ガイドラインの概要
厚生労働省が策定する「医療情報システムの安全管理に関するガイドライン」は、医療機関等における電子的な医療情報の取扱いに関するセキュリティ対策の指針です。第6.0版が最新版で、概説編・経営管理編・企画管理編・システム運用編の4編構成です。
対象と構成
| 編 | 対象読者 | 内容 |
|---|---|---|
| 概説編 | 全関係者 | ガイドラインの背景、用語定義、全体像 |
| 経営管理編 | 医療機関の経営層 | リスクマネジメント、責任体制、予算確保 |
| 企画管理編 | システム企画担当者 | セキュリティ方針策定、システム企画時の要件 |
| システム運用編 | IT担当者・ベンダー | 具体的な技術的対策、運用管理 |
主要なセキュリティ対策
- アクセス制御:利用者の識別・認証、権限管理(最小権限の原則)
- 監査ログの管理:電子カルテへのアクセスログの取得・保管・定期レビュー
- データの暗号化:保存データと通信データの暗号化
- バックアップ:電子カルテデータの定期バックアップと復旧テスト
- マルウェア対策:ウイルス対策ソフトの導入と定義ファイルの更新
- 物理的安全管理:サーバー室の入退室管理、端末の盗難防止
ネットワーク分離
医療機関では電子カルテ系ネットワーク(HIS)とインターネット系ネットワークの分離が基本要件です。外部からの不正アクセスを防ぎ、患者情報を保護するために、VLANやファイアウォールによる論理的・物理的な分離が求められます。
クラウド利用時の留意事項
- クラウドサービスの選定時は、3省2ガイドライン(厚労省・経産省・総務省のガイドライン)への適合を確認
- データの保存場所(国内/海外)の確認
- クラウドサービス提供者との責任分界の明確化
まとめ
医療情報システムの安全管理ガイドラインは、電子カルテをはじめとする医療情報の保護に関する包括的な指針です。ネットワーク分離、アクセス制御、監査ログの管理が基本対策です。