医療IT最前線 第86回 安全にクラウドサービスを利用するためには?
相次ぐ自然災害を受けてクラウドバックアップが進む
2011年の東日本大震災、最近では東日本での大型台風など、我が国は相次ぐ自然災害に見舞われています。災害によって、紙カルテや電子カルテが水没する事件が、ニュース等でたびたび報道されています。
相次ぐ自然災害の報道を受けて、自らが当事者になるかもしれないという恐れから、多くの医療機関で「危機管理意識」が高まっており、BCP(Business Continuity Plan:事業継続計画)を作成する医療機関も増えています。医療機関にとって、事業を継続する、すなわち災害がおきても患者を診療するためには、カルテなど医療情報を安全に管理することは重要です。
そこで、災害対策として医療機関内で電子カルテやレセコンなどのサーバを管理するだけではなく、クラウド上でバックアップデータを管理し、万が一に備える医療機関が増えています。医療情報の分散管理を行うことが一般的になりつつあるのです。
クラウド社会の到来
一方、私たちの生活は様々なクラウドサービスに支えられています。
例えば、Web検索やSNS(LINE、Facebook)、スケジューラー、地図検索、商品売買、QRコード決済など挙げたらきりがありません。いまはこれらのサービスが無料もしくは低価格で利用できるのです。もうクラウドサービスがない生活は想像できない時代となりました。
医療の世界でも、2010年の医療分野のクラウド解禁以来、どんどんシステムのクラウド化が進んでいます。現在、例えば予約システム、PACS、電子カルテ、地域連携システム、医療版SNSなどがクラウドサービスとして提供されています。
クラウドサービスに関する「3省3ガイドライン」
世の中のクラウドサービスの利用状況に比べて、医療の世界ではそれほど利用が進んでいないように感じます。その理由は様々ありますが、医療機関が取り扱う情報が他の業種に比べて、非常に高いレベルで安全性を確保する必要があるためではないでしょうか。
クラウドサービスを利用する際、情報が流出してしまった場合やサービスが使えなくなった時の不安がいまだ先行しているためだと思われます。そういった不安や課題に対応するため、政府は医療分野におけるクラウドサービスの利用についてのルールや守るべき規範をまとめたガイドラインを定めています。
ガイドラインは、医療分野を管轄する厚生労働省、総務省、経済産業省の3省がそれぞれ出しており、この3省が出している3つのガイドラインを総称して、「3省3ガイドライン」と呼ばれています。
最低限遵守すべき事項
「医療情報システムの安全管理に関するガイドライン」では、医療機関等がクラウドサービスを利用する場合の最低限遵守すべき事項として、以下のように示しています。
(ア)医療機関等が、外部保存を受託する事業者と、その管理者や電子保存作業従事者等に対する守秘に関連した事項や違反した場合のペナルティも含めた委託契約を取り交わし、保存した情報の取扱いに対して監督を行えること。
(イ)医療機関等と外部保存を受託する事業者を結ぶネットワーク回線の安全性に関しては「6.11外部と個人情報を含む医療情報を交換する場合の安全管理」を遵守していること。
(ウ)受託事業者が民間事業者等に課せられた経済産業省のガイドラインや総務省のガイドライン等を遵守することを契約等で明確に定め、少なくとも定期的に報告を受ける等で確認をすること。
(エ)保存された情報を、外部保存を受託する事業者が契約で取り交わした範囲での保守作業に必要な範囲での閲覧を超えて閲覧してはならないこと。
(オ)外部保存を受託する事業者が保存した情報を分析、解析等を実施してはならないこと。匿名化された情報であっても同様であること。これらの事項を契約に明記し、医療機関等において厳守させること。
(カ)保存された情報を、外部保存を受託する事業者が独自に提供しないように、医療機関等は契約書等で情報提供について規定すること。外部保存を受託する事業者が提供に係るアクセス権を設定する場合は、適切な権限を設定し、情報漏えいや、誤った閲覧が起こらないようにさせること。
(キ)医療機関等において(ア)から(カ)を満たした上で、外部保存を受託する事業者の選定基準を定めること。少なくとも以下の4 点について確認すること。
(a)医療情報等の安全管理に係る基本方針・取扱規程等の整備
(b)医療情報等の安全管理に係る実施体制の整備
(c)実績等に基づく個人データ安全管理に関する信用度
(d)財務諸表等に基づく経営の健全性
出典:「医療情報システムの安全管理に関するガイドライン第5版」<厚労省>
このように、クラウドサービスを利用する際に起こり得る事象に対して、厳格なガイドラインが定め3省が協力して監督を行うことで、安全安心なクラウドサービスを利用できるようになると政府は考えています。医療機関がクラウドサービスを利用する際、是非一読いただき、業者選定やシステム構築の際に確認いただきたい資料です。
大西 大輔