電子カルテをはじめ電子化された医療情報をパブリッククラウドなどに外部保存する際に遵守する必要があるガイドライン。厚生労働省、経済産業省、総務省の3省が出している4つのガイドラインの総称である。
具体的には、厚生労働省が定めた「医療情報システムの安全管理に関するガイドライン」、総務省が定めた「ASP・SaaS における情報セキュリティ対策ガイドライン」および「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」、経済産業省が定めた「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」を指す。
クラウド環境で医療情報システムサービスを提供する事業者(開発会社やデータセンター、クラウド事業者など)は、これらすべてのガイドラインの対策項目を満たす必要がある。
3省4ガイドラインのベースとなっているガイドラインが、厚生労働省の「医療情報システムの安全管理に関するガイドライン」である。2005年3月に第1版が発行された。その後、1年もしくは2年に1度改定されており、2017年5月末には第4.4版が発行される。
対象は、病院や診療所(一般、歯科)、薬局、助産所、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者など。これら組織で扱う医療・介護情報システムを運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容などを提示している。
具体的には、電子的な医療情報を扱う際の責任のあり方や情報システムの基本的な安全管理、診療録と診療諸記録を外部に保存する際の基準、運用管理などについて定められている。さまざまな要求項目などに対して、その考え方、最低限実施すべき対策、さらに推奨される対策などが示されている。
厚生労働省の「医療情報システムの安全管理に関するガイドライン」に対してASP(Application Service Provider)・SaaS(Software as a Service)事業者の観点から追加・補強したものが総務省の「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」である。医療情報の処理をASP・SaaSで提供する事業者や団体などを対象とするもの(ただし、医療情報の外部保存のみをサービスとして提供する者は含まない)。ASP・SaaS事業者が医療情報の処理を行う際の責任や安全管理に関する要求事項、医療機関の管理者との責任分界の考え方や安全管理の実施における医療機関との合意形成のあり方などが示されている。
同じく総務省の「ASP・SaaS における情報セキュリティ対策ガイドライン」は、医療分野に限らず、ASP・SaaS 事業者がASP・SaaS サービスを提供する際に実施すべき情報セキュリティー対策の指針を示しており、組織・運用および物理的・技術的対策が述べられている。
一方、厚生労働省の「医療情報システムの安全管理に関するガイドライン」に対して情報処理事業者の観点から追加・補強したものが経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」である。医療情報を受託管理する情報処理事業者を対象に、安全管理上の要求事項を定めたもの。医療情報処理施設や装置の物理的安全対策、装置やソフトウエア、ネットワークの技術的安全対策、人的安全対策などが述べられている。
