厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第2回:<管理責任>と<説明責任>

2017-07-10

厚生労働省「医療情報システムの安全管理に関するガイドライン」の最新版(第5版)が2017年5月に公表されました。本コラムではガイドラインを読み解くためのポイントを解説し、ガイドラインが求める管理要件に実効的に対応するためのヒントをご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

厚労省安全管理GLの構成~第3章について

厚労省安全管理GLは以下の通り、本体は10章立てで構成され、さらに付表・付録などの参考資料により全体構成されています。

<本体部>
1.はじめに
2.本指針の読み方
3.本ガイドラインの対象システムおよび対象情報
4.電子的な医療情報を扱う際の責任のあり方
5.情報の相互利用性と標準化について
6.情報システムの基本的な安全管理
7.電子保存の要求事項について
8.診療録および診療諸記録を外部に保存する際の基準
9.診療記録をスキャナ等により電子化して保存する場合について
10.運用管理について

<参考資料>
付表1 一般管理における運用管理の実施項目例
付表2 電子保存における運用管理の実施項目例
付表3 外部保存における運用管理の例
付録(参考)外部機関と診療情報等を連携する場合に取り決めるべき内容

第1章:「はじめに」は改訂に際した変更概要、第2章:「本指針の読み方」ではガイドラインの構成や凡例などの定義が中心のため、詳細は割愛し、まずは第3章から見ていきます。

第3章では、本ガイドラインの適用対象のうち、e‐文書法(電子保存の三原則)が適用される法的な保存文書として、医師法、歯科医師法、薬剤師法など、さまざまな法に定められた医療に関する文書(診療録、調剤録、処方せんなど)に加え、厚労省安全管理GL第5版の改定に伴い、訪問看護ステーションや介護事業者などが取り扱う文書類(訪問看護計画書/報告書、または各種介護計画・サービス計画など)について整理が行われています。
直近の改定において新たに想定対象業者に追加された事業者において、該当文書を情報システムにて電子的に管理している場合、電子保存の三原則など、本ガイドラインに基づく安全管理が講じられていないことは法令違反のリスクが高まることを意味します。そのため、まずは自組織の業務範囲のなかにどの程度の該当文書が含まれているのかについて改めて確認する(※1)ことが望まれます。

また、これらの文書群のうち、自施設の外部にて保存・管理が行われる文書類(紙/電子共)については、第8章:「診療録および診療諸記録を外部に保存する際の基準」で定める管理要件が適用される旨が記されており、第7章~第8章の管理要件がガイドラインの中でも大きな位置を占めていることが分かります。かし、これらの章の要件は、第6章:「情報システムの基本的な安全管理」が求める管理要件と通底しているため、第6章の内容を踏まえた検討を行わない場合、効果的な対応を図ることは困難です。この詳細は第6章に関する解説のなかで説明します。

※1「医療情報システムの安全管理に関するガイドライン(第5版)」 p16~p17参照

第4章~<管理責任>の観点

第4章:「電子的な医療情報を扱う際の責任のあり方」では、医療情報システムにおいて、第3章で記述された法的な保存文書などを管理する場合の、組織としての責任のありようが定められています。本体部では局面に応じた観点より詳細な責任のありようについて解説が行われていますが、本コラムでは要点を明確化するため、あえて単純化した観点より、<管理責任>と<説明責任>という二つの軸で解説を行いたいと思います。

<管理責任>とは、医療情報システムにおいて電子的な医療情報などを取り扱う管理水準を一定以上にするために、当該システムの設計、導入、運用という各フェーズにおいて外部委託先のコントロールも含め、システムに求められる要件(機能要件/非機能要件)を確実に実現していくことに係る責任です。
ここで言う医療情報システムとは、単なるアプリケーションを導入したサーバ筐体のみでなく、施設内のネットワーク回線・機器、システムへアクセスするための業務端末や携帯型情報端末に加え、システム保守用の端末や外部記憶媒体なども含めた、医療情報システムの安全な継続利用性を維持するための全要素を指しています。自組織として医療情報システムを用いてサービスを提供する上で、利害関係者(ステークホルダー)に悪影響を及ぼさないため、これらの要素を管理することは組織としての責務になります。なお、この利害関係者には組織内部の要員のみでなく、患者/サービス利用者、ひいては行政当局も含まれます。

例えば、外部委託先(外部の情報処理事業者)が提供するネットワークなどが医療情報システムの一部を構成している場合、<管理責任>の観点からは、委託元として、該当業務の外部委託先への監督・指導責任が自組織には発生します。一般的な事業会社では「外部委託先管理」という用語で語られるものですが、システムの保守・運用に際して外部事業者へ管理を丸投げすることは、<管理責任>の放棄と同義と捉えられてもしかたありません。
「このシステムの管理はxxxという業者に任せている」、「この業務はzzzzという外部委託先のベンダが全て管理している」など、こうした言葉をよく耳にすることがありますが、『全ての管理責任は外部業者に帰責する』という条項を含む契約をその業者と結んでいる組織はほとんど存在しないと思われます。契約に基づかない責任分界の整理は単なる口約束でしかなく、何か問題が発生した場合にさまざまな矢面に立たされるのは、もちろん外部事業者でなく、自組織になります。このような意識を持ち、外部事業者の責任主管となる範囲を明確な契約を元に整理することが必要です。こうした取り組みをとおして、システムの管理主体(=責任主体)が不在となる領域をなくす(=責任の空白地帯を解消する)こと、これが<管理責任>の重要なポイントになります。

第4章~<説明責任>の観点

上記のような取り組み状況は、同時に内外のステークホルダーにしっかり理解できる水準で開示することが求められます。これが<説明責任>です。自組織で上記の取り組みを確実に行ってはいるものの、その実情は内部関係者しか把握しておらず、その他の関係者に向けて合理的に説明できない状況であれば、それは説明する責任を果たしていないと言わざるを得ません。

<説明責任>の確保に向けて重要な取り組みは記録管理です。記録として第三者が事後的に確認できる水準で自組織の取り組みを明確に管理できているか、これは説明責任の充足にあたって重要なポイントです。
「私たちはやっている」と言ってもその証拠(=エビデンス)を提示できなければ、何の説得力もないことは簡単にご理解頂けると思います。明確なエビデンスに基づき「私たちはやっている、このエビデンスを見てほしい」としっかり第三者に対しても、自組織の取り組みの妥当性を説明できること、これが<説明責任>の充足に向けた管理要件です。説明責任の充足を判断する主体は、管理責任を遂行する主体のように自組織ではなく、あくまで自組織以外の第三者になることはしっかり理解する必要があります。

第4章~総括補足について

以上の通り、第4章における組織としての責任のありようについて、<管理責任>/<説明責任>という二つの軸を基に解説しましたが、簡単に言えば、『医療情報システムの管理責任主体が不在となる責任の空白地帯を解消した管理活動を行うとともに、その状況を利害関係者に向けて適時に発信できる仕組を講じること』という要件に要約できます。
この要件は、今後、解説する第6章以降の内容をリスクベースで検討する上で基本的な前提にもなるため、このような観点より、是非、自組織の取り組み水準を再検証することが推奨されます。特に、会計監査により経営ガバナンスの透明性について外部に向けた開示が求められている一定規模以上の医療法人・社会福祉法人においては、情報管理上のガバナンスの一部として、「私たちはしっかりやっている」という、<管理責任>のみでなく、その取り組み状況が外部に向けて確実に理解される水準で記録管理されているかという<説明責任>を果たすことが社会的に求められていると言えます。

なお、医療情報システムの開発・運用業務を外部委託する組織、あるいはASP/クラウド事業者などによる外部ネットワークを介した医療情報システムサービスを利用している組織においては、委託元の責任として、外部委託先の情報処理事業者(ITベンダー)が、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(以降、『経産省安全管理GL』)、および総務省「ASP・SaaSにおける情報セキュリティ対策ガイドライン」(以降、総務省情報セキュリティ対策GL)、「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」(以降、『総務省安全管理GL』))に準拠した管理態勢を整備しているかという観点からのモニタリングも<管理責任>、あるいは<説明責任>の一部として求められることになります。

例えば、今まで、自組織が利用し、保守・運用を委託する医療情報システムを管理する外部委託先(外部の情報処理事業者)に対して、経産省安全管理GLに基づく取り組みが行われているかについて報告書(エビデンス)の提示要求を行ったことはあるでしょうか。あるいは、自組織が利用するASP/クラウド型サービス事業者がしっかり行政当局が要求するガイドラインに基づいてサービスを提供しているかについて、報告書などを提示させ、内容面の検証を行ったことはあるでしょうか。

<説明責任>の項でも記した通り、仮に外部委託先が「私たちはちゃんとやっている」と口頭で言ったとしても、それは自組織にとって何の説明責任の充足にもなりません。自組織が医療情報システムを利用する上で、厚労省安全管理GLの遵守を行うためには、外部の情報処理事業者が経産省/総務省の各ガイドラインに応じた態勢を講じているかを確認する<管理責任>、およびその状況を利害関係者に適時に開示しうる<説明責任>が求められます。このような取り組みが十分でない場合、法令遵守という観点より、自組織が一定以上のリスクを抱えることになるということをしっかり理解することが、医療機関・介護事業者などにとって必要になります。

執筆者

江原 悠介

ディレクター, PwC Japan有限責任監査法人

Email

厚生労働省「医療情報システムの安全管理に関するガイドライン」リスクベース対応に向けたポイント

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}