新環境での3省2ガイドライン対応

先月末、ようやく「医療情報システムの安全管理に関するガイドライン 第 5.1 版」(以下、厚労省ガイドライン)が公開されました。このガイドラインは、3省2ガイドラインという名前でご存知の方も多いかもしれません。

これで新環境での3省2ガイドライン対応が走っていくことになります。タイミングも良いので、ちょっと3省2ガイドラインについて整理してみます。

 

f:id:seko-law:20210206082054p:plain

(関係ないですが、いらすとやさん長い間お疲れ様でした)

 

1.3省2ガイドラインとは

3省2ガイドラインとは、医療情報を取り扱うシステムに対する要求事項をまとめたガイドライン群です。”医療情報を取り扱うシステム”とういもの想定した場合、大きく

  • そのシステムを作る組織(事業者)
  • そのシステムを導入する組織(医療機関)

の2つがプレイヤーとして存在しえます。国はこれらのプレイヤーそれぞれに対してガイドラインを定めています。

事業者を主たる対象としたガイドラインが、経産省・総務省発行の「医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン」(以下、経産省・総務省ガイドライン)、医療機関を主たる対象としたガイドラインが、厚労省ガイドラインです。

2.ガイドラインの変遷

この辺りのことは色々な文献で紹介されており、別に私が詳しく書きたい部分でもないので省略します。簡単にまとめると、「色々な省庁が色々な観点からガイドラインを出しており、使いにくくて仕方ないので集約しましょう」という考えの下、最近ようやく上記3省2ガイドライン体制に行き着いたということです。

f:id:seko-law:20210206081850p:plain
出典:https://www.soumu.go.jp/main_content/000567201.pdf

3.”新環境”での3省2ガイドライン対応とは

(1)経産省・総務省ガイドライン

「経産省のガイドラインと総務省のガイドラインが統合される」という形式面での変更も勿論大きな変化なのですが、実質面(具体的な要求事項)についても大きな変化があります。それが、ルールベースアプローチからリスクベースアプローチへの変更です。ガイドラインの統合に伴い、要求事項を逐一列挙する方式(ルールベースアプローチ)から、事業者側でリスクアセスメントを行いリスクに対応するために必要な要求事項を自分で設定することを要求する方式(リスクベースアプローチ)への変更がありました。

【参考:リスクベースアプローチ変更の背景】

f:id:seko-law:20210206091748p:plain

 

【参考:具体的なリスクベースアプローチの反映方法】

f:id:seko-law:20210206091809p:plain

 出典:経産省・総務省ガイドライン

 

(2)厚労省ガイドライン

そして経産省・総務省ガイドラインのリスクベースアプローチ採用も踏まえて改訂されたのが、先月末に策定された厚労省ガイドラインです。これでようやく新環境でのガイドラインが整備されたことになります。

情報セキュリティを確保するための要求は拡大するとともに多様化している。3 省のガイドラインが策定された当初は、詳細な要求事項を定めていたが、今日の環境では、一律に定めた要求事項の全てに対応することは困難になってきている

 出典:経産省・総務省ガイドライン

 というのは当然医療機関にとっても該当するので、経産省・総務省ガイドラインがリスクベースに変更されたのに合わせ、厚労省ガイドラインもリスクベースになるのかな…と思いましたが、そんなことはなく一応の整合性を取ることに止まりました。

これは私見ですが、「リスクベースアプローチというのは、相手の専門性を尊重したアプローチである」という考え方があるからなのかなと思いました。事業者については医療情報安全管理についての専門性を尊重し、責任とともにある程度の裁量を認める一方、医療機関に対して求める専門性はそこではないという。 

4.具体的な対応方法

ここからは具体的にどうやって3省2ガイドラインに対応していけば良いかを事業者の視点から書いていきます。

(1)経産省・総務省ガイドライン

a.概要

大きくは以下の3点から構成されています。

本紙

別紙1:ガイドラインに基づくサービス仕様適合開示書及びSLA参考例

別紙2:旧ガイドラインの対策項目一覧と医療情報安全管理ガイドラインとの対応表 

ルールベースからリスクベースに移行したという建前から、本紙はしっかりリスクベースで解説されています。とはいえ、過去のルールベースの要件は守らせたいという官公庁側の本音が見え隠れしており、別紙2では旧ガイドラインでの要求事項がリスト化されています。そして、こられの要件は原則として遵守するよう書かれています。 

b.具体的な進め方

以上を踏まえると、現実的な検討方法は以下になると思います。

  • 別紙2について遵守できる(したい)要件と、遵守できない(したくない)要件を分類
  • 分類結果を基に本紙でリスクアセスメントを行い、自組織における要求事項を整理
  • 整理結果を基に別紙1のサービス仕様適合開示書及びSLAを作成

(2)厚労省ガイドライン

a.概要

厚労省ガイドラインは、本来は医療機関向けに書かれた、医療機関が守らなければいけないガイドラインです。とはいえ、その医療機関にシステムを導入するのは事業者なので、医療機関がガイドラインを遵守する反射的な効果として、事業者にも一定の要求事項が課されます。 

b.具体的な進め方

要求事項の全てが事業者にとって関係のある項目ではありません。なので、こちらも現実的な検討方法は以下になると思います。

  • 要求事項のうち、”反射的な効果”がある項目とない項目を分類
  • ”反射的な効果”がある項目のうち、経産省・総務省ガイドラインへの対応でクリアできていない項目を抽出
  • 抽出項目をひとつづつ潰していく

-------------------------

以上です。3省2ガイドライン対応はなかなかハードですよね。苦労されている方の参考になれば嬉しいです。