厚生労働省は5月31日、「医療情報システムの安全管理に関するガイドライン」の第6.0版を公表しました。2023年4月からは、マイナンバーカードを活用して医療保険資格を確認する「オンライン資格確認」が医療機関および薬局に原則義務化されたほか、サイバーセキュリティの確保を求めることが明記された医療法施行規則が適用されました。これに伴い医療機関などは従来よりもセキュリティ対策の強化が求められます。ガイドラインは医療情報システムの適切な取り扱いを示したもので、今回の改訂では安全管理措置を中心に内容が見直されました。

ガイドラインはまず全体構成が見直されました。概説、経営管理、企画管理およびシステム運用の4編に分けられ、それぞれにおいて順守事項とその考え方を示しました。また、それぞれに対しQ&Aをまとめた文書を別途用意し具体的な技術についても解説しています。

次に外部委託や外部サービスの利用に関して整理されました。クラウドサービスの特徴を踏まえたリスクや対策の考え方を示すとともに、医療機関のシステム類型別に責任分界の考え方が明記されました。

情報セキュリティについては、これまでの改訂でサイバー攻撃やランサムウェア攻撃の対応などについて記述が充実してきましたが、今回の改訂では境界防御的な対応だけで不十分だとしてゼロトラスト思考に基づいた対策も紹介しています。ただ、ゼロトラストを実装するには費用や管理において負担が大きいため、導入についてはリスク分析の結果を踏まえて判断するよう記されています。