「医療情報システムの安全管理に関するガイドライン」について 〜後編〜 -YouTube
2022年3月に改定された厚生労働省「医療情報システムの安全管理に関するガイドライン」。
標準化推進やクラウド活用の広がり、サイバーセキュリティ対策といった観点からますます重要性が高まっているこのガイドラインについて、今回の第5.2版への変更点もあわせて前編、後編に分けてお話します。
前編では第1章〜第5章までについて、この後編で第6章〜第10章について取り上げています。
はじめに
今回のテーマは、前回に引き続き医療情報システムの安全管理に関するガイドラインについて、後編ということでお届けしていきます。このガイドラインは、前回の記事でも触れたように、厚生労働省が発出している文書で、医療情報システムを安全に構築したり、運用管理していく上で必要なことが書かれています。
前回は、このガイドラインの中でも第1章から第5章までの基本的な考え方についてお話ししました。加えて、実はこのガイドラインを読むことで、医療情報システムや電子カルテはどのようにあるべきかについての理解も深まるということに触れました。今回はいよいよ第6章以降の具体的な実施内容についてお伝えします。
今回の記事でお伝えする内容の大まかな流れをまず把握しておきましょう。第6章では、基本的な安全管理について説明されており、このガイドラインの一番重要な部分とも言えます。第7章では、電子保存の要求事項について触れられています。ここでは、いわゆる電子カルテの3原則が記されており、電子カルテがどのようにあるべきかという最も基本的な考え方が示されていると言っても過言ではありません。
続く第8章では診療録及び診療所記録を外部に保存する際の基準が説明されています。ここではクラウドの利用や地域連携システムの運用などが取り上げられています。現在、ITの世界でクラウドやインターネット活用は当たり前になっているのに、医療の世界ではどうしてわざわざこのような章が存在するのかという疑問にも触れつつ、外部保存の歴史的背景や未来予測についても解説していきます。
第9章では、診療録等をスキャナ等により電子化して保存する場合について記載されています。この章で取り扱われている内容は、電子カルテ導入時によく出てくるお話で、実はガイドラインを読み解くとどのようになっているのかという点についても触れます。
また、第10章では運用管理に関して説明されています。医療情報システムはあくまでツールであり、それをどのように使っていくかが安全管理の面でも、業務改善や最近の言葉でいうところのDXを考える上でも最も重要だというお話になります。
第6章のポイント:基本的な安全管理
それでは、第6章のポイントとしては以下の通りです。
- 医療情報システムの安全管理は個人情報保護関連各法などに規定された安全管理確保に関する条文によって法的な責務として求められているということで、安全管理をおろそかにすることは上記法律に違反することになります。
- 医療において最も重要なことは患者等との信頼関係であり、単に違反事象が起こっていないことを示すだけではなく、安全管理が十分であることを説明できるようにすること、つまり説明責任を果たせるようにすることが求められます。
- セキュリティ対策として、組織的、物理的、技術的、人的の4つの対策が求められます。
- 第5.2版では技術的安全対策において、外部WebアプリケーションとのAPI連携における認証認可について追記されました。(Webやクラウド技術を活用することは当たり前になった)
- 不正ソフトウェア対策には、スキャン用ソフトウェアの導入、脆弱性対策、マクロの利用停止などが求められています。
- 人的安全対策としては、雇用契約での守秘義務の定めや教育訓練が重要です。
- 災害やサイバー攻撃等の非常時対応や、外部ネットワークを通じた医療情報交換の安全管理も改定による重要視されています。
今回のガイドライン改定では、クラウドやインターネット技術を活用したセキュリティ対策強化が求められていることがわかります。また、Officeソフトのマクロ利用のリスクについては電子カルテにおけるシステム内部でのExcelやWordに依存した文書作成などについても考え直していく必要やメーカー側の対応も求めらるのではと考えます。
今後、医療情報システムの安全管理はますます重要になるでしょう。各医療機関や関係者は、ガイドラインの最新版を適切に理解し、適切な対策を講じることが求められます。
第7章のポイント:電子保存の要求事項
第7章では、電子カルテの3原則について説明されています。電子カルテの3原則とは、「真正性」、「見読性」、「保存性」のことで、この章で取り上げられる事項は、電子カルテの適切な管理において非常に重要な要素です。
真正性に関しては、入力者の正確な識別や認証が必要であり、例えば電子カルテ検討初期のご質問としてたまにありますが利用者IDを複数の職員で共有する、などということは避けるべきです。これは、記録の作成に関する責任の所在を明確にするためです。
見読性に関しては、バックアップや冗長化が重要な要件です。これにより、電子カルテがいつでも正確に読み取れるように保証されます。
保存性に関しては、記録された情報が真正性を保ち、継続可能に保存されることが求められています。具体的には、不正ソフトウェアによる情報破壊を防ぐことや、システム更新時にデータの移行を迅速に行えるよう標準形式でデータを出力・入力できる機能を備えることが重要です。また、マスタデータベースの変更時に過去の診療録等の情報に対する内容変更が起こらないような機能も求められています。
このように、第7章は電子カルテの適切な管理において重要な役割を果たしており、システム開発者や電子カルテメーカーには、これらの要件を満たすシステムを提供する責任があります。
しかし、実際にはすべてのシステムがこれらの要件を満たしているわけではなく、例えば先ほど挙げたような適切なマスタ世代管理を行っていないシステムも少なくありません。システム選定時にはこれらの要件を適切に評価し、より安全で効率的な医療情報システムを構築することが必要になります。
第8章のポイント:診療録等の外部保存
第8章では、診療録や診療諸記録を外部(クラウド型システムや遠隔地でのバックアップ、地域連携システム)に保存する際の基準について説明されています。医療情報システムは1970年代から始まり電子カルテは1999年に認められるようになりましたが、世の中でインターネットやクラウドコンピューティングといったものが広がる一方で、医療情報に関しては外部保存や外部接続が危険だという認識が根強く、これまでこうした取り組みがなかなか進んでこなかったという歴史的経緯があります。
ところが現在のガイドラインでは安全にクラウドを活用する方法が示されていますし、実は、クラウド型システムを採用する方がより安全だとの意見もあるため、次のガイドライン改定に向けて検討が進められています。また、医療情報システムに関して、国内ベンダーか外資系ベンダーかの選択について誤解があることがありますが、ガイドラインでは国内法の適用が可能か、国外法の適用がないか、ということを確認し、適切に判断して選定することが重要であるとされています。
このガイドラインを参照することで、医療情報システムの運用や選定において何が求められるべきなのか、正確な情報を得ることができます。今後の技術進歩や法令改正に対応するためにも、最新のガイドラインに目を通し、適切な知識を持つことが重要です。
第9章のポイント:診療録等のスキャン保存
第9章では、紙の診療録等をスキャンして電子化された原本として保管することに関する説明をしています。
電子カルテをこれから導入しようとするときによく出てくるお話として、既存の紙カルテをスキャナで取り込んで利用したい、あるいは電子カルテを導入後もどうしても紙で運用する書類がありその取り扱いをどうしたらいいの?というものがあります。
ここでは、主に以下の2つの場面が想定されています。
- 診療等の都度、スキャナ等で電子化して保存する場合
- 過去に蓄積された紙媒体等をスキャナ等で電子化して保存する場合
それぞれの場面において、改ざんを防止するために必要な対策がガイドラインで示されています。具体的には、スキャナによる読み取りについて運用管理規程に定めること、スキャナにより読み取った情報と元の文書の情報とが同等であることを担保する情報作成管理者を配置すること、スキャナによる読み取りの責任を明確にするために電子署名やタイムスタンプを行うこと、などが挙げられます。
診療等の都度、スキャナで電子化して保存する場合、改ざんの動機が生じないと考えられる期間を運用管理規程で定め、その期間内に遅滞なくスキャンを行わなければなりません。
過去に蓄積された紙媒体を電子化する場合は、事前に患者の同意を得て、厳格な監査を実施することが必要です。また院内掲示等で周知し、異議があった場合は電子化を行わないことが求められます。
といったように過去の紙カルテをスキャンして原本として電子化することは、ガイドラインに則って行うのはなかなか難しいため、実際には従来通り紙で管理し、必要に応じて過去の紙カルテを参照しながら電子カルテに新しい情報を記録していくことが現実的であると言えます。
第10章のポイント:運用管理について
第10章では、医療情報システムの運用管理について説明しています。
なかでも運用管理規定の必要性や作り方について詳しく説明されています。運用管理規定は、医療情報システムの安全性を確保する上で非常に重要であり、管理責任や説明責任を果たすために必要で、医療情報システムを適切に運用するためのルールを定めたものとして、必ず策定しなければなりません。
運用管理規定を作成する際には、他の文書を流用したり、ベンダーから提供されたものをそのまま使うのではなく、医療情報システムの安全管理に関するガイドラインに基づいて、自院にあった規定を策定することが望ましいです。昨今の状況からサイバー攻撃がいつ何時起こるか分からない状況で、もしもセキュリティ事故が起きてしまった際に、適切な運用管理規定に基づいて対処することはもちろん、日々適切な運用管理をしていた中で起きてしまった事故であるのか、つまり説明責任を果たせるかどうかはとても重要です。
ガイドラインでは、運用管理規定に含めるべき項目や作成手順が示されており、また別紙付表には文例も提供されているため、これらを参考にしながら運用管理規定を策定することができます。
また、運用管理規定の作成やアドバイスに関しても、私たちがサポートを行っていますので、興味がある方はお気軽にお問い合わせください。
おわりに
まとめとして、今回の前編・後編を通じて、医療情報システムの安全管理に関するガイドラインについてお話しました。医療情報システムは、患者の重要な情報を扱うため、安全管理に細心の注意を払う必要があります。
正しい知識と理解を持ち、新しい技術を積極的に取り入れることで、医療の質向上、業務改善、医療機関のデジタルトランスフォーメーション(DX)や地域医療のDXを推進することが今後ますます重要となります。
今回の解説を通じて、医療情報システムの安全管理に関する理解が深まり、実際の運用に役立てられることを願っています。
「医療情報システムの安全管理に関するガイドライン」について 〜前編〜
厚生労働省:医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html
“「医療情報システムの安全管理に関するガイドライン」について 〜後編〜 -YouTube” に対して1件のコメントがあります。