「3 省 4 ガイドラインが 3 省 2 ガイドラインに統合されたが、診療所の電子カルテ運用にどこまで影響するのか整理できていない」――中堅医療法人の事務長から多く寄せられる質問だ。 厚生労働省・経済産業省・総務省の医療情報関連ガイドラインは 2023 年に大幅再編され、医療機関向けの厚労省 GL と事業者向けの経産・総務省 GL の 2 本構成 に整理された。本稿は中堅医療法人の対応を整理する。
目次
- 3 省 4 ガイドラインから 3 省 2 ガイドラインへの再編
- 医療機関向けガイドラインの主な改訂
- 事業者向けガイドラインとクラウド利用
- 中堅医療法人の対応スケジュール
- 電子カルテ・PHR 連携の運用見直し
- 認証・認可・監査ログの統制強化
- 委託先・クラウドベンダ管理のチェックリスト
- よくある質問(FAQ)
3 省 4 ガイドラインから 3 省 2 ガイドラインへの再編
| 旧構成 | 新構成 |
|---|---|
| 厚労省「医療情報システムの安全管理に関するガイドライン」 | 厚労省「医療情報システムの安全管理に関するガイドライン 第 6.0 版」(医療機関向け) |
| 経産省「医療情報を受託管理する情報処理事業者向けガイドライン」 | 経産省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(事業者向け統合) |
| 総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」 | (事業者向けに統合) |
| 総務省「ASP・SaaS 事業者が医療情報を取り扱う際の安全管理に関するガイドライン」 | (事業者向けに統合) |
医療機関向けガイドラインの主な改訂
| 領域 | 主な変更 |
|---|---|
| 経営管理編 | 経営層の責任明確化、サイバーセキュリティ対策の経営課題化 |
| 企画管理編 | リスクアセスメント手順の詳細化、外部委託管理 |
| システム運用編 | 認証・認可、監査ログ、バックアップ、ネットワーク分離 |
| 災害対策・BCP | 医療継続のための ICT 復旧目標時間 |
| 医療情報二次利用 | 仮名化処理、研究利用の手続き |
事業者向けガイドラインとクラウド利用
医療情報を扱う SaaS / クラウドベンダ向けの統合ガイドラインで、医療機関側がベンダを選定する際の評価基準にも使われる。
| 評価項目 | 確認ポイント |
|---|---|
| データセンタ所在 | 国内設置、責任分界点の明示 |
| 暗号化 | 通信・保管時の暗号化、鍵管理 |
| アクセス制御 | 役割ベース認可、特権 ID 管理 |
| 監査ログ | 操作ログ取得、保管期間、改ざん防止 |
| インシデント対応 | 報告フロー、医療機関への通知時間 |
| 廃業・契約終了時 | データ返却・削除手順 |
中堅医療法人の対応スケジュール
| フェーズ | 期間目安 | 主なアクション |
|---|---|---|
| ギャップ分析 | 1-2 ヶ月 | 旧 GL 運用との差分確認 |
| 経営層レビュー | 0.5 ヶ月 | サイバーセキュリティの経営課題化 |
| 規程・手順改定 | 2-3 ヶ月 | 安全管理規程、運用手順の改定 |
| 委託先・ベンダ評価 | 1-2 ヶ月 | 既存契約の事業者向け GL 適合確認 |
| 教育・周知 | 1 ヶ月 | 全職員、委託職員への教育 |
| 内部点検 | 1 ヶ月 | 改訂版基準での全体点検 |
| 是正・運用開始 | 1-2 ヶ月 | 不足事項の是正、運用開始 |
電子カルテ・PHR 連携の運用見直し
PHR(Personal Health Record)連携が拡大する中、医療機関側で必要な統制:
- PHR 事業者の安全管理基準の確認(経産・総務省 GL 適合)
- 患者本人同意の取得手順(同意書テンプレ整備)
- 連携データ範囲の限定(最小権限原則)
- 連携 API のアクセスログ取得・保管
- 連携停止・データ削除手順の明文化
電子カルテベンダによっては PHR 連携機能の標準実装が進んでおり、運用ルールの整備が後手にならないよう注意。
認証・認可・監査ログの統制強化
改訂版では認証・認可の運用詳細化が進んだ。
| 統制項目 | 推奨実装 |
|---|---|
| 利用者認証 | 多要素認証(特権 ID は必須化推奨) |
| 役割ベース認可 | 職種・職位に応じた最小権限 |
| 特権 ID 管理 | 申請承認制、操作録画、定期棚卸 |
| 監査ログ | 5 年以上保管、改ざん防止、定期レビュー |
| ログ監視 | 異常アクセス検知、SIEM 連携推奨 |
委託先・クラウドベンダ管理のチェックリスト
- [ ] 既存委託先の事業者向け GL 適合状況確認
- [ ] 委託契約書に安全管理条項の追記(責任分界、報告義務、監査権)
- [ ] クラウドベンダの SOC 2 / ISMS / ISMAP 等の認証確認
- [ ] データセンタ所在地の確認(国内必須要件への対応)
- [ ] インシデント発生時の通知時間定義(24-72 時間以内が目安)
- [ ] 契約終了時のデータ返却・削除証明の取得手順
- [ ] 年次の委託先評価とレビュー記録
「規制改訂への対応が遅れている、専門家の助けが欲しい」
業界規制対応の現状診断と移行ロードマップ、外部監査連携を提供します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
よくある質問(FAQ)
Q. 診療所規模でも 3 省 2 ガイドライン全項目への対応が必要か? A. 規模に応じた合理的な対応が求められる。診療所は経営層 = 院長が直接判断する形で運用が簡素化される。
Q. 既存電子カルテベンダが事業者向け GL に未対応の場合は? A. ベンダに対応計画の確認を求め、未対応継続なら別ベンダへの切替を含む対応を検討。委託契約書改定が必須。
Q. クラウド型電子カルテの利用は問題ないか? A. 国内データセンタ・ISMAP 等の認証取得・適切な契約条項を満たせば利用可能。多くの大手クラウド型電子カルテは GL 適合を表明している。
Q. PHR 連携への対応は急ぐべきか? A. 電子処方箋・マイナポータル連携の進展に伴い、2025-2026 年が連携開始のピーク。対応準備は早期着手が望ましい。
参考資料
- 厚生労働省「医療情報システムの安全管理に関するガイドライン 第 6.0 版」
- 経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」
- 個人情報保護委員会「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」
中堅医療法人の医療情報ガイドライン対応、電子カルテ運用見直し、委託先管理体制構築は GXO のコンプライアンス対応サービスで対応可能です。