2023.06.09 お役立ち情報
〇医療情報システムの安全管理に関するガイドライン 第6.0版 発出
厚労省は2023年5月末に「医療情報システムの安全管理に関するガイドライン第6.0版」を発出。主な改定の趣旨と概要は以下の通り。
第1 改定の趣旨
保険医療機関・薬局においては令和5年4月からオンライン資格確認の導入が原則義務化されており、今後はガイドラインに記載されているネットワーク関連のセキュリティ対策がより多くの医療機関等に共通して求められることとなる。よって、医療機関等にガイドラインの内容の理解を促し、医療情報システムの安全管理の実効性を高めるため、構成の見直しを行う。また、医療等分野及び医療情報システムに対するサイバー攻撃の一層の多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じていること等を踏まえ、医療機関等に求められる安全管理措置を中心に内容を見直し。
第2 改定の概要
1.全体構成の見直し
本文を、概説編、経営管理編、企画管理編及びシステム運用編に分け、各編で想定する読者に求められる遵守事項及びその考え方を示すとともに、Q&A等において現状で選択可能な具体的な技術にも言及するなど、構成を見直し。
2.外部委託、外部サービスの利用に関する整理
クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任分界の考え方等を整理する。
3.情報セキュリティに関する考え方の整理
ネットワークの安全性の考え方や認証のあり方を踏まえて、ゼロトラスト思考に則した対策の考え方を示すほか、サイバー攻撃を含む非常時に対する具体的な対応について整理。
4.新技術、制度・規格の変更への対応
オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置等について整理。
なお、医療機関で情報システム障害といったインシデントが起きた場合、医療提供が停止して患者の生命や身体に影響を与える恐れがあるだけでなく、経営責任や法的責任が問われる可能性があるとして、経営層が遵守すべき事項などを新たに盛り込んでいる。
また、災害やサイバー攻撃、システム障害などの情報セキュリティインシデントに備えて事業継続計画(BCP)の策定等を小規模な医療機関や薬局に呼び掛けるガイダンスも発出。