医療に関わる情報を扱うすべての情報システムと、それにかかわる人・組織を対象とし、医療情報における個人情報保護、電子保存、外部保存、e文書法対応を統合的にまとめた厚生労働省の「医療情報システムの安全管理に関するガイドライン」(以下、MHLWガイドライン)。2005年3月に第1版が発行され、今年3月に最新版(第4.3版)が公表されている。
MHLWガイドラインは、強制的な執行力はそれほどないものの、遵守しなかった場合は法令違反に問われ、それに見合った罰則が適用されるおそれがあるものだ。そのため電子的な診療録を管理している医療機関には、非常に重要なガイドラインである。しかしながら、「180ページとボリュームのある内容を読み解いて体系的に整理し現場に展開していくのは非常に骨が折れる作業」(PWCあらた監査法人 システムプロセスアシュアランス マネージャーの江原悠介氏)が必要とされる。
そこでメディカルITセキュリティフォーラム(MITSF)は、デジタル・フォレンジック研究会などと合同で、「何を行えばガイドラインが遵守できるのか」という視点に立った手引き書を作成、『「医療情報システムの安全管理に関するガイドライン」対応のための手引きVer1.00』(以下、手引き書)として2016年3月に発表している。
「ITヘルスケア学会 第10回記念学術大会」(2016年5月21~22日)の「医療情報における情報セキュリティー確保と患者情報の二次利用について」と題したパネルディスカッションに登壇した江原氏が、手引き書の内容を紹介しつつ、同ガイドラインの読み解き方を述べた。
手引き書では、MHLWガイドラインの4章「電子的な医療情報を扱う際の責任のあり方」、5章「情報の相互利用性と標準化」、6章「情報システムの基本的な安全管理」、7章「電子保存の要求事項について」、8章「診療録および診療諸記録を外部に保存する際の基準」を対象範囲として、「そのエッセンスを整理して」(江原氏)7章建て・約50ページにまとめている。
医療機関にとって、業務を外部委託せずに医療業務を運営することは今や不可能。MHLWガイドラインの4章は、外部委託業者と契約において責任分界点を明確にする必要性を示したもので、「責任のポテンヒットが発生するようなことがないようにする」(江原氏)ことが重要。責任の空白地帯を所持させないよう契約を結び、モニタリングをしていく必要があることを強調した。
