【サイバーセキュリティ】医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（1.1版）

ぼび

2024年4月18日 21:51

Bom dia!

前回の「医療情報システムの安全管理に関するガイドライン」に引き続き、3省2ガイドラインの医療情報ガイドラインの1つである「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」について解説します。

想定読者

サイバーセキュリティ専門家
医療情報システム・サービスを提供する事業者（ITベンダー）にお勤めの方

業界特化系であるがゆえに、本ガイドラインを初めて知る（名前くらいなら知っている）方が多いと思います。
そのため、

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」って何？と聞かれたとき、答えられるようになりたい
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の位置づけを知りたい
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」へ対応しなければならないけど何をしていいのかさっぱりわからない
サイバーセキュリティの知見を広げたい

という方向けにもぜひ読んでいただきたいです。

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」って何なの？

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」とは、
医療機関等及び事業者の役割及び責任を明確にし、事業者が担う安全管理上の責任をリスクマネジメントプロセス及び法令等の制度に則して定義した文書
と理解いただければgoodです:thumbsup_tone2:
サイバー攻撃の高度化及び多様化により、様々な環境で動作する医療システムやサービスを一律に定めた要求事項へまとめあげるのは非合理的であるという考えの基に本ガイドラインは改定されているそうです。
つまり、明確に要求事項が定義されていないのです:joy:
そのため、リスクベースアプローチに基づいたリスクマネジメントプロセスを定義したうえで自社のリスク分析を実施する必要があるため、セキュリティ専門家の支援を要するケースが多いのです。

また、ここで重要なのは、医療機関等は当該ガイドラインへの対応有無によって取引する事業者を選定する可能性があることです。
”医療”という業界特性上守らなければならない法令等が多いため、このようなガイドラインへの対応有無が医療機関等からみてわかりやすい指標となるんですね。

本ガイドラインの対象は？

医療機関等との契約等に基づいて医療情報システムやサービス（以下、医療情報システム等とする）を提供する事業者
が主な対象となります。

※「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要P4より抜粋

本ガイドラインの構成は？

通常のガイドラインと構成は変わらないですが、要求事項が明確にあるわけではないので、
自社の状況に応じて検討する（専門家としての目線が）必要があります。

※「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」概要P2を引用

「医療情報システムの安全管理に関するガイドライン」との関係性は？

違いを簡単にまとめます。
医療情報システムの安全管理に関するガイドライン：
　・発行元：厚生労働省が発行
　・ガイドラインの対象：医療機関等及び事業者
　・罰則の明示：あり（e-文書法）
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン：
　・発行元：経済産業省及び総務省（本ガイドラインは2省庁の別ガイドラインを統合したもの）
　・ガイドラインの対象：事業者のみ
　・罰則の明示：なし
となります。
※これらを合わせて、3省2ガイドライン（医療情報ガイドライン）と呼ぶそうです。

また、「医療情報システムの安全管理に関するガイドライン」における対象が事業者となっている要求事項と本ガイドラインの要求事項レベルとの比較がされています。
あれ？？？今回のガイドラインは一律の要求事項が存在しないのになぜ？？:scream:
と考えた方がいると思います。結論として、本別紙は過去のガイドライン（統合前）における要求事項を基に比較がされています。
そのため、比較した資料「別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」により、本ガイドラインと医療情報安全管理ガイドライン6.0版とを項目レベルで比較することも可能です。

※別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表を引用

私見

セキュリティ専門家としての仕事が増える余地のあるガイドラインが発行されましたね。
リスクマネジメントプロセスは全セキュリティ専門家が通る道だと思うので、本ガイドラインをベースとして学習されるのも良いと思いました。
セキュリティ専門家の方は技術に特化する方が多いので、本ガイドライン等に苦手意識を持つ方が多いと思います。私のブログがそのような方の理解の一助になればうれしいです。
今後も投稿を続けていきますので、応援よろしくお願いします！

Obrigado!

参考

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン
, 経済産業省, https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

この記事が気に入ったらサポートをしてみませんか？