ヘルスケア事業やヘルステック事業者の３つのガイドラインとは

ヘルスケアと個人情報

ヘルスケア事業については、個人情報の取り扱いについては、非常に重要だという話は、以下の記事でもしました。

医療機関や医療情報の個人情報の取り扱いで重要な２つのポイント

医療情報を扱う事業者は、以下の情報を扱う必要があります。

医療情報システムの安全管理に関するガイドライン 第 5 版 – 厚生労働省

具体的には、電子的な医療情報を扱う際の責任のあり方や情報システムの基本的な安全管理、診療録と診療諸記録を外部に保存する際の基準、運用管理等について定められています。

そして、さまざまな要求項目等に対して、その考え方、最低限実施すべき対策、さらに推奨される対策等が示されているのが特徴です。

グラウトサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン

上記（1）の「医療情報システムの安全管理に関するガイドライン」が、医療・介護関係事業者の観点から書かれているのに対して、グラウト事業者の観点から追加・補強されたものが、以下のガイドラインです。

クラウトサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン

従来の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」および「ASP・SaaSにおける情報セキュリティ対策ガイドライン」が、２０１８年7月に統合されて、新たに作成されました。

ここでいうグラウト事業者には、ASP、SaaSのほか、PaaS、IaaS等も含まれます。

また、本ガイドラインは、オンライン診療システムが医療情報システムと接続する場合や、PHR（パーソナル・ヘルス・レコード）サービスもカバーしています。

内容としては、以下のようなものが示されています。

• グラウト事業者が医療情報の処理を行う際の責任や安全管理に関する要求事項
• 医療機関の管理者との責任分界の考え方や安全管理の実施における医療機関との合意形成のあり方
• 組織・運用および物理的・技術的対策を含む情報セキュリティ対策の指針

医療情報を受託管理する情報処理事業者における安全管理ガイドライン

上記（1）の「医療情報システムの安全管理に関するガイドライン」が、医療・介護関係事業者の観点から書かれているのに対して、情報処理事業者の観点から追加・補強されたものが、経済産業省によるこのガイドラインです。

医療情報を受託管理する情報処理事業者を対象に、安全管理上の要求事項を定めたものです。

医療情報を受託管理する情報処理事業者における安全管理ガイドライン

医療情報処理施設や装置の物理的安全対策、装置やソフトウェア、ネットワークの技術的安全対策、人的安全対策等が述べられています。

将来的には、上記「グラウトサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」との統合が検討されています。

オンライン診療の適切な実施に関する指針

技術の発展に伴って、オンライン診療が急速に普及しようとしており、厚生労働省は、2018年3月に「オンライン診療の適切な実施に関する指針」を公表しました。

オンライン診療の適切な実施に関する指針

同指針では、オンライン診療の実施にあたっては、利用する情報通信機器やグラウトサービスを含むオンライン診療システム（ビデオ電話サービス等も含まれる）を適切に選択・使用するために、個人情報の保護に最大限配慮するとともに、情報セキュリティに関する対策を講じ、それらを患者・医師・オンライン診療システム提供事業者の三者で合意することが重要となると指摘しています。

そのうえで、同指針は、医療情報を保存しているシステムと接統しているか否かで分類し、おのおのを利用する際に検討・考慮すべき事項を紹介しています。

接続を行わないケースに関しては、電子カルテシステム等の医療情報システムに、オンライン診療システム、医師側端末および患者側端末は接続せず、原則として、オンライン診療システム等を通じた医療情報の保存は行わないとしています。

ただし、患者の合意のもと、患者端末に本人の情報を患者の自己責任で保存する場合には許されるとしています。

Tweet