ヘルステックビジネスと医療情報システムにかかわる情報管理ガイドライン<後編>

ヘルステックビジネスと医療情報システムにかかわる情報管理ガイドライン<後編>

『ヘルステックビジネスと医療情報システムにかかわる情報管理ガイドライン<前編>』

 

執筆:弁護士 早崎智久
執筆:弁護士 五反田美彩

 

 

前回に引き続き、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の概要について解説します。

 

4 対象事業者と医療機関等の合意形成

(1)はじめに

 言うまでもなく、対象事業者と医療機関等の関係は、契約によって形成されるものです。

ガイドラインにおいても、適切な合意形成を行うために必要なものとして、

 ①医療機関等へ情報提供すべき項目

 ②医療機関等との役割分担の明確化

 ③医療情報システム等の安全管理に係る評価

 ④第三者認証等の取得に係る要件

について、記載しています。

 

(2)合意形成のために医療機関等へ情報提供すべき項目(上記①)

 まず、①についてですが、合意形成のために提供すべき情報として、ガイドラインでは表 4-1 にまとめられています。これは、契約を締結するための準備段階として要求しているものです。

 表4-1の記載を整理すると、

 ・事業者の選定基準

 安心して管理を依頼できる事業者かどうかを確かめるためのもの

 ・相互の共通理解を深めるために必要なもの

 つまり、契約内容を明確にするために必要な項目の2つに分けられています。後者は、以下で順番に解説しますが、前者についても、特筆すべきものです。

 要するに、このガイドラインでは、扱う情報の重要性から、事業者(つまり、契約の相手方)を選定するプロセスを要求しています。医療機関側においても、単に契約内容を明確に適正にするだけでは足りず、信用できる業者を正しく選ぶように求められています。事業者の側からすれば、自身が信用に足る者であることを証明するための資料の提供が求められているもの、といえます。

 

(3)医療機関等との役割分担の明確化(上記②)

 あらゆる契約は、契約当事者双方に義務が生じます。そして、医療情報システムの安全管理については、事業者と医療機関の双方が、このシステムを安全に運用する義務が発生します。

 ガイドラインでは、この役割分担について、対象事業者において、医療機関等における運用管理を踏まえた形で、役割分担を定め、これを、医療機関等の運用管理規程に定めるように求めるものとしています。これは、医療機関等においては、この内容を運用管理規程に定める必要があることになります。

 

(4)医療情報システム等の安全管理に係る評価(上記③)

 対象事業者は、医療情報システム等の安全管理が妥当かどうかを評価し、評価結果を医療機関等へ情報として提供するものとされています。さらに、自分でやったことを自分で評価するということが信頼できないものから、中立性のある者(例としては、対象事業者内部の独立した監査部門や第三者機関が挙げられています)に評価させるように求めています。

 

(5)第三者認証等の取得について

 ガイドラインでは、上記のようなシステム自体の安全管理の評価とは別に、「最低限」としたうえで、対象事業者は、情報セキュリティに係る公的な第三者認証として、プライバシーマーク認定または ISMS 認証を取得することを求めています。これは、前述の事業者の選定基準にも関わってくるものですが、ガイドラインが最低限としていることが重要です。可能な限り、ガイドラインがさらに求める「内部統制保証報告書」を取得すること、正しくは、報告書を取得できるだけの体制とすることこそが、極めて重要な医療情報等を扱う事業者には求められているものといえます。

 ただし、単にこれらの認証を受けたことや報告書の取得が重要なのではなく、それに見合った情報セキュリティを厳密に運用できていることは重要なことは言うまでもありません。

 

 

5 安全管理のためのリスクマネジメントプロセス

(1)リスクマネジメントの概要

 ガイドラインは、対象事業者が実施すべきものとして、リスクマネジメントを掲げています。そして、そのプロセスを、①リスクアセスメント(リスクの特定→評価→分析)、②リスク対応、③リスクコミュニケーションとしています。

 上記のように、リスクマネジメントは、対象事業者が実施するものとされています。ただ、前述のとおり、情報管理は医療機関等と対象事業者が共同して実施するものであり、情報管理が適切になされなかった場合の責任は、医療機関等も負うことになります。医療機関等が適切に情報を提供するなどの協力が不可欠になります。そのため、対象事業者に丸投げするのではなく、リスクマネジメントがどのようなものなのか、その概要を理解をすることが重要になります。

 以下、その概要を整理します。

 

(2)リスクの特定(リスクアセスメントその1)

①これは、医療情報システムに限るものではありませんが、リスクアセスメントの出発点は、システム全体において発生しうるリスクを特定することです。

 

②そのため、ガイドラインにおいても、まずは、対象事業者には、リスクの特定を求めています。具体的には、医療情報システム等の全体構成図の作成を通じて医療情報システム等の全体構成を明らかにし、システムが稼働する際の全体の流れ(ライフサイクル)において、各段階(フェーズ)毎に、どのような情報が流れるのかを特定することとしています。

注意すべきなのは、医療情報の重要性から、単にネットワークを介した電子的な情報の流れだけでなく、記憶媒体の搬送といった物理的な事象も踏まえた情報の移動も含めるものとされている点です。医療情報をフェーズで見れば、そこには、情報の作成、参照、更新、保存、移送、廃棄等の多くの処理があります。

さらに、これは、対象事業者が担当するものだけでなく、サプライチェーン全体を検討することも求められています。現在では、単独の事業者ですべてのフローを担うことは少なく、サプライチェーンを見れば、多数の事業者が参加していることが多くなります。そのため、別の事業者が参加していても、抜け漏れがないよう留意することが求められています。

 

③次に、対象事業者は、流れる情報について、安全管理上の重要度に応じて分類することが求められます。これは、情報には様々な種類のものがあり、重要度も異なるため、取扱いの程度も異なるためです。また、情報の流れをもとに、どのような危険性(脅威)があるのかを、ガイドラインが示す代表的なもの(改ざんの可能性など)にあてはめていき、この危険性が顕在化した際のリスクを特定していくことになります。

このプロセスにより、システムを運用する上で生じ得るリスクを、具体的なものとして特定することができます。

 

(3)リスクの分析(リスクアセスメントその2)

 前のプロセスにより、リスクが特定されました。次に必要になるのは、並列的に抽出された各リスクの大きさを算出することです。これは、①発生した時の影響の大きさと、②発生する確率の2つから算出します。

 この①については、情報自体の重要性や、その情報がシステムのなかでどの程度流れているのかという点が重要になります。

 次に②については、その可能性を具体的に検討していきます。例にも挙げられるように、サイバー攻撃などの、インターネット経由での直接的な攻撃が可能であったり、認証がない、既に攻撃方法が知られている場合は、当然に発生する確率は高くなりますが、建物内に侵入しないと攻撃ができない場合は、可能性は低くなります。

 このように、リスクをひとつひとつ分析することにより、並列的であったリスクの程度が明確になります。

 

(4)リスクの評価(リスクアセスメントその3)

 さらに、分析されたリスクを、一覧にし、対応の可否、その程度を分類するために、評価していくことになります。ガイドラインでは、S~Dといった分類が説明されています。

 この評価は、リスクの分析に基づくものですが、「評価」とあるように、分析結果から演繹して抽出されるものではありません。次のプロセスである対応内容を決定するために重要なものになることを踏まえれば、慎重な評価が求められるといえます。

 

(5)リスク対応

①リスクへの対応策の選定

これまでのリスクアセスメントを経て、具体的なリスクへの対応を検討することになります。この際、対応方法は、次の4つになります。

 

ⅰ リスクの低減

まずは、そのリスクを低減させることであり、リスク対応の基本になります。ただし、低減させるためには当然のように費用が発生します。そのため、費用対効果を踏まえながら、複数の対策を組み合わせることでの低減が望ましいものとされています。

 

ⅱ リスクの回避

次に、リスク評価において、極めて重大なものとされたものについては、リスクを軽減させるだけでは足りず、リスク自体を回避する必要性が高いといえます。

この場合は、リスクが発生しうる情報の流れ自体を、そのリスクを回避できるような方法に変えるなどの、構築を想定するシステム自体の見直しも重要になります。

 

ⅲ リスクの移転

先ほどⅰで述べたリスクの低減は、万能なものではありません。つまり、発生の可能性を抑えることはできるとしても、発生してしまった場合の影響の大きさを低減できない場合もあります。この場合は、リスクを外部に移転させることも対応方法になります。

これは、物理的な対応というよりは、法的な対応といえます。つまり、外部業者への委託や、保険に加入することなどです。

このような対応方法は、医療システムに限るものではなく、契約全般に言えるものであり、しっかりとした契約書を作成するなどして、責任の分配を図るものです。ただし、昨今問題になっているように、仮に損害賠償などの金銭的な損害を軽減できても、レピュテーションの問題は残ります。そのため、専門家の意見を踏まえるなど、慎重な検討が必要になります。

 

ⅳ リスクの保有

上記の3つの方法でも、リスクを完全になくすことはできません。重要なリスクについては、ⅱⅲで述べたとおりですが、一定のリスクについては、軽減したうえで保有していくことも選択になります。

 

②リスク対応策の設計

具体的なリスク対応策を設計することは、専門的なものであり、ガイドラインに従って進 めていくことになります。そのため、ここでの記載はしませんが、基本的な考え方として 述べられていることは以下のとおりです。

・医療機関等が医療情報安全管理ガイドラインを遵守できる設計になっていること

・ガイドラインが整理した対策項目に対応できていること

・「人的・組織的」、「物理的」、「技術的」の3つの対策の観点について、複数観点を組み合わせた対策とすること

1番目は当然のことですが、ガイドラインが対策項目を明確化していることを踏まえると、今後は、より具体的で実効的な対応策を策定することができるようになったといえます。

 

(6)リスクコミュニケーション

①リスクコミュニケーションとは、対象事業者が上記のリスクアセスメント、リスク対応で実施した結果を、医療機関等と共有することです。

つまり、対象事業者は、医療情報システム等の安全管理に係る説明を、医療機関が理解できるものにする必要があります。

ガイドラインでは、文書にして提供するとされ、具体的な内容として、リスク対応一覧や運用管理規程に定められた事項に係る情報提供をするものとしています。

これにより、医療機関等と対象事業者の役割分担、対象事業者として受容したリスクの内容等について、医療機関等と合意するものとされています。

 

②上記の合意の後、ガイドラインでは、対象事業者に対し、リスクに対する対応計画の策定と、医療機関等と合意内容を文書化したものとして、運用管理規程を定めることを求めています。

詳細はガイドラインに記載がありますので、これに従った規程を作成することになりますが、そのポイントとしては、規程を抽象的なものにするのではなく、医療機関等において、運用が適切にできるような具体的なものであること、特に、問題が生じた場合の迅速な対応ができるようにすることです。

リスクマネジメントにおいては、前述のとおり、緻密で地道な作業プロセスが求められていますが、これは、この規程を作成し、規程に則った運用を確保するためのものといえます。

 

 

6 制度上の要求事項

 ガイドラインでは、最後に、法令による医療情報の安全管理という制度上の要求事項として、以下の事項を求めています。

 

(1)医療分野の制度が求める安全管理の要求事項

 特に新しいものではありませんが、医療関連の多くの法令により、これまでも、①医療情報の作成や保存、②医療従事者に対する業務上知り得た秘密の保持義務、③医療機関等は調査機関等の検査に対し、適切に対応できるようすることが義務付けられてきました。

 ここで重要なことは、ガイドラインにおいては、医療情報及び当該情報に係る医療情報システム等は、これらの国内法の執行の及ぶ範囲にあることを確実とするもの、と位置付けられていることです。

 これは、医療関連法規が、人の生命、健康といった重要な価値を守るためのものであり、医療情報システムが適切に運用されることで、この価値を守ることが、より効率的に、かつ、効果的にできるようになるためです。つまり、医療情報システムというものを理解するために必要なことは、新しいものではなく、これまでと同様に、常に意識しなければならないことを、改めて認識することであると考えられます。

 

(2)電子保存の要求事項

 e-文書法による電子保存の要件として、真正性、見読性、保存性の確保が求められています。そのため、対象事業者についても、e-文書法省令や施行通知で定められた医療関係文書等については、

  1. 真正性 =正当な権限において作成された記録に対し、虚偽入力、書き換え、消去及び混同が防止されており、かつ、第三者から見て作成の責任の所在が明確であること、
  2. 見読性 =電子記憶媒体に保存された内容を、「診療」、「患者への説明」、「監査」、「訴訟」等の要求に応じて、それぞれの目的に対し支障のない応答時間やスループット、操作方法で、肉眼で見読可能な状態にできること、
  3. 保存性 =保存性とは、記録された情報が法令等で定められた期間に渡って真正性を保ち、見読可 能にできる状態で保存されること、が満たされるように、電子保存のためのシステムを構築することが求められます。

(3)法令で定められた記名・押印を電子署名に代える場合の要求事項

 最近では、新型コロナウイルスの流行に伴い、これまでの書面における署名に代わり、電子署名が広まっています。ただし、電子書面法では、一定の要件を満たした電子署名についてのみ、署名と同様の証拠力を認めています。

 今後は、医療関連業界でも電子書面が広まるものと思いますが、この要件を満たすものかどうかの確認が重要になります。特に、患者の同意など、意思表示の有無が極めて重要なものが医療においては多いことから、一般的な業界と比較しても、安易に電子署名を利用するのではなく、電子署名法の要件を満たすことに加え、患者等の意思を反映しているものかどうかの確認も重要になると思います。

 

(4)取扱いに注意を要する文書等の要求事項

 その他、個人情報の保護等の観点から、留意すべき文書があります。

 例として、麻薬帳簿等、法定保存年限を経過した文書、 診療の都度、診療録等に記載するために参考にした超音波画像等の生理学的検査の記録や画像、診療報酬の算定上必要とされる各種文書(薬局における薬剤服用歴の記録等)等が挙げられていますが、記載に限らず、また法令の有無に限らず、医療機関等で扱う文書については、適切な管理が求められるのは言うまでもありません。

 

(5)外部保存の要求事項

 診療録及び診療諸記録の外部保存を行う際の基準については、「「診療録等の保存を行う場所について」の一部改正について」(平成25年3月25日付け医政発0325第15号・薬食発0325第9号・保発0325第5号厚生労働省医政局長・医薬食品局長・保険局長連名通知)により定められています。

https://www.mhlw.go.jp/web/t_doc?dataId=00tb9157&dataType=1&pageNo=1

 そのため、対象事業者は、この通知に記載された事項を踏まえた対応が必要になります。

 また、医療機関等においても、通知のなかで、外部保存が医療機関等の責任においてなされるものとされていることを認識する必要があります。

 

 

『データ・プライバシー・個人情報コンサルティング』はこちらより

ヘルステックのサービス詳細はこちら