医療情報システム安全管理ガイドライン改訂版の骨子を公表、病院院長等もサイバー攻撃の恐ろしさを十分に認識せよ!
2023.2.21.(火)
医療機関のサイバーセキュリティ対策を強化するために、医療機関管理者(院長)にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか(セキュリティ対策は確保されているのかなど)をきちんと把握してもらう—。
政府は2月16日から、こうした内容を盛り込んだ「医療情報システムの安全管理に関するガイドライン」改訂版(ver.6.0)の骨子についてパブリックコメントの募集を始めました(3月7日まで、パブコメ募集サイトはこちら)。
●「医療情報システムの安全管理に関するガイドライン第 6.0 版」の骨子(案)はこちら)
医療機関の「経営層」も、セキュリティ確保の重要性など基本的部分の認識を
医療機関がサイバー攻撃を受け、甚大な被害が発生する事例が散発しています。例えば、2021年秋には徳島県の病院がランサムウェア攻撃を受け、昨秋(2022年秋)には大阪府の大規模急性期病院が被害にあいました。患者の電子カルテをはじとする医療データがすべて暗号化され病院内で利用できなくなり、全面復旧までには数か月がかかっています。
このため、厚生労働省の「健康・医療・介護情報利活用検討会」や、下部組織である「医療等情報利活用ワーキンググループ」において、「医療情報システムの安全管理に関するガイドライン」の再改訂論議がまとまり、例えば、システム管理者のみならず、医療機関の管理者(院長)にも▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点をしっかり理解してもらう▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化してもらう▼自院にどのような情報機器が保有され、どのような情報なのか(セキュリティ対策は確保されているのかなど)をきちんと把握してもらう—ことなどを求める改訂が行われます(関連記事はこちら)。
ガイドライン改訂に向けては、広く国民から意見(パブリックコメント)を募り、それを反映させる必要があります。厚労省と医療等情報利活用ワーキンググループでは「まず改訂版(第6.0版)の骨子についてパブリックコメントを募集し、その後に改訂版の本編についてパブリックコメントを募集する」という2段構え方針を決定。今般、第1弾となる「改訂版(第6.0版)の骨子」を公表し、パブリックコメントの募集を始めました(本年(2023年)2月16日-同年3月7日、パブコメ募集サイトはこちら)。
ここでは「改訂版(第6.0版)の骨子」について眺めてみましょう。
新たなガイドライン(第6.0版)は、(1)各編に共通する前提内容を整理した概説編 (Overview)(2)医療機関等において組織の経営方針を策定し意思決定を担う「経営層」を対象とした経営管理編(Governance)(3)医療情報システムの安全管理(企画管理、システ ム運営)の「実務を担う担当者」を対象とした企画管理編(Management)(4)医療情報システムの「実装・運用の実務を担う担当者」を対象としたシステム運用編(Control)—の4編構成となります。
このうち(1)の概説編では、▼ガイドラインの目的▼ガイドラインの対象 (医療機関等の範囲、医療情報・文書の範囲、医療情報システムの範囲) ▼ガイドラインの構成、読み方▼各編を読むに当たって前提となる考え方(医療情報システムの安全管理の目的、安全管理に必要な要素、関連する法令等)—などを記載することが示されました。
また(2)の経営管理編では、院長などの医療機関経営層に対して、▼医療情報システムの安全管理に関する責任・責務▼リスク評価を踏まえた管理(情報セキュリティマネジメントシステム(ISMS)の実践等)▼医療情報システムの安全管理全般(経営層による内部統制、情報セキュリティ対策の設計および管理、事業継続計画(BCP)の整備を含む情報セキュリティインシデントへの対策等)▼医療情報システム・サービス事業者との協働(当該事業者の選定、管理、当該事業者との責任分界等)—を求める内容となります。
医療機関の経営層は、ICTの専門家ではないケースがほとんどです。このため、ともすれば「私はまったく分からない。セキュリティ関係は担当者にすべて任せている」となりがちです。もちろん、実際の対策は担当者(院内、外部)が行いますが、経営層も「私は専門外なのでまったく分からない」と考えるのではなく、▼「サイバー攻撃を受けた場合に、経営の危機に陥ることも少なくない」点を理解し、サイバーセキュリティ確保に努める▼どこまでが医療機関の責任で、どこからが外部業者の責任となるのかを明確化する▼自院にどのような情報機器が保有され、どのような状況なのか(セキュリティ対策は十分に確保されているのかなど)を医療機関管理者も把握する—ことなどが強く求められていることを、(2)の経営管理編で十分に認識することが求められます。
さらに(3)(4)の実務者向け編では、次のような内容が記載されます。
(3)企画管理編
→▼医療情報システムの安全管理全般 (関連法制度、安全管理方針の策定、責任分界、管理・監査体制、必要な規程、文書類の整備、職員・委託先の医療情報システム・サービス事業者の人的管理等)▼リスクアセスメント(リスク分析・評価)とリスクマネジメント(リスク管理)▼情報管理(情報の持ち出し、破棄等)▼医療情報システムに用いる情報機器等の管理▼非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時から の対策▼サイバーセキュリティ対策(通常時、サイバー攻撃に起因する非常時・復旧対応時における対応を整理した計画の整備等)▼医療情報システムの利用者に関する認証等および権限管理▼法令で定められた記名・押印のための電子署名—
(4)システム運用編
→▼医療情報システムの安全管理における技術的対策(端末等の情報機器、ソフトウェア、ネットワークに対する安全管理措置等)▼システム設計・運用に必要な規程類と文書体系▼ 技術的な対応における責任分界▼リスクアセスメントを踏まえた安全管理対策▼非常時(災害、サイバー攻撃、システム障害)の対応と非常時に備えた通常時からの対策▼サイバーセキュリティ対策(情報機器等の脆弱性対策、バックアップの実施・管理等)▼医療情報システムの利用者や連携するアプリケーションの認証等および権限管理▼電子署名に関する技術的対応—
繰り返しになりますが、医療機関がサイバー攻撃を受け、診療停止に追い込まれる事例も生じています。平時よりセキュリティ対策を確保することがますます重要になってきています。
【関連記事】
救急医療における患者の診療情報確認、救急医療従事者に特別権限付与し「通常の端末」で確認する仕組みに―医療等情報利活用ワーキング(2)
病院院長等もサイバー攻撃の恐ろしさ認識し、院内の全医療情報機器とセキュリティ状態の把握などせよ―医療等情報利活用ワーキング(1)
全国病院等での診療情報共有、共有情報拡大に合わせ「患者同意」取得画面見直し—健康・医療・介護情報利活用検討会
オンライン資格確認等システム、来年(2023年)4月からの原則義務化に向け「一刻も早い対応」が必須—厚労省・三師会
訪問診療や訪問看護等、初回訪問時に「過去の診療情報共有」等の包括同意を取得する仕組みに—社保審・医療保険部会(2)
オンライン資格確認等システム導入の経費補助を充実、医療機関等は「早期の申し込み、システム改修」に努めよ—厚労省
オンライン資格確認等システムを2023年度から保険医療機関等に義務化、導入促進に向け「初診料の新加算」創設—中医協総会(1)
オンライン資格確認等システム、2023年4月から紙レセ医療機関等以外は「原則、導入義務」へ—中医協総会(2)
レセ・電カル情報の全国医療機関での共有、「誰にどのようなメリットがあるか」明確化せよ―社保審・医療部会(2)
全国の医療機関で診療情報(レセプト・電子カルテ)を共有する仕組み、社保審・医療保険部会でも細部了承
2023年度以降、保険医療機関等で「オンライン資格確認等システムの導入」を義務化すべきか—社保審・医療保険部会(1)
電子カルテ情報の全国医療機関での共有、標準規格準拠電子カルテ普及等をあわせて推進―健康・医療・介護情報利活用検討会(2)
医療機関での患者レセプト情報共有、「手術」は別に個別同意を共有要件に―健康・医療・介護情報利活用検討会(1)
電子カルテ情報の共有、「国民・患者サイドのメリットは何か」を明確に―医療情報ネットワーク基盤WG
中小規模医療機関の標準準拠電子カルテ導入、基金や診療報酬活用して支援へ―医療情報ネットワーク基盤WG
電子カルテデータの共有、「キーとなる情報の明確化」が何よりも重要―社保審・医療部会(2)
ランサムウェア被害で病院が稼働不能になることも、バックアップデータの作成・適切保存等の対策を―医療等情報利活用ワーキング
救急医療管理加算、定量基準導入求める支払側と、さらなる研究継続求める診療側とで意見割れる―中医協総会(3)
電子カルテの標準化、まず「電子カルテの将来像」固め、それを医療情報化支援基金の補助要件に落とし込む―医療情報連携基盤検討会
2019年度予算案を閣議決定、医師働き方改革・地域医療構想・電子カルテ標準化などの経費を計上
異なるベンダー間の電子カルテデータ連結システムなどの導入経費を補助―厚労省・財務省
全国の病院で患者情報確認できる仕組み、電子カルテ標準化など「データヘルス改革」を強力に推進―健康・医療・介護情報利活用検討会
医療機関等で患者の薬剤・診療情報を確認できる仕組み、電子カルテ標準化に向けた方針を固める―健康・医療・介護情報利活用検討会
電子カルテの標準化、全国の医療機関で患者情報を確認可能とする仕組みの議論続く―健康・医療・介護情報利活用検討会
「健康・医療・介護情報共有方針」固まる、全国の医療機関等で薬剤・手術等の情報共有可能に―健康・医療・介護情報利活用検討会
「レセ情報とレセ以外情報」をセットで格納・共有し、効果的かつ効率的な医療提供の実現を―健康・医療・介護情報利活用検討会
全国の医療機関間で、患者の「薬剤情報」「手術情報」など共有できれば、救急はじめ診療現場で極めて有用―医療等情報利活用ワーキング
電子カルテ標準化や国民への健康情報提供(PHR)など一体的に議論し、夏までに工程表まとめる―健康・医療・介護情報利活用検討会