お知らせ
【識者の眼】「厚労省安全管理GL第6版の改定の正しい理解に向けて(その1)」江原悠介
2023年5月下旬に厚生労働省は「医療情報システムの安全管理に関するガイドライン」(以下、『厚労省安全管理GL』)の第6版を公開した。本GLが定める要件は、医療法施行規則14条2項が求める医療安全管理の一環として、医療機関等に遵守が求められるものとなった。さらに、その後、追加的に公表された「医療機関におけるサイバーセキュリティ対策チェックリスト(令和5年6月)」は、本GLをもとに、医療法25条1項の立入検査でチェックされる重点事項を整理しており、医療機関等はGLへの対応に加え、それに基づくチェックリストの準備に直面している状況である。
一方、厚労省安全管理GLは旧版(5.2版)から大幅な見直しが行われた、と言われている。旧版を前提にした取組を実施していた医療機関等にとっては、どのようなアップデート対応を図り、要求されるチェックリストに備えるべきなのか? こうした制度改正ではベンダによるソリューション提供等、様々な営業活動が行われ、不本意な結果に絡め取られることも多いのではないだろうか。
そのため、本コラムでは複数回にわたり、厚労省安全管理GLの改定内容の概要を示すとともに、特に最新のGL(ひいては立入検査への備え)において重点的に留意すべきポイントを概説したい。
本GLの主要な改定ポイントは以下の6つと言える。
①経営層によるコミット/ガバナンスの明確化
②エビデンスの確保・保全
③委託事業者への管理監督の強化
④保護すべき情報資産の明確化
⑤サイバーセキュリティ対応の全般的強化
⑥電子的な本人認証(e-KYC)対応
外形的には、旧版の「本体/別冊」型の構成が、第6版では「オンプレミス/クラウド」あるいは「システム担当者の有無」によって、参照すべき要件範囲が異なる構成に見直されている。ただし、この形式的な構成変更において重要な点は、特にクラウドの場合は、システム構成によって必要に応じた参照をせよ、というメッセージの強調でしかない。そのため、保守的にみれば「オンプレミス/クラウド、システム担当者の有無に関係なく、すべての要件にリスクベースで対応せよ」と要求されていることと同義である。形式的な構成変化は大きく生じているものの、内容面への影響はほぼないため、この点に惑わされないクリアな認識がまずは重要である。
次コラムでは、上記を前提として、内容面の改定範囲における、リスクポイントを解説する。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委委員)[立入検査][旧版からのアップデート]
