厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント～第2回：＜管理責任＞と＜説明責任＞

厚生労働省「医療情報システムの安全管理に関するガイドライン」の最新版（第5版）が2017年5月に公表されました。本コラムではガイドラインを読み解くためのポイントを解説し、ガイドラインが求める管理要件に実効的に対応するためのヒントをご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

第4章～＜管理責任＞の観点

第4章：「電子的な医療情報を扱う際の責任のあり方」では、医療情報システムにおいて、第3章で記述された法的な保存文書などを管理する場合の、組織としての責任のありようが定められています。本体部では局面に応じた観点より詳細な責任のありようについて解説が行われていますが、本コラムでは要点を明確化するため、あえて単純化した観点より、＜管理責任＞と＜説明責任＞という二つの軸で解説を行いたいと思います。

＜管理責任＞とは、医療情報システムにおいて電子的な医療情報などを取り扱う管理水準を一定以上にするために、当該システムの設計、導入、運用という各フェーズにおいて外部委託先のコントロールも含め、システムに求められる要件（機能要件／非機能要件）を確実に実現していくことに係る責任です。
ここで言う医療情報システムとは、単なるアプリケーションを導入したサーバ筐体のみでなく、施設内のネットワーク回線・機器、システムへアクセスするための業務端末や携帯型情報端末に加え、システム保守用の端末や外部記憶媒体なども含めた、医療情報システムの安全な継続利用性を維持するための全要素を指しています。自組織として医療情報システムを用いてサービスを提供する上で、利害関係者（ステークホルダー）に悪影響を及ぼさないため、これらの要素を管理することは組織としての責務になります。なお、この利害関係者には組織内部の要員のみでなく、患者／サービス利用者、ひいては行政当局も含まれます。

例えば、外部委託先（外部の情報処理事業者）が提供するネットワークなどが医療情報システムの一部を構成している場合、＜管理責任＞の観点からは、委託元として、該当業務の外部委託先への監督・指導責任が自組織には発生します。一般的な事業会社では「外部委託先管理」という用語で語られるものですが、システムの保守・運用に際して外部事業者へ管理を丸投げすることは、＜管理責任＞の放棄と同義と捉えられてもしかたありません。
「このシステムの管理はｘｘｘという業者に任せている」、「この業務はｚｚｚｚという外部委託先のベンダが全て管理している」など、こうした言葉をよく耳にすることがありますが、『全ての管理責任は外部業者に帰責する』という条項を含む契約をその業者と結んでいる組織はほとんど存在しないと思われます。契約に基づかない責任分界の整理は単なる口約束でしかなく、何か問題が発生した場合にさまざまな矢面に立たされるのは、もちろん外部事業者でなく、自組織になります。このような意識を持ち、外部事業者の責任主管となる範囲を明確な契約を元に整理することが必要です。こうした取り組みをとおして、システムの管理主体（＝責任主体）が不在となる領域をなくす（＝責任の空白地帯を解消する）こと、これが＜管理責任＞の重要なポイントになります。

第4章～総括補足について

以上の通り、第4章における組織としての責任のありようについて、＜管理責任＞／＜説明責任＞という二つの軸を基に解説しましたが、簡単に言えば、『医療情報システムの管理責任主体が不在となる責任の空白地帯を解消した管理活動を行うとともに、その状況を利害関係者に向けて適時に発信できる仕組を講じること』という要件に要約できます。
この要件は、今後、解説する第6章以降の内容をリスクベースで検討する上で基本的な前提にもなるため、このような観点より、是非、自組織の取り組み水準を再検証することが推奨されます。特に、会計監査により経営ガバナンスの透明性について外部に向けた開示が求められている一定規模以上の医療法人・社会福祉法人においては、情報管理上のガバナンスの一部として、「私たちはしっかりやっている」という、＜管理責任＞のみでなく、その取り組み状況が外部に向けて確実に理解される水準で記録管理されているかという＜説明責任＞を果たすことが社会的に求められていると言えます。

なお、医療情報システムの開発・運用業務を外部委託する組織、あるいはASP／クラウド事業者などによる外部ネットワークを介した医療情報システムサービスを利用している組織においては、委託元の責任として、外部委託先の情報処理事業者（ITベンダー）が、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」（以降、『経産省安全管理GL』）、および総務省「ASP・SaaSにおける情報セキュリティ対策ガイドライン」（以降、総務省情報セキュリティ対策GL）、「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」（以降、『総務省安全管理GL』））に準拠した管理態勢を整備しているかという観点からのモニタリングも＜管理責任＞、あるいは＜説明責任＞の一部として求められることになります。

例えば、今まで、自組織が利用し、保守・運用を委託する医療情報システムを管理する外部委託先（外部の情報処理事業者）に対して、経産省安全管理GLに基づく取り組みが行われているかについて報告書（エビデンス）の提示要求を行ったことはあるでしょうか。あるいは、自組織が利用するASP／クラウド型サービス事業者がしっかり行政当局が要求するガイドラインに基づいてサービスを提供しているかについて、報告書などを提示させ、内容面の検証を行ったことはあるでしょうか。

＜説明責任＞の項でも記した通り、仮に外部委託先が「私たちはちゃんとやっている」と口頭で言ったとしても、それは自組織にとって何の説明責任の充足にもなりません。自組織が医療情報システムを利用する上で、厚労省安全管理GLの遵守を行うためには、外部の情報処理事業者が経産省／総務省の各ガイドラインに応じた態勢を講じているかを確認する＜管理責任＞、およびその状況を利害関係者に適時に開示しうる＜説明責任＞が求められます。このような取り組みが十分でない場合、法令遵守という観点より、自組織が一定以上のリスクを抱えることになるということをしっかり理解することが、医療機関・介護事業者などにとって必要になります。