誰も読んでいない600ページのガイドライン ― 院長が知るべきことだけ抜き出す
厚生労働省の医療情報システム安全管理ガイドライン第6版は院長向けの義務を定めています。全部読む必要はありません。経営者として知るべきことと、ITベンダーに伝えるべきことに絞って整理します。
厚生労働省が2023年5月に改定した「医療情報システムの安全管理に関するガイドライン 第6版」。全部で600ページを超えます。読んでいる開業医はほぼいないと思います。
ただ、読んでいなくても義務は発生しています。医療法と個人情報保護法に基づく安全管理措置として、実質的に遵守が求められています。
この記事では全部読む必要はありません。院長が知るべきことと、ITベンダーに伝えるべきことだけを整理します。
まず構造を知っておく
第6版は4冊に分かれています。
| 編 | 誰が読むか |
|---|---|
| 概説編 | 全員(背景と全体像) |
| 経営管理編 | 院長・経営層 |
| 企画管理編 | システム導入担当者 |
| システム運用編 | IT担当スタッフ |
院長が読むべきは「概説編」と「経営管理編」です。他の編は読まなくてもかまいません。
院長として知るべき3つのこと
安全管理の責任者を決める
ガイドラインは「医療情報システムの安全管理責任者」の設置を求めています。院長自身が兼任しても、事務長に任せてもかまいません。重要なのは「誰か一人が責任を持っている状態」を作ることです。
「何かあったらITベンダーに連絡する」だけでは不十分です。インシデントが起きたとき、最初に誰が何をするかを決めておく必要があります。
ベンダーとの責任の境界を書面で確認する
電子カルテがクラウド型の場合、何かトラブルが起きたとき「どこまでがベンダーの責任で、どこからがクリニックの責任か」が明確でないと、対応が遅れます。
ガイドラインはこの「責任分界」を契約書やSLA(サービスレベル合意書)で書面化することを求めています。口頭の約束では不十分です。
インシデントが起きたときの報告先を知っておく
情報漏洩やシステム障害が発生した場合、厚生労働省・個人情報保護委員会・患者本人への報告義務があります。目安は発生から72時間以内。
「何が起きたか分からない」状態でも、まず速報を出すことが求められています。
ITベンダーに確認・要求すること
電子カルテのベンダーに対して、以下を確認してください。口頭確認ではなく、契約書や書面に残すことが重要です。
責任分界の明確化
- システム障害が起きたとき、初動対応はどちらが行うか
- データはどこに保存されており、誰がアクセスできるか
セキュリティ要件
- 多要素認証(MFA)は設定できるか
- ログはどれくらいの期間保存されるか
- セキュリティパッチはどのタイミングで適用されるか
インシデント対応
- 問題が発生したとき、何時間以内にクリニックへ連絡が来るか
- その連絡先と担当者は誰か
契約終了時
- サービスを解約したとき、データはどう扱われるか
- データ削除の証明書は取得できるか
クラウド型電子カルテへの言及
第6版では、小規模医療機関に対してクラウド型電子カルテの導入を推奨しています。「適切な事業者を選べば、院内でサーバーを運用するより高いセキュリティ水準を実現できる」という考え方です。
逆に言えば、オンプレミス(院内サーバー)で電子カルテを運用しているクリニックは、自分たちでセキュリティを維持する負担を負っています。パッチ適用、バックアップ、ログ管理――これらをITベンダーに依頼しているとしても、適切に実施されているかの確認責任は院長にあります。
今日できること
-
安全管理責任者を決める。院長自身か、事務長か。「誰も決まっていない」は今日解消してください。
-
電子カルテのベンダーに「責任分界表はありますか」と聞く。あればそれを確認し、なければ作るよう依頼してください。
-
厚生労働省のチェックリストを入手する。「医療機関におけるサイバーセキュリティ対策チェックリスト(2024年度版)」は無料で公開されており、現状の把握に使えます。
600ページを読む必要はありません。ただ、「読んでいないから知らない」は通用しない時代になっています。