結論:医療情報のシステム発注は「安全管理+委託先との合意」を起点に設計する
電子カルテ、医療AI(画像診断支援や問診・記録の補助など)、予約・問い合わせのクラウドサービス——医療機関がシステムを導入するとき、技術的に動くかより先に「医療情報の安全管理の枠組みに照らして、誰がどこまで責任を負うか」を発注前に確認する必要がある。その物差しが「3省2ガイドライン」である。
- 「3省2ガイドライン」は、厚生労働省・経済産業省・総務省の3省が示す2つのガイドラインの総称である。医療機関等が守る側と、医療情報を扱うシステム・サービス提供事業者が守る側に分かれている。
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」は第6.0版(令和5年5月)が最新で、医療機関等が対象。
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は第2.0版(令和7年3月28日改定)が最新で、対象事業者の明確化・事業者と医療機関等の間の合意内容の明確化・リスクコミュニケーションの実効化の観点から改定された。
- 発注で重要なのは、医療機関と提供事業者の責任分界を「合意」として書面化すること。クラウドやAIを使うほど、この合意の有無が安全管理の成否を分ける。
なぜ医療のシステム発注で安全管理の確認漏れが起きるのか
「ベンダーがクラウドで守ってくれる」という思い込み
医療情報は、個人情報の中でも特に機微な情報であり、その取り扱いには高い水準の安全管理が求められる。クラウドやSaaSで医療システムを使う場合、「事業者側がセキュリティを担保してくれる」と考えがちだが、3省2ガイドラインは医療機関側と提供事業者側の双方に求められる対応を整理している。どちらが何を担うかが曖昧なまま発注すると、有事に「自分の責任範囲ではない」という認識のズレが露呈する。
この「安全管理を後回しにして発注する」構図は、AI開発全般の失敗とも重なる。データの保護や責任分界を発注前に決めない失敗は、AI開発発注の失敗図鑑(セキュリティ・個人情報を後回しにするリスク)でも扱っている。本記事はその医療版として、3省2ガイドラインに沿った確認の観点を整理する。
「医療機関向け」と「事業者向け」を混同している
3省2ガイドラインは、守る主体ごとに役割が分かれている。医療機関等が対象の厚生労働省ガイドラインと、医療情報を扱う提供事業者が対象の経済産業省・総務省ガイドラインを混同すると、「相手が守ってくれるはず」の前提がかみ合わない。自社が医療機関として何を確認すべきか、委託する事業者に何を担保させるべきかを切り分けることが、発注の出発点になる。
3省2ガイドラインの全体像を正しく理解する
2つのガイドラインの対象と最新版
| ガイドライン | 所管 | 対象 | 最新版 |
|---|---|---|---|
| 医療情報システムの安全管理に関するガイドライン | 厚生労働省 | 医療機関等 | 第6.0版(令和5年5月) |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン | 経済産業省・総務省 | 医療情報を扱う提供事業者 | 第2.0版(令和7年3月28日改定) |
この2つで「3省2ガイドライン」を構成する。医療機関は前者で自らの安全管理を点検し、システムを委託する提供事業者には後者への対応を求める、という対応関係になる。
提供事業者向けガイドライン第2.0版の改定観点
経済産業省・総務省の提供事業者向けガイドラインは、令和7年3月28日に第2.0版へ改定された。改定は、対象事業者の明確化、事業者と医療機関等の間の合意内容の明確化、リスクコミュニケーションの実効化を図る観点から行われている。要するに「誰が対象で、医療機関と事業者の間で何を合意しておくべきで、有事にどう情報をやり取りするか」を、より実務に落とせる形にしたものである。
発注側の医療機関にとっての含意は明確だ。クラウドやAIのサービスを選ぶ際、その提供事業者が本ガイドラインに対応しているか、そして医療機関と事業者の責任分界・合意内容が契約や合意文書として明確になっているかを、発注前に確認する必要がある。
発注・委託・安全管理への翻訳
AIを医療に入れるなら「導入可否」から切り分ける
医療AIの導入では、「その用途が医療情報の安全管理と各種規制に照らして妥当か」「どこまでをAIに任せ、どこに人間(医療者)の確認を残すか」を発注前に整理しておく必要がある。実現可能性と要件を第三者の視点で切り分けたい場合は、AI導入可否アセスメントが有効である。安全管理の枠組みそのものは、セキュリティ支援の観点とあわせて点検したい。
発注前チェックリスト(医療機関向け)
- 導入するシステムが扱う医療情報の種類と範囲を棚卸ししたか
- 厚生労働省「医療情報システムの安全管理に関するガイドライン(第6.0版)」に照らして自院の安全管理を点検したか
- 委託する提供事業者が、経済産業省・総務省の提供事業者向けガイドライン(第2.0版)に対応しているか確認したか
- 医療機関と提供事業者の責任分界・合意内容を、契約または合意文書として明確化したか
- インシデント時の検知・連絡・復旧の手順と、事業者とのリスクコミュニケーションの取り決めを定めたか
- AIを使う場合、人間(医療者)の確認をどこに挟むか、判断の根拠を記録する仕組みを要件に入れたか
システムの設計・実装まで踏み込む段階ではDX・システム開発、継続的な防御態勢はセキュリティ顧問(リテイナー)、有事の備えはインシデント対応とあわせて整理しておきたい。
参考にした一次情報(文書名+URL)
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」(令和5年5月) https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html
- 経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(第2.0版・令和7年3月28日改定) https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html
※本記事は公表時点の情報に基づく。各ガイドラインの最新版・適用範囲、および医療AIに関わる規制は、所管省庁の一次情報および専門家の助言で必ず確認すること。医療上の判断は医療者の責任で行うものである。
関連記事
- AI開発発注の失敗図鑑|セキュリティ・個人情報を後回しにするリスク
- 金融庁「AIディスカッションペーパー第1.1版」を発注に翻訳する
- 行政の生成AI調達ガイドライン(DS-920)を自治体の発注に翻訳する
よくある質問(FAQ)
Q1. 「3省2ガイドライン」とは何か。
厚生労働省・経済産業省・総務省の3省が示す2つのガイドラインの総称である。厚生労働省「医療情報システムの安全管理に関するガイドライン」(医療機関等が対象)と、経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(提供事業者が対象)で構成される。
Q2. 最新版はどれか。
厚生労働省ガイドラインは第6.0版(令和5年5月)、経済産業省・総務省の提供事業者向けガイドラインは第2.0版(令和7年3月28日改定)が最新である。後者の改定は、対象事業者の明確化、事業者と医療機関等の間の合意内容の明確化、リスクコミュニケーションの実効化の観点から行われた。
Q3. クラウドやSaaSを使えば、安全管理は事業者任せでよいか。
よくない。3省2ガイドラインは医療機関側と提供事業者側の双方に求められる対応を整理している。医療機関と事業者の責任分界・合意内容を明確にし、自院側の安全管理も点検する必要がある。
Q4. 医療AIを導入したいが、何から始めるべきか。
その用途が医療情報の安全管理と規制に照らして妥当か、どこに人間(医療者)の確認を残すかを発注前に整理することが出発点になる。第三者の視点で導入可否と要件を切り分けるアセスメントから着手するのが現実的である。
医療情報システム・医療AIの発注と安全管理、委託先との合意設計に不安があれば、まずは無料相談で現状を整理することをおすすめする。