リスクベースアプローチに基づくセキュリティ管理およびユーザーに対するリスクコミュニケーション態勢の整備を包括的に支援
2020年9月9日
PwCあらた有限責任監査法人
PwCあらた有限責任監査法人(東京都千代田区、代表執行役:井野 貴章)は、9月9日、医療情報を電子的に管理する情報システム・サービス事業者向けに、新たに策定された「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」への対応を支援するサービスを開始しました。
これまで、医療情報を電子的に取り扱う情報システム・サービス事業者は、経済産業省と総務省が公表するそれぞれのガイドライン*への準拠が求められていましたが、今般、これらのガイドラインが「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」として一つに整理・統合されました。
本ガイドラインでは、標準化された指定のセキュリティ対策の実施を求める従前のルールベースアプローチから、自社が提供する医療情報システム・サービスにおけるデータの流れを明確化した上でセキュリティリスクの特定・分析・評価を行い、合理的なセキュリティ対策の設計とその継続的な運用を求めるリスクベースアプローチへと、大幅な内容の変更が行われています。
また、事業者には、自社の医療情報システム・サービスに係るセキュリティリスク、およびそれに基づく対策の内容などを、医療機関をはじめとするユーザーに対して説明し、セキュリティ管理態勢全体について合意形成を図ることが求められており、従前よりもユーザーに対する能動的なリスクコミュニケーションが重視される内容となっています(図1および図2)。
当法人は、監査や各種アドバイザリー業務で培ったガバナンスやリスク管理、医療業界に関する知見を生かし、医療分野の情報システム・サービス事業者が提供する各種システム・サービスにおける情報の流れを特定し、リスクの洗い出しや評価を行い、必要なセキュリティ対策の策定や現行のリスク管理態勢を改善することを支援します。また、これらのリスク対応の取り組みについて医療機関などのユーザーと十分な共通理解のもとに円滑な合意形成を進めるため、対外開示する情報の整理などもあわせて支援することで、新たなガイドラインへの対応を包括的にサポートします(図3)。
医療・介護現場のデジタル化に伴い、サイバー攻撃を防ぐためのセキュリティ対策の必要性は急速に高まっています。医療情報を取り扱う情報システム・サービス事業者は、病院や診療所、介護事業者、薬局などのユーザーに対し、自社のセキュリティ対策の対応状況を正確に説明し、対話を通じて信頼構築を図ることが不可欠となっています。団塊世代が後期高齢者となる「2025年問題」などにより、医療・介護の現場業務の効率性・継続性を支える情報システム・サービスのセキュリティ確保は、極めて重要な課題です。当法人は、全ての個人が安心してIT技術を活用した、より質の高い医療・介護サービスを受けられるよう、セキュリティが整備された社会環境の構築に貢献することを目指します。