医療情報(を含む個人情報)は個人情報の中でも機微な「要配慮個人情報」に該当し、その価値は1件あたり数万〜数十万円ともいわれています。また、医療機器へのサイバー攻撃による事故は、人命に直結しうるため、誤作動や予期せぬ停止は絶対に起こってはならないことです。
昨今、医療情報及び医療情報システムはサイバー攻撃のターゲットになっており、海外では2015年にシンガポールで欧首相含む150万人の情報流出(1)するなど多くの事例が起こっています。国内でも2018年に電子カルテシステムがランサムウェアに感染して1,000名以上の電子カルテデータが閲覧できなくなる(2)など、国内外問わず予断を許さない状況となっています。
今回の記事では、日本の医療業界におけるサイバーセキュリティの取組について、ガイドラインの歴史についてご説明し、海外との比較、他業界との比較、といったテーマを次回以降の記事で取り扱っていきたいと思います。
サイバーセキュリティの歩みについて
医療情報に関わらず、サイバーセキュリティの歴史は情報の情報処理の標準化と共にありました。情報システム内などの「サイバー空間」において、様々なコンピュータ上で動作するWindowsのようなOS、世界中のコンピュータを繋ぐインターネットプロトコルなど、標準化により利便性が飛躍的に高まったのですが、それと同時に、プロトコルや仕組みに一定の欠陥(脆弱性)が含まれるようになり、それを悪用する者が出てきました。この悪用(サイバー攻撃)に対して、情報そのものや情報システム等を守るのがサイバーセキュリティです。
医療分野においても、医療情報を取り巻く環境の変化にあわせて関連するガイドラインの整備によってセキュリティの確保に注力されてきた経緯に触れ、医療分野におけるサイバーセキュリティに関する今後の課題などを考察してみたいと思います。
医療録の取り扱いの変化にあわせて進化してきた医療情報安全管理ガイドライン
医療情報で第一想起されるものはカルテ(診療録)ですが、カルテはもともとは紙に記録していたものでした。このカルテ情報を中心として、医療情報を取り巻く環境の変化にあわせて法整備も進んできています。
一番重要な節目はカルテ情報の電子化であり、これを踏まえて1997年に「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関する通知(3)」が出され、この年は「電子カルテ元年」とも言われています。
次のステップは、電子化された医療情報の地域医療連携システムでの共同利用でしたが、これに伴い2002年に「診療録等の保存を行う場所について(4)」が出されました。その後、これらを統合する形で、診療録について、電子保存のみならず紙等の媒体による外部保存まで含む形のガイドラインとして、2005年に厚生労働省から「医療情報システムの安全管理に関するガイドライン(※現在は第5版)(5)」が作成され、個人情報の法令等の制定・改定や医療情報を取り巻く環境の変化を踏まえて現在まで改定され続けています(現在も改定の検討中です)。
情報技術の高度化・多様化に伴い、事業者向けにもガイドラインを整備
一方、医療情報システムの提供形態の高度化・多様化に伴い、情報処理に係わる専門家ではない医療機関等や医療関係者が医療情報システムを関する様々な要求事項を遵守することが困難になるケースもみられるようになってきました。そのため、医療資格を持たない事業者向けの医療情報に関わるガイドライン策定の必要性が高まり、2008年に総務省から医療情報以外も含むセキュリティの指針として「ASP・SaaSにおける情報セキュリティ対策ガイドライン(6)」がまとめられ、これに沿って、2012年に医療機関と事業者の責任分界の考え方や安全管理の実施における医療機関との合意形成のあり方が「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1.1版)(7)」として定められました。更に同年に、経済産業省からは医療情報を受託する事業者への要求事項として「医療情報を受託管理する情報処理事業者向けガイドライン(8)」が制定されました。これらの3つのガイドラインと医療機関向けのガイドラインは「3省4ガイドライン」として医療業界の関係者に知られています。
事業者向けガイドラインは3つから1つに段階的に統合
一時期は上記のように事業者向けガイドラインが3つもあり、特にクラウドサービスを提供する事業者はこれら全てを遵守する必要があり、非常に管理負担が大きくなっていました。こうした問題と、事業者のサービス提供形態がASPやSaaSに限らず多様化してきたことを受け、2018年に総務省のASP・SaaSに関する2つのガイドラインの内容が「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(9)」として統合され、更に、今年の8月には、総務省と経済産業省のガイドラインが「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(10)」として1つに統合されました。
今回の事業者向けガイドライン統合のポイント
今回の事業者向けガイドラインの統合におけるポイントは、医療情報システム等の固有の環境構成を踏まえずに医療機関がガイドラインの記載内容を遵守することを求める「ルールベース」のものから個々の医療機関が取り扱う医療情報や医療情報システムの環境構成のリスクを踏まえた「リスクベース」のアプローチに変わっている点です。これとセットで、医療機関と事業者の「リスクコミュニケーション」が重要視されていることも大変重要なポイントといえます。
具体的には、事業者が提供するサービスに関して、
- 主に守るべき医療情報を取り扱う業務のフローやシステムにおけるデータの流れ(情報流という)を明確にする
- その医療情報に関する脅威(リスク)を洗い出す
- リスクに対する対応(回避、軽減、転嫁、受容)を整理する
- 最終的に残るリスクも含めて医療機関にわかりやすく開示、説明する
- 医療機関はリスクの内容と必要な対策について合意した上でサービスを利用する
という形で、医療機関と事業者が協力してリスクに対峙することが重要となっています。この前提として、内部監査や外部評価により客観性が担保されていること、また事業者が継続的に見直しをかけるサイクルを確立していることも重要です。
また、今回の改定では、事業者がサービスを提供するにあたり、サーバなどのインフラ部分を外部のクラウドサービスを活用しているケースが多くなってきていることから、事業者は自社が提供しているクラウドサービスのみではなく、事業者がサービスを提供するために活用している外部のクラウドサービスも含めてリスクを認識し、医療機関に対して責任を果たさなければならなくなっている点も重要です。
課題:医療機関側のガイドラインは現時点ではルールベースのまま
今回、事業者向けのガイドラインについてはこのように大きな改定が入り、マネジメントの方法が変わりますが、一方で、現在改定に向けて検討が始まっている医療機関向けのガイドラインについては、今回の改定の検討案でも、リスク分析に関する改定はあるとは言え従前のルールベースのアプローチのままになる方向です(5.1版(11))。
この場合、医療機関向けガイドラインは、特定機能病院や地域医療支援病院といった、組織的に情報システムの管理者を抱えられるような大規模の医療機関は遵守ができるかもしれませんが、診療所など情報システムの専門性を持つ人材を抱えられない小さな医療機関にとっては全てを遵守するには依然として重厚な内容になっています。
一方で、中小の医療機関であっても、電子カルテの導入は増えてきており、また、新型コロナウイルスの蔓延に伴い、インターネットへの接続を前提としたオンライン診療が利活用され始めています。こうした中においては、医療機関向けのガイドラインは中小の医療機関にも無理なく適用可能なものになるべきであり、このために重厚なルールベースアプローチから個々の医療機関の環境を踏まえたリスクベースアプローチへの転換は有効な選択肢と考えられます。
この実現のために、まずは今回統合された事業者向けのガイドラインに則って、医療機関と事業者の間でのリスクコミュニケーションが業界全体に文化として浸透し、事業者だけではなく医療機関側も規模の大小に関わらずリスクベースのアプローチに関する知見を得られるようになることが望まれます。
次回はサイバーセキュリティに関して海外の事例を紹介しつつ、国内外の比較をしていきたいと思います。
注釈
(1)https://japan.zdnet.com/article/35122835/
(2)https://www.city.uda.nara.jp/udacity-hp/oshirase/change-info/documents/houkokusyogaiyou.pdf
(3)https://www.mhlw.go.jp/www1/houdou/1104/h0423-1_10.html
(4)https://www.mhlw.go.jp/file/06-Seisakujouhou-10800000-Iseikyoku/0000118704.pdf
(6)https://www.mhlw.go.jp/shingi/2008/07/dl/s0730-18l.pdf
(7)https://www.soumu.go.jp/main_content/000095031.pdf
(8)https://www.meti.go.jp/policy/it_policy/privacy/iryouglv2.pdf
(9)https://www.soumu.go.jp/main_content/000567229.pdf
(10)https://www.meti.go.jp/press/2020/08/20200821002/20200821002-3.pdf
