以下に紹介します。
・セキュリティ対策を強化する
医療情報システムの安全管理に関するガイドラインでは、特に医療機関の情報セキュリティ対策の強化に焦点を当てています。これは、医療情報の安全管理が極めて重要であるためです。具体的には、マルウェア感染を防ぐためのゼロトラスト思考の提案や、サーバー攻撃への対策などがまとめられています。
また、厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」では、医療機関や事業者が医療情報システムの構築や運用の際に優先的に取り組むべき事項がリストアップされています。このチェックリストを有効に活用することで、現状の把握と将来への備えに役立ちます。
参考:医療機関におけるサイバーセキュリティ対策チェックリスト|厚生労働省
・クラウドサービスの利用を見直す
電子カルテを含む医療情報データの管理を一部またはすべてをクラウドサービスに委託する医療機関が増加しています。このような背景を踏まえて、医療情報システムの安全管理に関するガイドライン第5.1版から、クラウドサービスの事業者の選定に関する記述がなされました。これは、事業者の情報管理が不十分であったり、財務状況が不安定であったりする可能性に備えるほか、国内法の適用外であるリスクを防ぐためです。そこで、委託先が情報処理の国際規格であるISMS認証(ISO27001)や日本国内のPマーク(プライバシーマーク)を取得しているかどうかを確認することが求められています。
・オンライン資格確認の環境を整える
2023年4月から、すべての保険医療機関や薬局において、マイナンバーカードなどのオンライン資格確認の導入が原則として義務化されました。この取り組みに対応して、医療情報システムの安全管理に関するガイドライン第6.0版では、オンライン資格確認を適切に運営するための導入方法や運用方法、セキュリティ対策について詳細に記載されています。
3省2ガイドラインの準拠に役立つ「WAFサービス」
3省2ガイドラインの記載からも見て取れるように、医療機関は患者の個人情報や医療データが不正にアクセスされるリスクを減らすために、セキュリティ対策する必要があります。この際に役立つのが「WAFサービス」です。WAFサービスは、クロスサイトスクリプティング(XSS)、SQLインジェクション、セッションハイジャックなどの攻撃を検出し、防御してくれます。数あるWAFサービスの中でも特におすすめなのは、「Cloudbric WAF+(クラウドブリック・ワフプラス)」です。高度な攻撃検知機能と防御を備えたCloudbric WAF+は、簡単に運用・設定できるよう設計されているため、専門知識を持ったスタッフがいなくても利用できます。
まとめ
3省2ガイドラインは医療機関と医療情報を扱う事業者向けの重要な指針です。医療データの安全管理や個人情報保護が中心であり、セキュリティ対策の強化やクラウドサービスの選定には特に注意が必要です。WAFサービスはセキュリティ対策において有効であり、特にCloudbric WAF+利用の検討をおすすめします。
▼WAFをはじめとする多彩な機能がひとつに。企業向けWebセキュリティ対策なら「Cloudbirc WAF+」
▼製品・サービスに関するお問い合わせはこちら