厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第4回:IT統制要件の観点から見る第6章

2017-08-16

厚生労働省「医療情報システムの安全管理に関するガイドライン」の最新版(第5版)が2017年5月に公表されました。本コラムではガイドラインを読み解くためのポイントを解説し、ガイドラインが求める管理要件に実効的に対応するためのヒントをご紹介します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

第6章と会計監査におけるIT統制要件の関係性

厚労省安全管理GLの第6章「情報システムの基本的な安全管理」は全体の3分の1程度を占めており、その読解には非常に骨が折れることが想定されます。既に厚労省安全管理GLを読み解くための参考資料などはさまざまに公表されており、同じ内容を解説することには意味がないため、このコラムでは医療情報システムを対象として、会計監査において検証されるIT統制要件の観点より、第6章が定める管理要件について解説したいと思います。

第2回目のコラムで解説したとおり、ガバナンスには管理責任と説明責任という二つの水準があります。管理責任は組織として求められる要求事項に対して取り組みを行う義務、説明責任はその取り組み状況を内外の利害関係者(ステークホルダー)に向けて理解できる水準で説明する義務となります。

今まで医療法人・社会福祉法人においては主に前者の義務の遂行は行われている一方、後者の義務においてはリソース面の課題などにより、対応が遅れている法人が多いことが想定されます。しかしながら、IT統制の取り組み状況を会計監査人も含めた関係者に対して確実に説明し、理解を得なければならない状況が社会的な要請として発生しています。

このような状況下において、第6章が定める管理要件に対応することは、会計監査人が求めるIT統制水準に応え、ステークホルダーへの説明責任を果たすことにも繋がるものとなります。

それでは、第6章が定める管理要件と、会計監査上のIT統制要件とはどのように関連するのでしょうか。

IT統制要件とのマッピング

第6章は以下の12のカテゴリーから構成されており、さまざまな安全管理要件が定められています。

 

【図表1】第6章の安全管理カテゴリー

第6章:情報システムの基本的な安全管理

6.1 方針の制定と公表

6.2 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践

6.3 組織的安全管理対策(体制、運用管理規程)

6.4 物理的安全対策

6.5 技術的安全対策

6.6 人的安全対策

6.7 情報の破棄

6.8 情報システムの改造と保守

6.9 情報及び情報機器の持ち出しについて

6.10 災害、サイバー攻撃等の非常時の対応

6.11 外部と個人情報を含む医療情報を交換する場合の安全管理

6.12 法令で定められた記名・押印を電子署名で行うことについて

 

第6章では、組織としての基本的な安全方針に基づき、医療情報システムを取り巻くリスクを評価した結果に基づき、(限られた)管理資源をリスクの内容に応じてさまざまな安全管理対策へ配分することで、合理的な管理態勢を整備するとともに、内外の環境変化に応じて見直しを図っていくPDCAサイクルが全体として求められています。これらの管理要件について、会計監査の観点より想定するリスクを検討した場合、以下のとおり、13のIT統制要件へ整理することが出来ます。(図表2参照)

【図表2】第6章の安全管理要件/会計監査におけるIT統制要件とのマッピング

これらのIT統制要件は、会計監査人が財務報告の信頼性を主目的として、医療情報システムを検証する際の一般的なカテゴリーです。さらに、一部の要件については重点的な検証をすることが求められることになります。

会計監査上のIT統制要件の概要と、特に重点検証が行われる可能性の高い範囲については以下の図表3をご覧ください。

なお、厚労省安全管理GLの第5版で追加されたIoT機器の管理は「媒体・機器管理」「業務継続管理」「ネットワークセキュリティ管理」というIT統制要件に集約しています。

【図表3】IT統制要件一覧

【図表3】IT統制要件一覧

厚労省安全管理GLが第1回目で解説したとおり、ソフトロー(=遵守すべき法令)として求められるものであるかぎり、これらのIT統制要件に準拠してない場合、安全管理GLが求める要件を充足していないことを意味する可能性が高く、組織にとってコンプライアンス上のリスクが存在することにもなります。

ただし、会計監査は法令遵守性を検証するのでなく、財務諸表などの信頼性を検証することを主目的とします。よって、IT統制が未成熟であったとしても、追加的な監査リソース(監査コスト)を投入することで検証を続けることが可能です。

しかしながら、仮にIT統制の成熟度が高ければ、こうした監査コストは不要になる可能性が高く、その分、会計監査人が要求する監査報酬を抑えることができる可能性も高まります。また、法令遵守性の面においても、IT統制の成熟度が厚労省安全管理GLに沿った水準であれば、厚労省安全管理GLが求めるコンプライアンスにも十分に応えうる水準となっている心証は高く、法令遵守性(=説明責任の水準)は高まると言えます。

法令遵守がもたらす副次的な効果

つまり、第6章の要件を確実に遵守することは、会計監査の一環として求められるIT統制の成熟度を高めるとともに、コンプライアンス遵守力の高さを示すことにもつながります。会計監査の枠のなかでIT統制の成熟度が低いことにより追加的な監査コストの発生もなくなるため、組織にとってもポジティブな結果となるでしょう。

もちろん、会計監査がスコープとする医療情報システムと、厚生労働省安全管理GLが対象とするシステムの範囲は必ずしも重なるとは限りません。しかし、診療行為やサービス提供業務の請求・算定管理を行う会計関連システム群であれば、会計監査においてもIT統制の検証要求度はおのずと高いため、この範囲についてまずは重点的に対応資源を投入することは法人にとって効果的に監査コストを抑えるとともに、法令遵守性を高めるための対応にもなると考えられます。

現在、あるいは今後において、外部の会計監査人による監査を受ける医療法人・社会福祉法人においては、特に会計関連システム群において、厚労省安全管理GL第6章が求める管理要件が遵守されているかという観点より、システム管理水準を再点検するとともに、然るべき対応策を講じることが望ましいと考えられます。第6章が求める管理要件に対して対応することは、会計監査上のコスト低減に加え、ソフトローへの遵守にも結び付く、自組織にとっても非常に有益な取り組みとなるのです。

執筆者

江原 悠介

ディレクター, PwC Japan有限責任監査法人

Email

厚生労働省「医療情報システムの安全管理に関するガイドライン」リスクベース対応に向けたポイント

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}