保健医療介護福祉分野における、情報セキュリティー確保のためのガイドライン改定で変化する経営者の責任

お役立ち情報

2024年04月01日

セキュリティー対策
DX

日本社会の持続的成長のために、あらゆる領域で「DX」の推進が求められています。医療の世界も例外ではなく、情報セキュリティーはその取り組みの根幹を支える重要な要素になっています。厚生労働省では、「医療情報システムの安全管理に関するガイドライン」を策定しており、2023年5月には最新版となる第6.0版を公開しました。今回の改定のポイントの一つは、本編の中に経営管理層を対象とした内容を組み込んだことにあり、経営責任を負う経営陣が情報セキュリティー確保において果たすべき役割が言及されています。

日本の医療機関がDXで抱える課題

メディカルデザイン総合研究所代表・所長、慶應義塾大学SFC研究所上席所員、医療サイバーセキュリティ協議会理事
島井健一郎氏

——日本社会の持続的成長のために医療分野でもデジタル化、ICTインフラの整備、情報活用を通じたデジタルトランスフォーメーション（DX）が求められています。一方で、取り組みの遅れも散見されます。医療機関がどのような課題を抱えているのか、教えてください。

島井健一郎氏（以下、島井）：医療分野におけるDXでは、自由民主党が「医療DX令和ビジョン2030」という提言をまとめて2022年5月に発表しましたが、それ以前から厚生労働省、総務省、経済産業省などの行政機関や自治体はさまざまな施策を行ってきました。その結果、電子カルテシステムの導入など、アナログ運用のデジタイゼーションや業務のデジタライゼーションへの取り組みは、どんな医療機関でもそれなりに行われています。

図1：医療分野の情報化の現状
出典：厚生労働省「医療分野の情報化の推進について」
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryou/iryou/johoka/

しかし、病院完結型医療から地域完結型医療への転換が長く叫ばれてきているなか、業務プロセスやワークフローに適応したICT化を着実に進めている医療機関と、立ち止まっている医療機関など、依然としてばらつきがあるのが実態です。

——医療現場のITに関するリテラシーやリソースが足りていないことが、その原因でしょうか。

島井：ITに関するリテラシーやリソース以前の問題があります。特に、「トランスフォーム」とは過去の取り組みの延長線上での「改善」ではなく、抜本的な「変革」です。その変革を進めるためには、アナログの業務レベルでも変革していく組織の風土・文化、構成員の意識・資質が問われますが、医療機関や、医療機関内の部署や職種ごとでの個別最適思考での活動を優先して遂行し、その結果、全体最適思考や中長期的視座での改善、改革の活動、視点に積極的に向き合ってこなかった背景があります。自分たちの業務プロセスを可視化、構造化し、医療業界全体で全体最適思考に立った整理や標準化を推進していくためのスキルやノウハウを持った人材も不足していることから、取り組みが遅れています。

厚生労働省では地域包括ケアシステムや地域完結型医療の提唱以前に、病院完結型医療においてもチーム医療や多職種連携を実現するためのさまざまな施策を提示してきましたが、業務プロセスやワークフローの可視化・構造化・標準化がされていない状況ですので、ICT化を進めても、部署や職種ごとに縦割りでサイロ化された現状業務がそのままシステムに投影されるだけで、セクションごとに隔絶された内輪的な状態からは抜け出せません。

大幅に改定された「医療情報システムの安全管理に関するガイドライン」

——とはいえ、いつまでも変わらないわけにはいきません。

島井：おっしゃるとおりです。周知のとおり、日本の社会では少子高齢化が急速なペースで進行しており、今後は人口減少に拍車がかかり、人口分布のばらつきも広がります。患者の数が減り、輪をかけて後継の労働生産年齢の医療従事者も減り、医療の需要と供給のバランスや医療サービス提供体制が危ぶまれていく中で、医療機関は、変革を進めていかなければ、やがて経営が立ち行かなくなるのは明らかです。

——医療機関が変革を進めていくためには何が必要ですか。

島井：繰り返しになりますが、「変革」には過去の取り組みの延長線上の「改善」以上の認識や変容が求められるということです。そして、「変革」を実現するには、足元となる要素を固める「地固め」が必要です。跳び箱と同じで、この足元の踏み台がぐらついていたならば、思い切ってジャンプアップすることができません。その一つが情報セキュリティーです。

そこで、厚生労働省が2023年5月に公開した「医療情報システムの安全管理に関するガイドライン第6.0版」（以下、第6.0版）では、経営層が情報セキュリティー確保に関与することの責務を強く打ち出しました。同ガイドラインの第5.2版（以下、第5.2版）までは、医療情報システムを適切に取り扱い、診療録などを電子的に保存するためのガイドラインでしたが、第6.0版ではその内容が拡大され、対象に応じて整理されています。

「医療情報システムの安全管理に関するガイドライン第6.0版」キャプション — 図2：「医療情報システムの安全管理に関するガイドライン第6.0版」
出典：厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版（令和5年5月）」
https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html

情報セキュリティーの3大要素として、「CIA（Confidentiality：機密性、Integrity：完全性、Availability：可用性）」が情報セキュリティマネジメントシステム（ISMS）に関する国際規格の日本版であるJIS Q27000で定義されていますが、この三つをいかなるバランスで実施していくのかが、各医療機関などの経営方針・情報セキュリティー戦略であり、まさに、経営層の責任なのです。

本編に初めて組み込まれた経営管理編

——具体的にどんなCIAのバランスが求められますか。

島井：経営判断として地域完結型医療・地域包括ケアシステムへの積極的な貢献を実行するとなれば、他の医療機関などと密な連携や情報の共有・交換をする必要があるため、必然的に外部と情報のやり取りをすることになります。情報化が進む地域において、業務効率の向上の観点から、電子カルテシステムが未導入であればその導入、導入済みであっても連携および情報交換のためのネットワークインフラやデータなどの整備が求められるため、機密性の保護については若干レベルを緩和する、あるいは運用でカバーするといった思考の転換が必要となります。

一方で、独自の価値観に基づく医療サービスで、病院完結型医療を追求していくという経営方針を打ち出したならば、機密性や可用性の確保に重点を置いた情報セキュリティー確保策の実施が重要になります。

要するに、三つの要素のバランスの確保・運営は、「どのような情報セキュリティー確保策のサービスやソリューションを導入するべきなのか」といった技術やツールの選定以前に、「自分たちがどのような医療サービス提供機関としてどういう運用を目指すのか」という意思決定・戦略立案に座すものなのです。

こうした判断ができるのは経営層にほかなりませんが、日本では医療機関の開設者は、「営利を目的としない法人又は医師である」と法令で定められていることから、診療のプロであっても経営のプロではないことが多く、多くの医療機関はこうした議論を俎上に上げることに慣れていません。しかし、日本の地域医療が切羽詰まった状況を迎えつつある中で、トランスフォームを着実かつ強力に推し進める地固めとして、第6.0版が策定された背景には、こうした現状もあるのです。

——第6.0版が、どんな構成や内容になっているのか教えてください。

島井：本ガイドラインは、「概説編」「経営管理編」「企画管理編」「システム運用編」の大きく4編で構成されています。

図3：「医療情報システムの安全管理に関するガイドライン第6.0版」の構成と対象
出典：厚生労働省「医療情報システムの安全管理に関するガイドライン第6.0版概説編」
https://www.mhlw.go.jp/content/10808000/001102570.pdf

概説編は、このガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編を理解する上で前提となる考え方を示しています。

経営管理編は、「主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層を対象にしており、経営層として遵守・判断すべき事項、並びに企画管理やシステム運営の担当部署及び担当者に対して指示又は管理すべき事項」と、その考え方を示しています。

企画管理編は、「主に医療機関等において医療情報システムの安全管理（企画管理、システム運営）の実務を担う担当者（企画管理者）を対象にしており、組織体制や情報セキュリティ対策に係る規程の整備等の統制等の安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示又は管理を行うに当たって遵守すべき事項」と、その考え方を示しています。

システム運用編は、「医療機関等の経営層又は企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラ等の各種資源の設計、実装、運用等の実務を担う担当者として適切に対応すべき事項」と、その考え方を示しています。

重要なポイントは、本編の中に経営管理編が組み込まれたことにあります。第5.2版までは意思決定・経営層向けの資料は別添となっていたため、その内容を把握していなくても「ガイドラインに沿った安全管理は行っている」と言うこともできました。これに対して第6.0版では、概説編でシステム運用専任担当者の有無や、医療情報システムの運用形態を問わず、全ての医療機関の意思決定・経営層を、経営管理編を参照すべき対象者であると明記されているため、「知らない」では済まされません。

医療機関の意思決定・経営層は自らの現状や課題を俯瞰する能力を高める

——医療機関の意思決定・経営層の意識変革を促すためには、ガイドラインの構成も含めて練り直す必要があったということですね。

島井：特に保険診療を行っている医療機関は健康保険法などを遵守する責務がありますから、意思決定・経営層がガイドラインの内容を把握していないとなれば、ガイドラインに準拠した体制が算定の施設基準に定められている診療録管理体制加算を算定することはできません。

一方、自費診療や診療録管理体制加算を算定しない医療機関についても、本ガイドラインを無視できるわけではありません。法的な観点から追及されることはありませんが、情報セキュリティーインシデントが起き、国や自治体などから調査などが入った際、ガイドラインと照合し、情報セキュリティー確保策を講じていなかった、あるいは意思決定・経営層がガイドラインの内容を把握していなかったことが発覚した場合、その医療機関は地域や社会からの信頼・信用を失うことになりかねないと思います。

——医療機関の関係者をはじめ、情報セキュリティーに関心を持つ読者に向けて、ぜひ今後に向けたアドバイスやメッセージをいただけないでしょうか。

島井：医療機関などの意思決定・経営層や情報システム部門に強く訴えておきたいことは、これからの情報化した地域社会の実現のために、保健・医療・介護（福祉）など医療機関の分野に合わせて自らの変革に必要な意識・条件は何なのかを確認し、足元にある業務プロセスやワークフローを俯瞰・改革する実行力・決断力を高めていただきたいということです。

特に情報システム部門やその担当者は、医療機関のみならず一般企業においても組織全体を見渡すことができる立場にあるだけに、変革に向けた提言を行い、体制づくりでも経営層に寄り添ってリーダーシップを発揮できる存在になっていただけたらと思います。

もし自分たちにその能力や知見、リソースが足りないという場合には、経営や情報システム、情報セキュリティーに精通した外部のパートナーからのサポートを得て変革を進めていくという意識を持つことも大切でしょう。

何もせずに立ち止まっていたり、見て見ぬ振りや放任したりしていることは許容しがたいことです。医療機関などの運営は、地域社会に多大な影響を及ぼしていることを決して忘れてはいけません。自らの経営や情報システム、情報セキュリティーの現状や課題を俯瞰・客観視する能力を高め、適切な施策を実施することで変革を進め、合理的な経営を実現し、地域社会に持続可能な保健医療介護福祉サービスを提供していく。これが、これからの医療機関にとって、ますます重要な取り組みとなります。

島井健一郎（しまいけんいちろう）

大阪大学大学院医学系研究科修了。専門は病院管理、医療管理および医療情報学。セコムや東京大学、北海道大学の研究員などを経て、徳島大学病院、千葉大学医学部附属病院で院内の情報化の企画・運営や安全管理、経営管理、県全体の情報化の推進・整備を担当。2021年10月より厚生労働省医政局に入省し、データヘルス改革の推進、情報セキュリティーの確保・強化に関する行政に従事。2024年現在は、メディカルデザイン総合研究所代表・所長、厚生労働省健康・生活衛生局参与（デジタル化担当）、慶應義塾大学SFC研究所上席所員、医療サイバーセキュリティ協議会理事、Data-driven Designers’ Bank Forum（D3Bフォーラム）理事などを務める。