「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を改定、第2.0版公表 総務省/経産省
総務省と経済産業省は3月28日、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」について、改定に関する意見募集の結果と、それを踏まえた第2.0版のガイドラインを公表しました。
総務省および経済産業省は、医療情報の安全管理のため、医療情報を取り扱う情報システムやサービスの提供事業者が遵守すべき内容をまとめた「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を策定しています。近年、医療情報システムに対するサイバー攻撃の多様化・巧妙化によるセキュリティ対策の変化や医療機関と医療情報システム等事業者との間の取り決めの重要性が高まっているという背景、そして▽対象事業者の明確化▽事業者・医療機関等間の合意内容の明確化▽リスクコミュニケーションの実効化を図るという観点から、今般一部改定が行われました。
第2.0版の内容について、まず対象事業者に関しては、①医療機関等との契約等に基づいて医療情報システムなどを提供する事業者、②医療機関等と直接的な契約関係になくても、医療機関等に提供される医療情報システムに必要な資源や役務を提供する事業者、③患者等の指示に基づいて医療機関等から医療情報を受領する事業者が対象となっています。①の「契約等」は、医療情報システム等の運用・管理・保守に関する契約を指しており、医療情報システム等の売買契約のみの場合は含まれないとされました。
事業者・医療機関等間の合意に関しては、対象事業者が医療機関等に提供すべき情報が一覧表で示されています。例としては、サイバー攻撃による被害を防止するための管理状況や、個人データ安全管理に関する信用度などが挙げられました。また、医療情報の機微性から、対象事業者の適格性を示すためにプライバシーマークまたはISMS認証を取得することも求められています。
リスクコミュニケーションに関しては、事業者は、提供する医療情報システム等のサービス内容やリスクについて、より丁寧でわかりやすい情報提供を行うことが求められています。具体的には、リスク判断に必要な基礎資料の提供や、医療機関等側から説明を求められた際の対応の表示、約款契約におけるリスクの表示などが挙げられました。また、リスクコミュニケーション不足がサイバー攻撃による被害発生の一因となった例をコラムで紹介しており、リスクコミュニケーションの重要性を述べています。
