{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第6回:IT内部統制から見る電子保存の3原則
2018-01-09
厚生労働省:「医療情報システムの安全管理に関するガイドライン」(以下、厚労省安全管理GL)の第7章では、e文書法等の適用範囲にある医療情報(診療録、処方せん、助産録、調剤録、照射録等)を電子的に処理・保存する情報システムに求められる法令遵守要件が、電子保存の要求事項として定められています。
電子保存の要求事項の詳細については既にさまざまな解説が一般的に行われていますので、ここでは、第4回で整理したIT内部統制の観点より、厚労省安全管理GLが求める電子保存の3原則、すなわち「真正性」、「見読性」、「保存性」の3つの原則について解説します。
なお、電子保存の3原則を確実に実現するためには、第4回で取り上げたIT内部統制の全ての領域を一定の合理的な水準で運用することが求められます。よって、特定のIT内部統制と原則を結び付けて論じることにあまり意味はありませんが、各原則を正しく遵守するために特に重点的な取り組みが求められるIT内部統制もあるため、本コラムではそれらを中心に解説します。
なお、本コラムにおける意見・判断に関する記述は筆者の私見であり、所属組織の見解とは関係のない点を予めお断りしておきます。
真正性について
真正性は、e文書法省令において、「電磁的記録に記録された事項について、保存すべき期間中における当該事項の改変又は消去の事実の有無及びその内容を確認することができる措置を講じ、かつ、当該電磁的記録の作成に係る責任の所在を明らかにしていること」と定められています。
厚労省安全管理GLでは、より簡潔に「正当な権限において作成された記録に対し、虚偽入力、書換え、消去及び混同が防止されており、かつ、第三者から見て作成の責任の所在が明確であること」と記されています。
IT内部統制の観点からは、適切な権限者により作成されたデータの一貫性を継続的に維持するための要件と言い換えることができます。
これらの要件を満たすためには、適切な要員のみにデータの登録・変更・削除権限を保有させる<アカウント/権限の管理>、本人認証の信頼性を確保する<パスワード管理>、不適切な要員によるデータ操作の発生有無を点検する<ログの点検管理>に対する重点的な取り組みが求められます。これら3つのIT内部統制が、少なくとも合理的な水準で運用されなければ、データの一貫性を維持することは困難です。
また、ネットワーク経由でデータ操作が行われる場合には、ネットワーク品質により転送中のデータの破損、あるいは外部からの攻撃によりデータが改ざんされるリスクが伴います。そのため、外部とのネットワークを介したデータのやり取りに際しては、上記3つの内部統制とともに、<ネットワークセキュリティ管理>というIT内部統制が特に強く求められる点に留意が必要です。
このように、真正性という概念は、データの一貫性を維持するという意味で、情報セキュリティの3原則における「完全性」に類似するものと言うことができるでしょう。
見読性について
厚労省安全管理GLにおいて、「電子媒体に保存された内容を、『診療』、『患者への説明』、『監査』、『訴訟』等の要求に応じて、それぞれの目的に対し支障のない応答時間やスループット、操作方法で、肉眼で見読可能な状態にできること」と定められた見読性は、必要な時にいつでも正確なデータの利用が可能な仕組みを維持するという意味で、情報セキュリティにおける「可用性」に類する概念です。
この要件を満たすためには、少なくともシステム障害などによる利用不可状況を予防するために、バックアップ取得やシステムパフォーマンスの見直しを図る<システム保守管理>、およびシステムが利用不可となった場合の緊急対応を実効的に行うための<業務継続管理>というIT内部統制が重点的に求められます。
障害・不具合に伴うシステム利用水準の低下の未然防止、あるいは当該事態の発生を見据えた対策を事前に講じるとともに、関係者を交え、実際にそのような事態が発生した場合の対応計画の策定/訓練を実施しておくことで、必要な時にいつでもデータを利用可能な状況を維持することが可能になります。
なおこの概念には、バックアップシステムも含めた全てが利用不可になるという最悪のリスクシナリオの下で、該当システムに保管されたデータをエクスポートし、直接的に参照できるようにするツールを予め準備することも、要件の一部として含まれます。
例えば医療現場では、システムが利用不可となり、患者関連データを参照できなくなる事態を想定し、医療行為の継続性を損なわないための対策が要求されるため、このような観点も含め、見読性への対応を図ることが必要になります。
保存性について
保存性とは、「記録された情報が法令等で定められた期間にわたって真正性を保ち、見読可能にできる状態で保存されること」です。よって、保存性の要件を充足するIT内部統制は、前述までの真正性、および見読性に係る取り組みの中で代替可能なものであると言えます。より正確に言えば、<システム保守管理>に係るIT内部統制の中で、法定期間に応じたデータ保存の仕組みを、見読性(可用性)の要件の一部として確実に検討することが求められます。
保存性の要件を見読性の要件と一体的に検討することが効率的であるように、見読性の要件も、一貫したデータを必要な時にいつでもアクセス可能にするという意味において、真正性の要件とあわせて検討することが合理的です。
このように電子保存の3原則は、個別にではなく一体的に検討することで、合理的かつ実効的な対応を図ることが可能になります。
電子保存の3原則で情報セキュリティは確保可能か
では、電子保存の3原則の全てに対応すれば、情報セキュリティへの対応を果たしたと言えるのでしょうか。
既に述べているとおり、電子保存の3原則を、ISO27001等などが定める情報セキュリティに引き寄せると、真正性は情報が正確かつ完全であることを求める「完全性」、見読性/保存性は必要な時に必要な情報を利用可能とする「可用性」に類似する概念であると言えます。
しかしながら、電子保存の3原則は、許可された者のみが情報へアクセスできること、つまり「機密性」の要件までは含んでいない点に留意が必要です。
「機密性」の要件自体は、「完全性」が求めるIT内部統制に通底するところがありますが、「完全性」とはあくまでデータの改ざん・毀損を予防・発見することが目的であり、データの機微性に応じた参照権限のコントロールを明示的に含んではいません。よって「機密性」という情報セキュリティは、電子保存の要求事項から独立した取り組みとして検討しなければなりません。
この点については、特定非営利活動法人デジタル・フォレンジック研究会が公表する「『医療情報システムの安全管理に関するガイドライン」対応のための手引き」(※1)に詳細が記されていますが、ひとことで言えば、「機密性」の要件は、IT内部統制のうち、<契約管理/リテラシー管理>に係る人的な安全管理を中心とした取り組みによって担保されるしかない状況です。
医療機関における情報漏えい等を見れば分かるとおり、<機密性>を損なう事態の多くは、電子保存の3原則を担保するためのIT内部統制のみでは対応できない、人の意識の弱さに係る点を起因としています。人は過ちを犯すがゆえにIT内部統制が求められますが、内部統制を担うのもまた人です。情報セキュリティを維持するためには、電子保存の3原則が重点的に求めるIT内部統制のみに注力するのでなく、人を対象とした安全管理へのコミットも欠かせません。この二つが相乗的に機能することで、初めて、電子保存の要求事項を通した情報セキュリティが実現すると言えるでしょう。
まとめ
電子保存の3原則は、あくまで、これまで紙媒体で管理していた法定保存文書を電子化する上で求められる要件に着目したものであり、たとえこれらを遵守したとしても、一般的な意味での情報セキュリティとしては未だ不十分であることがご理解いただけたと思います。
そもそもこれらの原則は、X線写真を光磁気ディスクへ保管するための要件として議論が開始され、その他の医療情報システムへ論点が拡大されたという背景があるため、現在の技術環境を考慮した場合、要求事項の面で、多少なりとも現在のシステムアーキテクチャーにマッチしない点が見受けられるかもしれません。
ただし、厚労省安全管理GLの第6章が求める管理要件の中に、電子保存の3原則はほぼ包摂されていると言えます。重要な点は、内容面の新旧を取り上げることではなく、第6章が求める管理要件を踏まえた観点より、自組織で実施している電子保存の3原則への準拠状況を検証し、不足があれば追加対応を図ることでしょう。
電子保存の3原則の対象となる情報システムは、外部事業者による導入・運用が行われているケースが圧倒的に多いと思われます。さらには、ネットワークを介したASP・クラウド事業者によるサービス利用の中で、e‐文書法が定める医療情報を取り扱っているケースも近年では非常に多く見受けられます。
自組織としてどこまで電子保存の要求事項を含めた厚労省安全管理GLへ対応すべきか、あるいは外部事業者に対して、経済産業省/総務省が定めたガイドラインへの対応をどこまで要求すべきかは、医療機関等の皆様にとって頭の痛い問題の一つではないかと思われます。
このような観点を踏まえ、次回は、厚労省安全管理GL第8章:「診療録及び診療諸記録を外部に保存する際の基準」を中心に、経済産業省/総務省各ガイドラインを参照にしつつ、外部事業者に対して医療機関や介護事業者などが求める要求事項のありようについて考えたいと思います。
※1:「医療情報システムの安全管理に関するガイドライン」対応のための手引きVer1.0(2016年3月1日)[PDF 466KB]
特定非営利活動法人デジタル・フォレンジック研究会「医療」分科会/一般社団法人メディカルITセキュリティフォーラム 合同委員会
厚生労働省「医療情報システムの安全管理に関するガイドライン」リスクベース対応に向けたポイント
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第1回:全体概説
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第2回:<管理責任>と<説明責任>
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第3回:ベンダロックイン対策としての第5章
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第4回:IT統制要件の観点から見る第6章
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第5回:リスクに基づくIT統制要件への対応
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第7回:外部情報処理事業者に対するITガバナンスの重要性としての第8章
- 厚生労働省「医療情報システムの安全管理に関するガイドライン」へのリスクベース対応に向けたポイント~第8回:スキャナ保存と運用管理規程について
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
