メディカル・ヘルスケア領域でのサイバーセキュリティーデジタル変革期のイノベーションとどう向き合うか「3省ガイドライン」から見る、国内の医療情報システムのセキュリティ管理態勢の変化

昨今、国内の医療機関等を標的としたサイバー攻撃、システムの内部設定不備に伴うセキュリティインシデントが数多く報告されています。医療等の現場の根幹を支える医療情報システムのセキュリティは、ともすれば人命に関わるゆえ、ますます重要性を増しています。

国内にはこうした医療情報システムのセキュリティを考える上で不可欠なガイドラインが存在します。いわゆる「3省ガイドライン」と言われるもので、厚生労働省が医療機関向けに公表する「医療情報システムの安全管理に関するガイドライン」^*1と、経済産業省・総務省が医療情報システム・サービス提供事業者（以下、事業者）向けに公表する「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」^*2がそれに当たります。

前者については以前に別のコラムで紹介していますが、3省ガイドラインという建て付けで俯瞰すると、状況は大きく変わりつつあります（図1）。特に2020年、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の大幅な内容の見直しが行われました。経済産業省と総務省が別に出していたガイドラインが統合され、従前よりもリスクベースのアプローチが強調されると共に、医療機関等／事業者が医療情報システム全体のセキュリティを確保する上で何をなすべきかについて、ステークホルダーとしっかりとしたコミュニケーションを行うことが求められるようになっています。

本稿では、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（以下、「事業者GL」）見直し後の内容の要点を紹介しながら、国内の医療情報システムに求められるセキュリティ管理態勢がいかに変化しているかを考察します。

なお、本稿における意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点をあらかじめお断りしておきます。

事業者GLの重要コンセプトは「リスクコミュニケーション」

2019年以前のガイドライン構成である「3省3ガイドライン」では、前述のとおり、経済産業省、総務省が個々に事業者向けのガイドラインを公表していました。そこでは、原則として、標準的なセキュリティ対策の実施を求めるルールベースのアプローチが中心でした。しかしながら、医療情報システムが抱えるセキュリティリスクは多様化しており、従来のアプローチでは限界が近付きつつあると言えました。そのため、事業者GLでは、医療情報システムにおけるデータの流れに着眼し、事業者がセキュリティリスクの特定・分析・評価を行い、合理的なセキュリティ対策の設計とその継続的な運用を求めるという考え方（リスクマネジメント）が全面に打ち出されています（図2）。

さらに、事業者はそのリスクマネジメントの内容を、医療機関をはじめとするステークホルダーに対して説明を行った上で、医療情報システム全体のセキュリティを確保するためにお互いが何をなすべきかについて、合意形成を図ることが求められています。このように、セキュリティリスク管理態勢全体を維持するための互いの役割について、従前より能動的に医療機関等とのコミュニケーションを図ること、つまりリスクコミュニケーションが重視される内容となりました。

昨今のデジタル化の加速やサイバー脅威の増加といった社会情勢を勘案して、旧ガイドライン群と比較して最も着目すべき重要な変更点は、リスクコミュニケーションであると筆者は考えます。さまざまなシステムが知らぬ間に切り結ばれ、サービスの一部として提供される「つながる世界」において、どのようなセキュリティ対策を自らが講じ、かつ、相手に求めるのかについて、ステークホルダーとの間で同一の目線でコミュニケーションを行うことは、説明責任という観点からも重要となります。特に、公益性が高く、セキュリティの不備が患者の人命に関わりかねない医療情報システムでは、この責任はさらに高くなると言えるのではないでしょうか。

事業者／医療機関等間の有機的連携によるリスクベースアプローチの実現を

2021年1月には、医療機関等が遵守すべき「医療情報システムの安全管理に関するガイドライン」（厚生労働省）が、事業者GLの内容を踏まえて更新されました。このガイドラインは、各章の内容やFAQ文書^*3などを精査すると、医療機関等の規模、医療情報システムの利用形態などを踏まえた観点より、実施すべき管理対策の内容・水準などをリスク評価の結果に基づき検討した上で選択すること、つまりリスクベースなセキュリティ管理アプローチを推奨しています。

医療機関等の中には、このガイドラインで求められる要求事項は全て実施しなければならないと誤解しているケースが少なくありません。これの大きな理由として、これまで事業者とのリスクコミュニケーションが不足していたことが挙げられるのではないでしょうか。医療機関等としてリスク評価を行い、合理的なセキュリティ管理策を選択するためには、事業者との双方向のコミュニケーションを通じて、該当システムに係るセキュリティ面の情報を収集することが不可欠です。情報が適切に収集できなければ、医療機関等として十分なリスク評価および管理策の選択もできなくなり、全ての要求事項に保守的に対応せざるを得なくなってしまいます。

今回の事業者GLでは、このような状況が発生しないように、医療情報システムなどを取り巻くリスクについて、事業者／医療機関等の共通理解に基づき、互いにどのような管理策を行うことで全体のセキュリティを確保・維持できるのかについてコミュニケーションをすることの重要性が強調されています。図3に、これまでの事業者／医療機関等間のコミュニケーション上の課題と、これから求められる姿をまとめました。今後は、事業者／医療機関等はリスクコミュニケーションによる有機的な連携を通じて医療情報システム等のリスクベースなセキュリティ管理を行う――。これこそが、事業者／医療機関等共に求められていると言えるでしょう。