セキュリティ対策‐医療情報の安全管理、3省2ガイドライン対応をご支援します

■経験のご紹介
私は、20年ほどソフトウェア開発ベンダーに勤めており、開発からマネージメントまで幅広い業務に従事してきました。
2012年頃から、医療機器の開発に従事する機会が増え、医薬品医療機器等法の改正も影響し、IEC62304の対応等、法規制に則った開発を行って参りました。

2018年度ごろより、医療機器のWeb連携のお話を頂戴するようになり、ようやく医療機器もWebクラウドの時代が到来したと感じられるようになりました。

そんな中、医療情報を取り扱う上でのセキュリティー意識の高まりから、厚労省、経産省、総務省それぞれが発行している、医療情報を安全に取り扱うためのガイドライン(3省2ガイドライン)への準拠の声を多く頂くようになり、この3省2ガイドラインに準拠した開発支援を行っております。

■3省2ガイドラインとは、超概要
3省2ガイドラインとは、医療情報の安全な取り扱いを目的として、厚生労働省・総務省・経済産業省の3省から発行されたガイドラインの総称です。医療情報は機密性が高い個人情報となり、病院はもとより、行政機関もサイバーセキュリティへの対策は重要性が高いと考えています。
また、2023年に医療法に紐づく省令の改訂が行われ、医療機関におけるセキュリティ対策が義務化された事もあり、このガイドラインの重要性はさらに高まりました。

・厚生労働省発行
「医療情報システムの安全管理に関するガイドライン　第6.0版」(令和5年5月)
医療情報の取扱いに係る責任者を対象に、医療情報システムの安全管理やe-文書法への適切な対応を行うための、技術的及び運用管理上の観点から所要の対策を示したもの

・総務省・経済産業省発行
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン　第1.1版」(令和5年X月)
医療機関等との契約等に基づいて医療情報システムやサービスを提供する事業者、医療情報を安全に取り扱うための十分な対策を設計するために、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義したもの

・JAHIS：一般社団法人保健医療福祉情報システム工業会
JAHIS「製造業者/サービス事業者による医療情報セキュリティ開示書」ガイド Ver.4.1
厚労省から発行されている、安全管理ガイドライン 6版の「医療機関におけるサイバーセキュリティ対策チェックリスト」に紐づく、システム提供事業者が医療機関に提出する必要があるもの。MDS/SDSと一般的には言われている。

■ご説明可能な事項
我々開発技術者が気にすべきなのは主に、総務省・経済産業省発行のガイドラインのため
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン　第1版」(令和2年8月)
についてお話させて頂きます。

①ガイドラインの概要
　主にどのような事をガイドラインは求めているのか、
　ガイドライン全体についてお話させていただきます。
②代表的なセキュリティ対策
　主にどのようなセキュリティ対策をとる必要があるのか、
　ガイドラインで特に気にする必要があるセキュリティ対策についてお話させて頂きます。
③リスクベースアプローチのやり方
　セキュリティーリスクの多様化から、リスクベースアプローチによるリスク分析を求められております。
　どのようにリスク分析を行えばよいのか、そのやり方の概要を説明させて頂きます。
⑤各種ガイドライン文書の作成支援
　ガイドラインでは医療機関とのリスクコミュニケーションとして各種文書の作成を要求しています。
　各種文書の雛形作成やサンプル作成のご支援をさせて頂きます。
⑥医療情報セキュリティ開示書(MDS/SDS)の作成支援
　医療機関から求められる可能性の高い、医療情報セキュリティ開示書(MDS/SDS)について
　内容の解説や、文書の作成についてご支援します。

※注意
　ISMS、プライバシーマークの取得については専門外となります。

■お役にたてそうなポイント
以下のようなお困り事がありましたら、お気楽にご相談ください。
<ソフト開発ベンダ様>
・開発の要求事項に3省2ガイドラインへの対応が書かれており、どうしてよいかわからない
・3省2ガイドラインの対応としてどのような成果物を作成する必要があるのか知りたい
・セキュリティの知識がないが、3省2ガイドライン対応できるのか知りたい
<医療機器メーカ様>
・ソフトウェア開発ベンダに開発を委託する場合、3省2ガイドライン対応をどのように委託すれば良いかわからない
・3省2ガイドラインの対応で、一番必要な事が何なのか知りたい
・セキュリティの知識がないが、3省2ガイドライン対応できるのか知りたい