お知らせ
【識者の眼】「2省ガイドラインが本質的に事業者に求める姿勢とは」江原悠介
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(以下、「2省GL」)の第1.1版へのアップデートは、厚生労働省「医療情報システムの安全管理に関するガイドライン」の第6.0版への改定(2023年5月)に伴い、同年7月に行われている。
基本的にアップデートポイントは、厚労省のガイドラインと平仄を取ることを目的として行われている。ただし、同年4月に施行された医療法施行規則14条2項において、医療機関の安全管理の一部として医療情報システムのサイバーセキュリティ確保が要求されるようになった点をふまえれば、医療情報システム等を提供する事業者(以下、「システム業者」)にも同種の対応が敷衍的に求められていることは容易に理解できるであろう。
2省GLの最新版は厚労省のガイドラインとの平仄合わせが目的の中心であるものの、さらに〈裏テーマ〉として、リスクコミュニケーションの重要性が、「コラム」というめずらしい切り口で大幅に追加されている点は留意すべきである。本コラムは2021年10月に徳島県つるぎ町立半田病院で発生したランサムウェア被害を考慮した内容であるが、そこでは医療機関/事業者間でセキュリティ管理について合意形成すべき事項をしっかり検討する必要があると論じられている。
今までこうしたセキュリティ管理の合意形成は多くの医療機関/システム業者間で行われていなかったため、今後、相当の混乱が発生することが想定される。ただし、システム業者として提供した医療情報システムのリスクマネジメントを適切に実施するとともに、当該システムを利用する医療機関にどのようなユーザセキュリティを求めるのかについて、しっかりと説明・合意形成することは、患者という最大のステークホルダーを守ることに直結する安全管理の一環であり、こうした混乱を乗り越えることは産みの苦しみとして不可避と言える。
医療機関にとってはシステム業者から提供される情報が不足していれば、当該システムに係るセキュリティ対策の検討すら難しい。その逆もまたしかりである。今までこうした状況が多発してきたことを受け、2省GLでリスクコミュニケーションの重要性が強調されているわけであり、そのスコープは契約・SLA(サービスレベル合意)上の具体的な条項にまで波及するが、その点はここでは触れないこととする。
いずれにせよ、今後の医療情報セキュリティにおいて、法的な契約条項の見直しにもつながる、医療機関/システム事業者間のリスクコミュニケーションが活発になることは間違いないだろう。
江原悠介(一般社団法人医療ISACステアリングコミッティ運営委員)[サイバーセキュリティ対策][リスクコミュニケーション]
