執筆:弁護士 早崎智久、弁護士 五反田美彩(メディカル・ビューティー・ヘルスケアチーム)
1 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」ガイドライン策定の経緯、これまでのガイドラインの整理
本年8月、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、「本ガイドライン」といいます。)が策定されました。本ガイドラインは、従来のいわゆる3省3ガイドラインのうち経済産業省の策定した「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(以下、「情報処理事業者ガイドライン」といいます。)と総務省の策定した「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」(以下、「クラウド事業者ガイドライン」といいます。)を統合したものになります。
上記の図のとおり、今回のガイドライン策定によって、医療機関等(病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等)には厚労省の策定した「医療情報システムの安全管理に関するガイドライン」(以下、「医療情報安全管理ガイドライン」といいます。)が適用され、医療機関等から委託を受けて医療情報を管理する情報処理事業者には本ガイドラインが適用されることとなりました。これにより、今後は3省2ガイドラインという整理になります。
本ガイドラインは、クラウド事業者ガイドラインと情報処理事業者ガイドラインを基に、①同等の安全管理水準②リスクベースアプローチに基づいたリスクマネジメントプロセスの定義③セキュリティ対策の妥当性と限界についての明示的な合意によるリスクコミュニケーション重視④医療情報の取扱に関しての留意点・制度上の要求事項を明確にする観点で策定されています。
2 本ガイドラインの対象
本ガイドラインが対象とする医療情報は、医療に関する患者情報(個人識別情報)を含む情報と定義されています。この定義は、医療情報安全管理ガイドラインと同一で、整合性を保つ趣旨があります。
また、本ガイドラインが対象とする事業者は、医療機関等との契約等に基づいて医療情報システム等を提供する事業者(以下、「対象事業者」といいます。)です。そして、医療機関等と直接的な契約関係になくても、医療機関等に提供する医療情報システム等に必要な資源や役務を提供する事業者や患者等の指示に基づいて医療機関等から医療情報を受領する事業者(以下、対象事業者の内直接契約関係にないもののみを指して「間接契約対象事業者」といいます。)も本ガイドラインの対象となります。
この状況を図で表すと以下のとおりとなります。
対象事業者は、本ガイドラインに基づくリスクマネジメント及び制度上の要求事項へのサプライチェーン全体での対応が求められますが、間接契約対象事業者は、契約元の対象事業者に応じて制度上の要求事項への対応状況の報告が求められます。
ガイドラインでは医療情報システム等に関する典型的な提供形態が図示されています。
3 医療情報の安全管理に関する義務・責任
(1)法律関係
医療機関及び対象事業者がそれぞれ法的にどのような義務と責任を追っているのかが記載されていますが、大きくまとめると以下のとおり整理されています。
(2)ライフサイクルにおける義務と責任
上記の法的責任に対応するにあたって、医療情報システム等のライフサイクル上、対象事業者に求められる義務と責任への対応方法は以下の通りまとめられており、より具体的な対応事項は、後編の4以下で解説します。
監修
弁護士 鈴木 景
(都内法律事務所からインハウスローヤーを経て、2017年GVA法律事務所入所。 スタートアップから大手上場企業まで、新規事業開発支援、契約書作成レビュー支援、株式による資金調達、M&AやIPOによるExitの支援など幅広く対応。 対応領域も、医療・美容に関する広告規制対応や、食品関連ビジネス、旅行関連ビジネス、NFT関連ビジネスと幅広い。)
