総務省の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」が改定され、「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」として2018年7月前半にも公表される予定である。
本件に関するパブリックコメント募集の締め切り日だった2018年6月21日、第22回 日本医療情報学会春季学術大会(新潟コンベンションセンター)初日のチュートリアルで、ガイドライン策定の検討委員会主査である医療情報システム開発センター(MEDIS-DC) 理事長の山本隆一氏が、改定のポイントを解説した。なお、同氏の解説はガイドライン第1版(案)に基づいたものであり、パブリックコメントを受けて正式公表される内容とは異なる可能性がある。
「非常に読みにくい」ものだった
民間事業者が提供するクラウドを利用して医療情報を外部保存する場合や医療情報システムサービスを利用する際には、事業者(開発会社やデータセンター、クラウド事業者など)は、いわゆる「3省4ガイドライン」に対応する必要がある。総務省の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」は、その4つのガイドラインの一つである。
もともとは、ASP・SaaS事業者が医療情報を取り扱う際に、厚生労働省のガイドラインとの整合性をとるために、総務省のもう一つのガイドラインである「ASP・SaaSにおける情報セキュリティ対策ガイドライン」に示されていない事項を埋めていくものとして策定された経緯がある。
そのため、建付けも厚労省と総務省の情報セキュリティ対策ガイドラインを併記しつつ、医療情報の取扱いに関する事項を追記するといった「非常に読みにくい」(山本氏)ものだった。
そこで今回の改定は、「総務省のガイドライン2つをまとめて、『3省3ガイドライン』にしたい」(山本氏)という狙いがあった。総務省ガイドラインの対象範囲を明確化し、新しい対策などへの対応を図ることを目的とした。
