医療機関が電子カルテや医用画像などの診療データをパブリッククラウドなど民間事業者が運営する外部設備に保存する際には、「3省4ガイドライン」を遵守する必要がある。3省4ガイドラインとは厚生労働省、経済産業省、総務省が出している以下の4つのガイドラインを指す。
- ■医療情報システムの安全管理に関するガイドライン第4.2版
(厚生労働省) - ■医療情報を受託管理する情報処理事業者における安全管理ガイドライン
(経済産業省) - ■ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(総務省)
- ■ASP・SaaSにおける情報セキュリティ対策ガイドライン(総務省)
「医療情報システムの安全管理に関するガイドライン」は、病院、診療所、薬局などの医療機関において診療データを電子保存する担当者を対象としたもの。法律、厚生労働省の通知、他の指針等の要求事項について「必ず実施しなければならない対策」「実施しなくても要求事項を満たせるが実施したほうが理解を得やすい対策」を記述する。外部クラウドを利用する場合の委託先選定、契約、管理責任については「8.1.2 外部保存を受託する機関の選定基準及び情報の取り扱いに関する基準」に記載されている。
