ヘルステックビジネスと医療情報システムにかかわる情報管理ガイドライン<前編>

ヘルステックビジネスと医療情報システムにかかわる情報管理ガイドライン<前編>

『ヘルステックビジネスと医療情報システムにかかわる情報管理ガイドライン』をテーマに
11月10日13時からオンラインセミナーを開催します!

 

執筆:弁護士 早崎智久
執筆:弁護士 五反田美彩

 

 

1 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」ガイドライン策定の経緯、これまでのガイドラインの整理

 本年8月、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、「本ガイドライン」といいます。)が策定されました。本ガイドラインは、従来のいわゆる3省3ガイドラインのうち経済産業省の策定した「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(以下、「情報処理事業者ガイドライン」といいます。)と総務省の策定した「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」(以下、「クラウド事業者ガイドライン」といいます。)を統合したものになります。

 

 

 上記の図のとおり、今回のガイドライン策定によって、医療機関等(病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等)には厚労省の策定した「医療情報システムの安全管理に関するガイドライン」(以下、「医療情報安全管理ガイドライン」といいます。)が適用され、医療機関等から委託を受けて医療情報を管理する情報処理事業者には本ガイドラインが適用されることとなりました。これにより、今後は3省2ガイドラインという整理になります。

 本ガイドラインは、クラウド事業者ガイドラインと情報処理事業者ガイドラインを基に、①同等の安全管理水準②リスクベースアプローチに基づいたリスクマネジメントプロセスの定義③セキュリティ対策の妥当性と限界についての明示的な合意によるリスクコミュニケーション重視④医療情報の取扱に関しての留意点・制度上の要求事項を明確にする観点で策定されています。

 

2 本ガイドラインの対象

 本ガイドラインが対象とする医療情報は、医療に関する患者情報(個人識別情報)を含む情報と定義されています。この定義は、医療情報安全管理ガイドラインと同一で、整合性を保つ趣旨があります。

 また、本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報システム等を提供する事業者(以下、「対象事業者」といいます。)です。そして、医療機関等と直接的な契約関係になくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者や患者等の指示に基づいて医療機関等から医療情報を受領する事業者(以下、対象事業者の内直接契約関係にないもののみを指して「間接契約対象事業者」といいます。)も本ガイドラインの対象となります。

 この状況を図で表すと以下のとおりとなります。

 

 

 対象事業者は、本ガイドラインに基づくリスクマネジメント及び制度上の要求事項へのサプライチェーン全体での対応が求められますが、間接契約対象事業者は、契約元の対象事業者に応じて制度上の要求事項への対応状況の報告が求められます。

 ガイドラインでは医療情報システム等に関する典型的な提供形態が図示されています。

 

3 医療情報の安全管理に関する義務・責任

(1)法律関係

 医療機関及び対象事業者がそれぞれ法的にどのような義務と責任を追っているのかが記載されていますが、大きくまとめると以下のとおり整理されています。

誰との関係で 何を根拠に どのような義務を負うか
安全管理義務

患者・医療機関等・対象事業者

医療機関等の間の委託契約上の義務、医療従事者の守秘義務・善管注意義務

医療機関等は患者と診療契約上の善管注意義務、医療従事者としての守秘義務を負っている。委託を受ける対象事業者は同義務の履行補助者である。

対象事業者は準委任の場合には善管注意義務。請負の場合にはこれに類似した義務、契約上守秘義務を負う。
医療機関等・対象事業者 個人情報保護法 委託元である医療機関等は、委託先である対象事業者に関し監督義務があり①適切な委託先の選定②委託契約の締結③データ取得状況の把握の必要性がある。対象事業者はこれに応じなければならない。
説明義務 医療機関等・対象事業者

専門家としての義務

対象事業者は医療機関等よりもセキュリティについて専門性が高く、委託契約または信義則に基づく付随義務として、医療機関等が患者に対する安全管理義務を履行するために必要な情報を提供する説明義務を負う。
事故発生時の義務と責任

医療機関等・対象事業者

個人情報保護法告示

「個人データ等の事案が発生した場合等の対応について(個人情報保護委員会告示第1号)」に基づく対応を行うことが望まれる。

患者・医療機関等・対象事業者

民事責任 医療機関等からは、直接の契約関係がある場合には契約に基づく債務不履行責任、直接の契約関係が無い場合でも不法行為責任を追求される可能性がある。

 

(2)ライフサイクルにおける義務と責任

 上記の法的責任に対応するにあたって、医療情報システム等のライフサイクル上、対象事業者に求められる義務と責任への対応方法は以下の通りまとめられており、より具体的な対応事項は、後編の4以下で解説します。

 

法的地位 ライフサイクル上の位置づけ 対応方法
安全管理義務 通常時の義務

・ライフサイクルは「開発フェーズ」「運用フェーズ」「契約終了フェーズ」の3フェーズに分け、各フェーズの実施内容を踏まえ、想定されるリスクや対応方針について整理すること。

・「開発フェーズ」は、対象事業者が医療機関等との契約中に、医療機関等に提供する医療情報システム等の開発を実施するフェーズ

・「運用フェーズ」は、対象事業者が医療機関等との契約中に、医療情報システム等の運用作業を実施するフェーズ

・「契約終了フェーズ」は、対象事業者が医療機関等との契約中に、医療情報システム等に関する契約を終了する際のフェーズ

➡具体的なリスクマネジメントの実践手順は後編5「安全管理のためのリスクマネジメントプロセス」を参照して実施すること
説明義務 契約前の合意形成及び契約中の合意の維持

・対象事業者は説明義務を果たすために、医療機関等との間で「共通理解」と「明示的な合意」の形成を行うこと。

・「共通理解」とは、契約書や SLA 等の契約上の文書による明示的な合意とは別に、共通の理解を形成することであり、これを基に契約書やSLA等の文書を作成して「明示的な合意」を行うことになる。

・契約中も要求内容変更、環境変化、情報セキュリティ事項等による見直しの必要性が生じた場合、共通理解・明示的な合意に基づく合意形成を改めて実施すること。

➡詳細な解説は後編4「対象事業者と医療機関等の合意形成」を参照
事故発生時の義務と責任 危機管理対応時の義務及び責任 危機管理対応時(医療情報の漏洩や改竄、医療情報システム等の停止等の情報セキュリティ事故が発生しその対処が必要な場合)、対象事業者等は医療機関等に対し情報セキュリティ事故の原因・範囲等、医療機関等の管理者が個々の患者、行政機関や社会へ説明・公表するために必要となる情報の収集をサポートできるようできる限り詳細な情報を提供しなければならないこと、速やかに善後策を講じなければならないこと、同様の情報セキュリティ事故が発生しないように再発防止策を提案すること、再発防止策を実施する場合には医療機関等と適切に再合意形成を行い実行すること。

 

 

ヘルステックのサービス詳細はこちら