厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第7回:外部情報処理事業者に対するITガバナンスの重要性としての第8章

2018-07-19

厚生労働省:「医療情報システムの安全管理に関するガイドライン」の第8章:「診療録及び診療諸記録を外部に保存する際の基準」では、厚生労働省通知『「診療録等の保存を行う場所について」の一部改正について』(以下、『外部保存改正通知』)が対象とする法定保存文書を、医療機関の外部施設へ電子的に保存・保管する場合に遵守する要求事項が定められています。
 
本章では、以下三つの外部保存のパターンが挙げられています。

(1)病院、診療所、医療法人等が適切に管理する場所に保存する場合

(2)行政機関等が開設したデータセンター等に保存する場合

(3)医療機関等が民間事業者等との契約に基づいて確保した安全な場所に保存する場合

クラウドサービスの波が医療機関にも大きく及ぶなか、外部保存のパターンとしては、今や<(3)医療機関等が民間事業者等との契約に基づいて確保した安全な場所に保存する場合>が主流を占めている状況と言えます。

そのことを念頭に置くと、厚生労働省安全管理ガイドラインの第8章は、クラウド事業者を含む外部の情報処理事業者(以下、「外部IT事業者」)が提供する外部環境下に医療情報を保存するに際しての、医療機関等による外部IT事業者に対するガバナンスの重要性を啓発しているものであることが理解できます。本コラムでは、医療機関等による外部IT事業者に対するITガバナンスとは何か、そして外部IT事業者はどのような姿勢をもってそれに臨むべきかという観点を中心に解説します。

なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。

医療機関等が実施すべきITガバナンス上の取組

医療機関等が外部IT事業者の提供するシステム環境に医療情報を電子的に保存することは、当該事業者に医療情報というセンシティブな個人情報の処理・保存等に係る業務を委託することと同義です。医療機関等では、様々な臨床/事務等に係る業務遂行に際して多くの業務を外部委託することが一般的ですが、医療情報システムという院内の業務インフラを外部事業者へ委託することは、同時にその管理を外部者へ委ねるという、非常に重要な決断を行うということでもあります。そのため第8章では、守秘義務、作業範囲の制限等、外部IT事業者との契約締結に際して事前に調整・交渉すべき、契約上の要求事項が最低限実施すべき事項としてさまざまに定められています。その中でも、ITガバナンスの観点で特に重要な事項は、業務委託期間において、外部事業者が契約に基づく適切な委託業務の運営を行っていることを定期的に報告させることを確実に求める要件と言っていいでしょう。具体的には、厚生労働省安全管理ガイドラインの第8章:8-1-2-C:最低限のガイドラインの、以下、C-(ウ)の事項が該当します。

【第8章:8-1-2:最低限のガイドライン】

(ウ):受託事業者が民間事業者等に課せられた経済産業省の「医療情報を受託管理する情報処理事業者向けガイドライン」や総務省の「ASP・SaaS における情報セキュリティ対策ガイドライン」及び「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」等を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等で確認をすること。(※)

外部IT事業者に対して、経済産業省または総務省の各ガイドラインに基づく自社の管理状況の定期報告を求め、その内容が契約上、妥当であるかどうかを医療機関等が確認するという要件は、限られた人的リソースでIT管理を行っている医療機関等にとっては、言うは易し、行うは難しかもしれません。経済産業省または総務省の各ガイドラインに基づく報告書は、技術専門性も高く、その内容を十分に吟味できるリソース自体が院内に存在しないケースもあるかもしれません。

しかしながら、業務インフラの中核を外部IT事業者へ委託することに伴う説明責任という観点から、その安全性を確実に確保することは、医療機関等にとって最重要ステークホルダーである患者から求められていることでもあると言えます。例えば、医療情報システムの管理監督が十分でなく、システム障害が発生した場合、最も悪影響を被るステークホルダーは院内の関係者や外部IT事業者でもなく、ほかならぬ患者です。

例えば、厚生労働省安全管理ガイドラインの「8.1.3:個人情報の保護-C:最低限のガイドライン」でも述べられている通り、外部保存を行っている医療機関等においては、患者に対して『外部保存を行っている旨を、院内掲示等を通じて説明し理解』を得ることが求められています。これは、医療情報の外部保存(医療情報システムの外部委託)において、自身への不利益が発生しないことを患者本人から同意を得ることの重要性を示していると言えます。

患者保護の観点より、医療機関等は、外部IT事業者の院内システム運営状況の定期的なモニタリングを行い、問題があれば適切な改善指導を行い、患者への医療サービスの提供の信頼性・継続性に影響を発生させないようにする管理責任を担っています。もし院内の人的リソースが不足しているのであれば、他の医療機関から情報収集を行う、あるいは外部の専門家に相談する等、さまざまな対応アプローチがあります。報告資料が存在すれば、事後的に取るべき対応を検討することが可能ですが、報告資料が存在しなければ、検討を行うこと自体が不可能となってしまいます。

このように、医療機関等は、まず外部のIT事業者に報告を求め、その内容のモニタリングを通して改善指導を行うという基本的な姿勢を持つことが重要です。この姿勢のもとで初めて、医療情報の外部保存(医療情報システムの外部委託)に際した、外部IT事業者へのITガバナンスの前提が担保されるようになります。

※:2018年7月時点で、「ASP・SaaS における情報セキュリティ対策ガイドライン」は『クラウドサービス提供における情報セキュリティ対策ガイドライン』、「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」は『クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン』への改定が進んでいます。

外部IT事業者が対応すべき取組

医療情報の外部保存業務の委託を受ける外部IT事業者は、経済産業省あるいは総務省が求めるガイドラインに対して、自社がどのような対応状況を行っているかを継続的に医療機関等へ報告できる態勢の整備が不可欠です。いうまでもなく、医療とは公益性の高い社会インフラであり、これを受託管理する上で求められる官公庁のガイドラインに自社がどのように準拠しているかに関して、契約先の医療機関等の求めに応じて都度、適時に開示できなければなりません。

しばしば、「当社の医療情報システムは3省4ガイドラインに準拠しています」等の営業上の主張を耳にすることがあります。しかし、実際に医療機関等により報告(開示)の依頼が届いた場合、適時に自社の対応状況を整理し、しっかりと開示できないようであれば、それは説明責任を果たしたことにはなりません。

なお、厚生労働省安全管理ガイドラインは個々の医療機関等に求められ、外部IT事業者との間で調整すべき要件を整理しているものであり、外部IT事業者が主体的/標準的に対応できる内容ではありません。「3省4ガイドラインへの準拠」等を主張する外部IT事業者は、該当ガイドラインの主旨・構成を十分に理解していないことを暗にアピールしているも同然であるため、この点には注意が必要です。

また、医療機関等(ユーザサイド)がそのような依頼を求めていないからと言って、自社の管理状況を十分に整理できていないことは、経済産業省あるいは総務省の各ガイドラインの要求事項に関して、厚生労働省安全管理ガイドラインが求める水準で対応できていないことと同義である点についても同じく注意しなければなりません。厚生労働省安全管理ガイドラインは、本コラムの第1回で述べた通り「ソフトロー」であり、当該ガイドラインが遵守できていないことはコンプライアンス違反となります。この違反の対象は、言うまでもなく事業者も含みます。

まとめ

上述してきた通り、第8章の内容は、医療機関等が外部IT事業者に対してITガバナンス(統治)を行使し、患者の保護という観点より、医療業務の継続性を担保するための要求事項について論じているものと言えます。その意味で、クラウドファーストの動向が医療機関等へも影響を及ぼしていく現状に適合するものであるとも言えるでしょう。

例えば、同第8章-8.1.3で、

【第8章-8.1.3】

患者の個人情報の保護等に関する事項は、診療録等の法的な保存期間が終了した場合や、外部保存を受託する事業者との契約期間が終了した場合でも、個人情報が存在する限り配慮する必要がある。また、バックアップ情報における個人情報の取扱いについても、同様の運用体制が求められる

と述べられている通り、外部保存改正通知の対象文書の法定保存期間が終了したあとも、医療機関等は、外部IT事業者による個人情報管理状況をしっかりと管理・監督(=ガバナンス)することが求められています。

なお、上記の法的な保存期間が終了した文書の取扱い等の要件は、現行の経済産業省および総務省ガイドラインの中には明示的に記載されていません。よって、外部IT事業者も両ガイドラインのみでなく、厚生労働省安全管理ガイドラインをしっかり理解した上で、管理態勢を構築していくことが求められていると言えます。

繰り返しになりますが、医療機関等は、医療情報システムという業務の中核を委託する外部IT事業者に対して適切な牽制を行いつつ、本来考慮すべき患者というステークホルダーに不利益が及ばないよう、契約に基づく適切なモニタリングを継続的に行う体制を確保することが重要です。よって、そのモニタリングすべき資料である定期的な報告文書は、積極的に入手すべきものでしょう。このような文書の開示に抵抗する外部IT事業者は、患者保護という観点から問題があると考えられます。

一方で外部IT事業者は、このような医療機関等の立場を厚生労働省安全管理ガイドラインの内容とともに正しく理解し、例えば報告内容を医療機関等の要員が理解しやすい形式で取りまとめる等、現場の負荷を低減するための工夫を行うことが重要です。このような対応を確実に行える外部IT事業者こそが、今後の医療IT業界において、医療機関等/患者(ユーザー)志向の高い事業者として名声を得ることができるでしょう。

執筆者

江原 悠介

ディレクター, PwC Japan有限責任監査法人

Email

厚生労働省「医療情報システムの安全管理に関するガイドライン」リスクベース対応に向けたポイント

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}