「3省ガイドライン」から見る、国内の医療情報システムのセキュリティ管理態勢の変化

昨今、国内の医療機関等を標的としたサイバー攻撃、システムの内部設定不備に伴うセキュリティインシデントが数多く報告されています。医療等の現場の根幹を支える医療情報システムのセキュリティは、ともすれば人命に関わるゆえ、ますます重要性を増しています。

国内にはこうした医療情報システムのセキュリティを考える上で不可欠なガイドラインが存在します。いわゆる「3省ガイドライン」と言われるもので、厚生労働省が医療機関向けに公表する「医療情報システムの安全管理に関するガイドライン」^*1と、経済産業省・総務省が医療情報システム・サービス提供事業者（以下、事業者）向けに公表する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」^*2がそれに当たります。

前者については以前に別のコラムで紹介していますが、3省ガイドラインという建て付けで俯瞰すると、状況は大きく変わりつつあります（図1）。特に2020年、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の大幅な内容の見直しが行われました。経済産業省と総務省が別に出していたガイドラインが統合され、従前よりもリスクベースのアプローチが強調されると共に、医療機関等／事業者が医療情報システム全体のセキュリティを確保する上で何をなすべきかについて、ステークホルダーとしっかりとしたコミュニケーションを行うことが求められるようになっています。

本稿では、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（以下、「事業者GL」）見直し後の内容の要点を紹介しながら、国内の医療情報システムに求められるセキュリティ管理態勢がいかに変化しているかを考察します。

なお、本稿における意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

事業者／医療機関等間の有機的連携によるリスクベースアプローチの実現を

2021年1月には、医療機関等が遵守すべき「医療情報システムの安全管理に関するガイドライン」（厚生労働省）が、事業者GLの内容を踏まえて更新されました。このガイドラインは、各章の内容やFAQ文書^*3などを精査すると、医療機関等の規模、医療情報システムの利用形態などを踏まえた観点より、実施すべき管理対策の内容・水準などをリスク評価の結果に基づき検討した上で選択すること、つまりリスクベースなセキュリティ管理アプローチを推奨しています。

医療機関等の中には、このガイドラインで求められる要求事項は全て実施しなければならないと誤解しているケースが少なくありません。これの大きな理由として、これまで事業者とのリスクコミュニケーションが不足していたことが挙げられるのではないでしょうか。医療機関等としてリスク評価を行い、合理的なセキュリティ管理策を選択するためには、事業者との双方向のコミュニケーションを通じて、該当システムに係るセキュリティ面の情報を収集することが不可欠です。情報が適切に収集できなければ、医療機関等として十分なリスク評価および管理策の選択もできなくなり、全ての要求事項に保守的に対応せざるを得なくなってしまいます。

今回の事業者GLでは、このような状況が発生しないように、医療情報システムなどを取り巻くリスクについて、事業者／医療機関等の共通理解に基づき、互いにどのような管理策を行うことで全体のセキュリティを確保・維持できるのかについてコミュニケーションをすることの重要性が強調されています。図3に、これまでの事業者／医療機関等間のコミュニケーション上の課題と、これから求められる姿をまとめました。今後は、事業者／医療機関等はリスクコミュニケーションによる有機的な連携を通じて医療情報システム等のリスクベースなセキュリティ管理を行う――。これこそが、事業者／医療機関等共に求められていると言えるでしょう。