医療業界の未来を見据えた、3 省 2 ガイドラインの捉え方と DX の進め方
IT の技術革新により、医療業界にもクラウドサービスが浸透し、DX が進んでいます。一方で、機微な情報も多く含まれる医療情報の利活用に関しては、細心の注意を払う必要があります。
本稿では、官公庁ガイドラインや医療 DX に伴うガバナンス設計に対する豊富な知識と経験をお持ちの PwC あらた有限責任監査法人の江原悠介氏と、数多くの政府向けセキュリティガイドライン策定経験を持つ日本マイクロソフトの河野省二に、厚生労働省、経済産業省、総務省の 3 省が策定したいわゆる「3省2ガイドライン」のあらましと今後の課題、そして事業者にとっても医療業界にとっても有益な DX の進め方について話を聞きました。
日本マイクロソフト株式会社 技術統括室 チーフセキュリティオフィサー
河野 省二 (かわの しょうじ)
1998 年より、セキュリティ ガバナンス コンサルタントとして企業の経営層向けのアドバイザリを行いつつ、数多くの政府向けセキュリティ ガイドラインを策定する。2017 年 12 月より現職。情報セキュリティの ISO を策定する JTC1 SC27 および SC40 委員会、FISC 安全対策委員、FISC 安全対策監査委員など標準策定委員活動を継続。
(ISC)2 としてグローバルなセキュリティ資格 CISSP の国内主席講師として人材育成等も行っている。
PwC あらた有限責任監査法人 システムプロセスアシュアランス部 シニアマネージャー
江原 悠介 (えはら ゆうすけ)
ヘルスケアや金融を中心とした社会インフラ型のリスク アシュアランスに係るさまざまな業務に従事。医療機関や情報処理事業者に対する 3 省ガイドラインに基づく態勢整備/セキュリティ監査、患者個人情報等の二次利用に際したプライバシー ガバナンスの整備支援等、官公庁ガイドラインや医療 DX に伴うガバナンス設計に対する知識・経験を有する。
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」検討委員会委員。
■IT の進化とともに形を変えてきた 3 省ガイドライン
-まずは 3 省 2 ガイドラインの概略についてお聞かせください。
河野: システムの構築において、私たちのようなセキュリティの専門家は、必要な機能が示された段階で、それらの機能のどこにどのようなリスクがあるのか、といったことを考えながら、慎重にセキュリティ対策を検討し、提案していきます。
ただし、迅速に作業を進めなければない場合もあります。例えばここ 1〜2 年のコロナ禍において、ワクチン接種の予約システムや軽症患者の症状管理システムなどが構築されました。これらのシステムでは、1 日でも早く、できれば思い立ったらすぐにでも構築できることが求められています。
そのような場合に、従うべき基準があることで、迅速にシステムやサービスを開発できるようになります。なぜそのような実装をしたのかという説明を求められたときに、リーズナブルなリフファレンスが必要になるからです。医療情報システムにおけるその基準を示したものが、いわゆる「3省2ガイドライン」です。
-このガイドラインの策定に関わってこられた江原さんから、3 省 2 ガイドラインの背景と策定されるまでの流れをお聞かせいただけますか?
江原: 1990 年代後半、いわゆる IT 革命の時代に、診療録や調剤録、処方箋といった医療情報をデジタル管理していこうという流れができました。それまでは、病院内で紙によって管理していた文書を、外部のベンダーのもとで電子化して保存するとなったときに、どのように管理していくべきかという観点で策定されたのが、厚生労働省、経済産業省、総務省の 3 省それぞれが定めたガイドラインになります。
まず 2005 年に厚生労働省の「医療情報システムの安全管理に関するガイドライン」が公表されました。これは、法定保存文書である紙の医療情報を電子化するのであれば、これまで通りの信頼性を担保した状態で取り扱えるようにしなさい、という医療機関向けのガイドラインでした。
一方、医療機関では外部ベンダーが開発・運用するシステムを使うことが多かったため、外部ベンダーをコントロールする必要が生じてきます。そのなかで、事業者を管轄する経済産業省が策定したのが「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」(2008 年) です。
この経済産業省のガイドラインは、オンプレミス型のシステムを提供する事業者を想定した内容になっていたのですが、当時は ASP (アプリケーション サービス プロバイダ) や SaaS といった、インターネット経由でサービスを提供するベンダーが増えてきた時期でもありました。インターネットは通信の分野ですから、総務省が管轄です。そこで「ASP・SaaS における情報セキュリティ対策ガイドライン」(2008 年) および「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」(2009 年) が策定されました。その後、2019 年に総務省の 2 つのガイドラインが「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」へと統合されたことで、今の 3 省 2 ガイドラインの元となった「3省3ガイドライン」が成立しました。
-管轄によって省ごとに異なるガイドラインが策定されたのですね。経済産業省と総務省のガイドラインが統合された経緯についてお聞かせください。
江原: それまでのガイドラインは基本的には「これさえやっておけば大丈夫ですよ」というルール ベース型のアプローチでした。ところが、2010 年代に入り、IT の技術革新やサイバー攻撃の拡大・多様化に伴って、ルール ベース型では対応しきれず、時流にあったリスク認識と合理的な対策による、リスク ベース型のアプローチが必要になってきたのです。
また、医療情報システムの主流になりつつあったクラウド サービスも、医療機関のニーズに合わせて多様な機能をサプライ チェーンで提供するようになり、「これさえやっておけば大丈夫」という考えが適用しづらくなってきました。そこで 2020 年 8 月に公表されたのが、経済産業省と総務省のガイドラインを 1 つに統合し、リスク ベース型の考えを全面に出した「医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン」です。
■リスク コミュニケーションを重視し、変化にも柔軟に対応できるよう改善
-「医療情報を取り扱う情報システム・サービスの 提供事業者における安全管理ガイドライン」ではどのような部分に力点が置かれているのでしょう?
江原: 医療機関とのリスク コミュニケーションによる合意形成の重要性ですね。多くの医療機関では、システム部門を置いたり IT 人材を雇用したりする余裕がありません。ですから、事業者は「自分たちはやるべきことをやっているので安心なサービスです」と言って、サービスを売って終わりではなく、きちんとリスクを整理して共有し、事業者側と医療機関側がやるべき対策をはっきりさせて、適切なコミュニケーションを行いながら、サービス全体のセキュリティ水準について合意形成を図っていきましょう、というのが、このガイドラインの基本的なコンセプトです。事業者には医療機関のセキュリティ管理を積極的にサポートすることが期待されています。
これまで事業者側にこうした役割が求められることはあまりなかったのですが、2021 年 4 月に 3 省が公表した「民間PHR事業者が健診等情報の取扱いに関する基本的指針」では、患者個人のバイタル データを利活用する際に、事業者として自分たちがどのようなリスク管理対策を講じているかを開示することが求められています。これらの動きを見ても、医療情報の取り扱いにまつわるリスク コミュニケーションの重要性が広く認識され、定着し始めているのかな、という実感があります。
河野: こうしたガイドラインは、作成するのにどうしても時間がかかるものですから、IT 技術や医療技術の変化に柔軟に対応するのは難しいといえます。そこにリスク コミュニケーションに関する内容が加わることで、医療機関やサービス開発担当者のリスク需要レベルを図れて、新たなリスクや技術への柔軟な対応がしやすくなったということですね。
-3 省 2 ガイドラインによってどのような点が改善されたのでしょう?
河野: ガイドラインを 2 つにまとめたことで、事業者側の負担を減らせるようになったのは大きなポイントだと思います。複数のガイドラインがあると、個別最適されているそれぞれのガイドラインの整合性が取れなくなってしまいます。これは最近の「ベスト・オブ・ブリード」と呼ばれるソリューションの選択も同様で、結果として運用・管理コストが増大します。
江原: そうですね。医療機関側が読むべきガイドラインと事業者側が読むべきガイドラインが明確に整理され、システムの仕様や環境が変わったときに考えるべき軸が示されるようになりました。そのため、過剰に対策しすぎたり、あるいは過少に済ませてしまったりといったこともなくなるのではないかと思います。システムの実態・規模に合う形で、ガイドラインの要求事項にどう対応すべきかを自分たちで考えることの重要性がフォーカスされている点は、非常にいいところだと思います。
河野: 情報セキュリティというと、つい「あれもこれも」になってしまうところですが、規模に合わせてリスクに対応できるようになったのは素晴らしいですね。
■DX を阻害する要因となっている医療業界の課題
-3 省 2 ガイドラインのおかげで、やるべきことが明確になり、フレキシブルに実行できるようになったということですね。今後検討すべき課題はあるのでしょうか?
河野: 世界に目を向けると、アメリカ国防総省やイギリス政府では、すべての情報をクラウドに上げる方針に変化してきている一方で、いまだに日本国内では「どれがクラウドに配置してもよいデータなのか」など、データ ガバナンスの本質的なところの理解が遅れていることが、医療情報においてもボトルネックになって、DX やクラウド化が進みにくい現状があります。例えば、「電子カルテは誰のもの?」という議論。患者がかかりつけ医以外からセカンド オピニオンを受けたいと考えたときに、かかりつけ医の電子カルテデータを別の病院に持っていきたいと思っても、今の日本ではそうはいきません。
江原: 河野さんがおっしゃる通り、個人のバイタル データは個人が所有すべきとされていますが、バイタル データに基づき作成される診療録や処方箋等のデータ オーナーは医師や病院になります。また、国立病院、自治体病院、民間病院等、病院の根拠法や自治体の条例により患者の個人情報の取扱いルールも異なります。いわば、データの管理主体が乱立しており、患者個人のデータをシームレスに共有することが難しい。この課題を解決するために、現在、マイナポータルを利用して診療録やバイタル データを患者本人が一括で持ち歩ける仕組みづくり等、さまざまな取組が国内で進められていますが、海外のようなデータのポータビリティを実現するにはもう少し時間がかかると思います。
河野: そこは今後解決すべき課題ですね。データの主体を明確にするのはデータ管理の基本なのですが、医療情報についてはそこが複雑に絡み合ってしまっている。法制度の整備や今後のガイドライン改訂で解決してほしいところです。
-ほかに医療業界の DX を進める上での課題はあるのでしょうか?
河野: 医療業界には小規模なスタートアップ企業も多く、人的パワーの都合から、関連法令やガイドラインに準拠しないままプロジェクトを始めてしまうこともあります。システムやサービスの構築においては、自らの力量以上のことができないというのはよくある課題ですが、法律や基準など、従わなければならないものを見過ごしてしまうと、対応のための改修に、非常に多くのコストがかかります。また、大手ベンダーにおいては、システム レベルでのセキュリティ対策などを行っているために、細かな変更ができず、変化に対応できずにトラブルを巻き起こすことも少なくありません。
江原: 法令やガイドラインへの対応は社会的な要求ですので、その対応を誤ることはその会社や技術に悪いイメージをつけてしまいますが、実のところ、その会社の技術の発展が阻害されることは、医療業界全体にとってもマイナスなのです。であれば、最初からガイドラインに準拠したサービスを持つクラウド ベンダーが提供する環境を利用したほうが安心で、費用対効果も高いという考えもあります。なにより技術を持った会社、クラウド ベンダー、医療業界、すべてが win-win の関係を築ける。これから医療業界への参入を考えている企業には、医療という公共性の高い分野全体の発展を意識した観点から、セキュリティ対策の重要性を考えていただきたいと思っています。
■医療情報システムを、迅速かつ安全に構築するために
-冒頭で河野さんが、ガイドラインが策定された理由について「パンデミックなどの緊急事態でも医療現場を支援するためのシステムを迅速に構築する必要があるため」と述べられました。3 省 2 ガイドラインが整備された今、医療情報システムを迅速かつ安全に構築するためのアドバイスをお願いします。
河野: なにもない場所からから企画して、セキュリティ要件を決めて…という段階を踏むと、完成までに膨大な時間がかかってしまいます。ですから、既にある API レベルでのクラウド サービス利用や、信頼できるサービスの利用、例えばアカウント認証サービスなどを活用すべきだろうと思います。
要件を満たすサービスがあれば、自社に専門家がいなくても、十分に安全性を説明できるサービス機能を利用することができます。これらを組み合わせることで迅速かつ安全な構築が可能になります。従来のような、ホスティング サービス上に Windows Server や Linux をインストールして、さらにアプリケーションをその上でインストールするような環境では、安全性の説明において、自分たちの負担が大きくなるばかりです。すでに認証を受けているようなサービスを適切な手法で利用することで、自らの負担も責任も軽減できるということを、最初に検討していただけるとよいと思います。
江原: コスト面でも、ゼロベースでシステムを構築するのはあまり現実的ではないと思います。そうなると、低コストで、常に最新のセキュリティ アップデートをかけながら、ユーザーである医療機関側にあまり IT の知識がなくても医療情報システムを構築、運用できる環境、すなわちガイドラインに準拠したクラウド サービスの利用が重要になってきますし、今後、医療現場へのクラウドの浸透度も高くなっていくだろうと考えています。
河野: 日本マイクロソフトでは、Microsoft Azure や Microsoft 365 といったクラウド サービスが事業者向けガイドラインの要求事項に則っていることを確認・整理したリファレンスを公開していますので、ご興味のある方はご参照いただければと思います。
マイクロソフトクラウドの「医療機関向けクラウドサービス対応セキュリティリファレンス (2021 年度)」公開のお知らせ
-江原さんの立場からクラウドベンダーに望むのはどんなことでしょうか?
江原: クラウドが普及する一方で、外部のクラウドベンダーにデータを預けることに対して不安感を覚える医療機関が多い印象を持っています。そこにはクラウド サービスとベンダーへの信用という課題があると思います。ですから、「このサービスはガイドラインに準拠していますよ」というメッセージは安心感を与えると思います。あとは「こうすればガイドラインに準拠したシステムをつくりやすいですよ」といった情報も医療機関には有益ですので、ぜひ情報発信にも力を入れてほしいです。
河野: 江原さんのご懸念はよくわかります。私も、セキュリティ対策の相談を受ける際に、認証の仕組みをどのように実装すればよいのかと聞かれることが多いのです。すでに信頼された認証や認可の仕組みはいくらでもありますし、API も公開されていますので、自ら実装する必要はありませんよ、という話をするのですが、「自分たちでつくらないと、自分たちのサービスに合わない」と言われることも多くて。やはり、江原さんがおっしゃったように、今はどのような環境になっているのかを理解していただくための情報収集が必要になるのではないかと思います。
江原: そうですね。一定規模以上の病院であれば、情報システム部門があって専門の IT 人材がいて、「このシステムは本当に大丈夫なの?」「このクラウド ベンダーは信用できるの?」といった検討ができるのですが、大多数の病院では、病院のなかで少し IT に詳しい職員がひとりで対応するといったことも多いので、ベンダー側からわかりやすい情報を豊富に提供して、「これなら院長や事務長にも説明できるな」と安心感を持ってもらうことは大切ですよね。
河野: 私たち日本マイクロソフトも、信頼できるクラウド サービス プロバイダとして、さまざまな情報を届けていきたいと考え、さまざまな情報を提供しています。これからもさまざまなガイドラインが公表されるたびに、準拠性を示すようなドキュメントを提供していますので、ぜひこれからも期待していただきたいと思います。
-本日はありがとうございました。
