お知らせ
【識者の眼】「厚労省安全管理GL第6版の改定の正しい理解に向けて(その3)」江原悠介
官公庁のガイドラインはドラフト版が確定したのち、必ず国民の意見(パブリックコメント、以下「PC」)を募集する期間を置き、その内容への検討結果を反映した上で正式版の公開を行う運用となっている。厚生労働省の「医療情報システムの安全管理に関するガイドライン」(以下、「GL」)の第6版においてもその運用は踏襲されている。
PCは国民一般の意見となるため、その内容は玉石混交とならざるを得ないが、逆にいえば、GLに反映されたPCは本質的なコメントとして取り上げられているともいえる。PCに係る厚生労働省の対応状況を通して、どういったポイントが医療機関に求められているのかを補足的に解説したい。今回のGL第6版へのPC件数は合計255件であり、さらに厚生労働省によるPCへの対応パターンはおおむね以下の4つに分類可能である。
上記のうち、【要件修正】パターンが最も<芯を食っている>ものとなるが、これらは全体で10件程度しかなく、その内容も以下の4点にサマライズできる。
①サイバーセキュリティ対策は医療法施行規則第14条2項が定める医療安全管理の一部として医療機関が対応すること
②医療機関におけるサイバーセキュリティ投資の原資は病院長が確保しなければならないこと
③医療機関は、PマークまたはISMSを取得している医療情報システムベンダを選択すべきであること
④医療機器は医療機器基本要件基準第12条3項に基づくサイバーセキュリティ対策を前提にしなければならないこと
上記4点について、医療機関は特にGL対応に際して重点的に留意する必要があるだろう。
ところで、2023年7月には経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、「2省GL」)という、事業者向けのガイドラインも最新化されている。
この更新もふまえ、今後の医療法第25条第1項の規定に基づく立入検査で、医療機関におけるサイバーセキュリティ対応状況が医療安全管理の一部として確認されることになる点は、医療機関におけるサイバーセキュリティ対策チェックリストという枠で、厚生労働省のサイトで公開されている通りであるが、2省GLを守るべき事業者と医療機関はどのようにコミュニケーションすべきであるのか。次回コラムでは、その点について解説したいと思う。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委員)[パブリックコメント][2省GL]
