{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2017-06-23
医療機関などが医療に関する患者情報、および当該情報を取り扱う情報システム類を管理するに際して準拠しなければならない厚生労働省「医療情報システムの安全管理に関するガイドライン」の最新版(第5版)が2017年5月に公表されました。本コラムではガイドラインを読み解くためのポイントを解説し、ガイドラインが求める管理要件に実効的に対応するためのヒントをご紹介します。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
「医療情報システムの安全管理に関するガイドライン」(以下、本コラムでは『厚労省安全管理GL』と記載)は、2005年3月に厚生労働省が第1版を制定した後、法令・規制の動向、および技術環境の変化に伴い、複数回の改定を加えられ、2017年5月30日に第5版が公表されています。(※1)
厚労省安全管理GLは、医療に関する患者情報を電子的に取り扱う情報システム・機器類(以下、『医療情報システム』と記載)を管理する組織体が準拠しなければならない最低限の管理要件、および推奨される管理要件について、さまざまな法令(e‐文書法や個人情報保護法など)や厚生労働省通知、または関連ガイドラインなどを総括した観点から取りまとめたものです。適用対象組織としては、病院や診療所などはもちろんのこと、薬局や訪問看護ステーション、また第5版からはe‐文書法が適用される医療情報を取り扱う介護事業体、あるいは地域医療連携を統括管理する組織体も含まれることになっています。
これらの組織体においてガイドラインへの違背という状態は、法令を遵守していない事態と見做される可能性があり、逆にガイドラインを遵守するかぎりにおいて何らかの事故が発生した場合においても一定の法的責任を果たしていたと考えられることになります。(※2)
このような観点に立つと、当該ガイドラインは強制的な執行力のあるハードローではなく、違反した場合には何らかの不利益が発生することになるソフトローに位置付けられ、強制力はないもののように考えられるかもしれません。
しかしながら、法令遵守が強く求められる当今、ソフトローを遵守しない場合のリスクは従前よりも大きくなっています。
特に、社会福祉法/医療法の改正に伴い、2017年度以降、医療・介護事業を提供する社会福祉法人、医療法人の一部には会計監査人の設置が義務付けられ、情報管理も含めた組織運営上のガバナンスが社会的に強く求められています。ここで言う「ガバナンス」とは、適切な組織運営に向けた管理態勢を構築するという管理責任に加え、それらの管理状況を内外の利害関係者に適時に開示するための仕組を構築するという説明責任をともに果たすことを意味します。
例えば、情報管理上のガバナンスという観点では、会計監査の中で検証されるIT内部統制の多くは、厚労省安全管理GLが求める管理要件とも密接な関連があります。ガイドラインへの対応により実現されたIT内部統制に係る管理水準は同時に独立した外部の会計監査人による監査にも耐えうる説明責任力の高さをも意味し、組織としてのガバナンスの成熟度を示すものとなります。
ガバナンスを求める声が日々高まる社会的な機運のもと、法令を十分に遵守できない(=ガバナンス不全)状況のなかで、医療・介護サービスを提供することは社会の要請に逆行することになりかねません。
また、現代は、さまざまなソーシャルメディアが乱立し、一般人が容易に社会に向けて情報発信を行える環境が急速に整備されており、情報発信に伴う結果が世論形成にも大きな影響をもたらしています。仮に、何らかの業務上の事故が発生した場合、その事故が具体的にガイドラインの管理要件と結びついていなくとも、ガイドラインへの違背という事実が想定外の経路から明るみにされ、ソーシャルメディアなどで取り上げられた場合、大きなレピュテーションリスク(風評リスク)を招くことになります。レピュテーションリスクにより業務運営の継続性が損なわれた企業事例は枚挙にいとまがありません。
このような状況を勘案すると、厚労省安全管理GLとは、医療情報システムを管理する組織において、情報管理上のガバナンスを透明に確保し、対外的な説明責任の遂行を可能とする法令遵守性を実現した上で、健全な業務運営を行うための前提であると言えます。ソフトローとしてのみでなく、実質的な強制力があるものと捉え、積極的な対応を図る姿勢が、医療機関などにおける組織運営の健全性および継続性を確保するとともに、その取り組み状況を対外的に説明する上でも重要であると言うことができます。
しかしながら、厚労省安全管理GLはおおよそ150頁近くの分量があり、さらに図1に示すとおり、先行するさまざまな法令・規制が複合的に絡み合った上で求められる管理要件が定められており、一読しただけで全体像を把握することは困難です。
【図1】厚労省安全管理GLを取り巻く法令・規制の概略
また、全体の3分の1を占め、医療情報システムの安全管理対策を定める第6章「情報システムの基本的な安全管理」においては、組織/人/物理/技術に係る安全管理の観点から関連する対策全てを網羅的に定義していることから、重複・類似する対策が複数存在します。そのため、実対応の局面において、管理要件に係る対策水準を効果的に検討するためには、厚労省安全管理GLの全体像を正しく認識するとともに、管理要件が想定しているリスクについて一定以上の理解が求められることになります。リスクに基づく要件の理解が十分でない場合、全体最適の観点からではなく、部分最適に向けた対策が図られ、本来求められるべき水準に対して過剰(あるいは過小)な対策が講じられ、管理対策の形骸化、あるいは継続的な管理水準の維持が困難となります。
このような状況に対して、厚生労働省としても、例えば厚労省安全管理GLを管理者の立場で理解するための読本(※3)の公開を行っています。また、関連する民間団体においても実対応を担う担当者の立場にて当該ガイドラインを読み解くための参考資料(※4)を公開するなど、官民ともに、当該ガイドラインの複雑度・読解難度を軽減し、実効性の高い対応支援を図るための取り組みをさまざまに行っています。しかし、リスクに基づく観点より、実務的な対応を行うために必要となるポイントを整理する取り組みはまだ十分に行われていないと考えられます。
リスクに基づく観点より、管理要件を理解し、対策を検討するアプローチはリスクベースアプローチと言われます。このアプローチを通して、リスクの程度(重大度)に応じた観点より、管理対策の強弱を検討することで、限られた資源を適正に配分し、管理対策を継続的に維持・運用するとともに、内外の環境変化に応じて見直していく(または関係者に向けて説明していく)PDCAサイクルの実効的な整備が初めて可能となります。
本コラムでは、このように対応難度の高い厚労省安全管理GLを実際に読み解き、現場にて対応を図らねばならない方々にとって、リスクベースな観点より効率的かつ効果的な対応を図るためのヒントを提供することを目的とし、これから複数回にわたり、厚労省安全管理GLへのリスクベースな対応を行うための重要なポイントを解説します。
また、医療情報システムの外部委託、またはインターネットを経由したASP/クラウド型サービスを利用している医療機関などにとっては、厚労省安全管理GLのみでなく、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」、および総務省「ASP・SaaSにおける情報セキュリティ対策ガイドライン」「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」など、関連するガイドラインが求める管理要件も考慮した上で、組織としての管理対策を検討しなければなりません。(図2)
【図2】各省庁ガイドラインの対象範囲
これらのガイドラインは基本的に医療情報システムの開発・運用、あるいはサービス提供を担う情報処理事業者を対象としたものですが、これらの情報処理事業者に医療情報システムの一部あるいは全部を外部委託する場合には、外部委託先管理の観点より、各ガイドラインが求める管理要件に対して、事業者がどのような対応を行っているかについて、委託元として管理する責務があります。よって、医療機関などにおいて、経済産業省、および総務省の各関連ガイドラインに対して、外部委託元としてどのように向き合っていくべきかについても、本コラムであわせて解説していきます。