メディエイド用語集
メディエイドの用語コラムは、ICT、医療、介護分野に関する用語について独自の視点でご紹介しています。
当用語コラムに関するご質問・お問合わせは「お問合わせフォーム」よりご連絡ください。
医療ガイドライン
「医療ガイドライン」とは「医療情報ガイドライン」とも呼ばれ、個人の医療に関する情報(病歴等)を扱う「医療情報システム」を利用する医療機関および外部委託された情報処理事業者(開発会社やデータセンター、クラウド事業者等)に対して、厚生労働省、経済産業省、総務省が定めたルールである。
「医療ガイドライン」では、医療情報システムのセキュリティ対策を「組織的な対策」「物理的な対策」「技術的な対策」に分け、対策項目を「必須項目」「推奨項目」として提示している。「医療情報」は個人情報の中でも特に機微にあたる情報と位置付けることから、一般的な個人情報を扱う情報システムに比べると対策項目が多く設定されている。対策項目のうち、「必須項目」については最低限守るべきルールとされ、満たしていない場合において情報セキュリティ事故が発生した場合には、管理責任を求められる内容となる。
3省のガイドラインはそれぞれ位置付けが異なるが、クラウド環境において「医療情報システム」を運営する場合にはすべてのガイドラインの対策項目を満たす必要がある。ガイドラインを「3省4ガイドライン」と総称することもある。
| ① | 厚生労働省 |
医療機関が守るべきルールである。病院内システム等を含む医療機関で扱う「医療情報システム」を運営するための組織体制や設置基準、外部委託時に外部事業者と定める内容を提示している。 従来認めていなかった「クラウド環境」での「医療情報システム」運営を認める内容となっている。 |
| ② |
経済産業省 |
医療機関から外部委託を受けて「医療情報システム」を運営する情報処理事業者が守るべきルールである。運営事業者の管理体制やシステムの設置場所、システム保守時のセキュリティ対策が含まれる。 |
| ③ |
総務省 |
ASP/SaaS等ネットワークを通じて医療機関にサービスとして「医療情報システム」を提供する運営事業者が守るべきルールである。医療機関にサービスを提供するにあたり、サービス提供元として対応するべきセキュリティ対策が含まれる。 |
医療機関においては、院内の医療情報システムは当然のことながら、外部事業者に委託した場合であっても管理責任を問われる立場となる。利用する外部事業者の情報システムについても、ガイドラインに準拠したセキュリティ対策がなされているか把握する必要がある。そのためには「医療ガイドライン」の内容を理解して医療情報システムの構築・運営をしている専門事業者と協働して医療情報システムの導入・運営を行うのが有用である。
メディエイドでは、医療情報ガイドラインに対応したシステム基盤の設計・構築・運用をワンストップで支援いたします(ヘルスケア・システム基盤コンサルティング・サービス)。お気軽にお問合わせください。
