お知らせ
【識者の眼】「厚労省安全管理GL第6版の改定の正しい理解に向けて(その2)」江原悠介
厚生労働省の「医療情報システムの安全管理に関するガイドライン」(以下、「GL」)の第6版について、前回(No.5176)に引き続き、要件面のアップデート内容を中心に解説する。
最新GLでは、昨今のランサムウェア被害等の事案やオンライン資格確認環境の導入等の技術変化を受け、外部ネットワークとの常時接続を前提にしたセキュリティ管理態勢、つまり〈閉域網の安全神話〉からの脱却の必要性が特に強調されている。この態勢を確立するためには、セキュリティ関係者の役割/責任(Role & Responsibility)の明確化が不可欠である。
よって、個人情報保護法/e-文書法/外部保存の改正通知に関わる各要件を平面的に並べていた旧版の内容は、経営層(トップマネジメント層)はガバナンス、企画管理者(ミドルマネジメント層)はマネジメント(プロセス)、システム運用者(現場担当者)はコントロール—という役割/責任に応じた観点より、それぞれ担うべき対策群が体系的に整理されることになった。こうしたガバナンスモデルはセキュリティ分野では既に一般的である。その意味で、今回の改定に伴い、厚労省安全管理GLは他産業・分野とようやく水準面の平仄をあわせられる状況になったともいえる。
あわせて旧版(5.2版)までのGLでは、情報セキュリティマネジメントシステム(ISMS)をベースとして、リスク評価結果に応じた対策(リスクベースの対策)を推奨する一方で、最低限の実施事項を具体的に定義するベースライン型アプローチが混在していた。よって、多くの医療機関の間では、最低限の実施事項に対応できないことがGL未遵守につながることから、字義通り対応しなければならないといった、あらぬ誤解が根強く蔓延していたともいえる。
しかしながら、最新のGLでは、最低限の実施事項は〈To Do〉(成すべき必須項目)ではなく、〈To Comply or Explain〉(遵守すべき必須要件、あるいは遵守できない場合には代替策の考えや残余リスクをステークホルダーへ説明すべき要件)として見直された。遵守事項を充足する手段は1つではない。リスク評価の結果に基づき、様々な手段─リスクの低減のみでなく、受容・移転(共有)等も含め─を検討できる。
医療機関に留意頂きたいことは、自院の実態に即したリスク評価を行い、その結果に基づいて対策を実施すること、および「なぜそのような対策を行ったのか」という等身大のロジックを明確にすることである。それが最新GLのコア要件になっている。
もう1点、GLをより深く理解するためには、パブリックコメント(以下、PC)への対応結果を見ることも重要である。これらの対応結果は実はGLが前提とする医療セキュリティにおいて、直近で重要視されるポイントを浮き彫りにしているものといえる。次回コラムではこれらPCへの対応結果から、GL対応上、特に留意すべきポイントを浮かび上がらせたいと思う。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委委員)[役割/責任の明確化][リスク評価と対策]
