電子カルテ導入時に確認すべき「3省2ガイドライン」とは

3省2ガイドラインとは、厚生労働省、経済産業省、総務省が出している2つのガイドラインのことを指す言葉です。以前は「3省3ガイドライン」だったものですが、3ガイドラインのうち2つが統合されたため現在は「3省（で取り扱う）2（つの）ガイドライン」という意味合いで、3省2ガイドラインと呼ばれています。

医療機関が電子カルテなどのデータを外部設備に保存する際は、どのような場合であっても例外なく3省2ガイドラインに準拠する必要があります。

3省3ガイドラインとの違い

まずは、前身にあたる3省3ガイドラインと、現在の3省2ガイドラインがどのように異なるのかについて見ていきましょう。

3省3ガイドラインのうち、総務省「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」が統合されました。統合後の新たなガイドラインの名称は「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」になっています。

各ガイドラインについてくわしく知りたい方は、以下のリンクも併せてご覧ください。

厚生労働省：https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html

経済産業省：https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl.html

総務省：https://www.soumu.go.jp/main_content/000703894.pdf

3省2ガイドライン策定の背景

医療現場では、患者の利便性や医療の質の向上のため、ITを活用したシステムの普及が進んでいます。もちろん、電子カルテもその1つです。

しかし、医療業界では膨大な個人情報を扱うもの。それだけに、情報を取り扱う際のセキュリティリスクは大きな課題となってきます。

実際に、医療機関で発生するサイバー攻撃の被害もあとを絶ちません。

【実際に起こったサイバー攻撃の事例1】奈良県の宇陀市立病院：ランサムウェア攻撃

2018年10月に発生した事案で、奈良県宇陀市立病院で電子カルテシステム導入直後の出来事でした。

電子カルテシステムのサーバーなどがランサムウェアの攻撃を受け、3,835人の患者の診療記録のうち1,133人分のデータが暗号化されてしまったものです。おもな原因は、サーバーのデータをバックアップする装置への磁気テープの挿入忘れとされています。

【実際に起こったサイバー攻撃の事例2】福島県立医科大学附属病院：コンピュータウイルス感染

2020年12月に発覚した事案で、2017年8月以降にコンピュータウイルス感染によって複数の検査機器の不具合が発生していたものです。情報漏えいや身代金被害などはありませんでしたが、放射線科でのCT撮影時に勝手に端末が再起動され、画像の保存ができなくなるなどの機器不良がたびたび起こっていました。

参考：https://www.jmari.med.or.jp/wp-content/uploads/2022/03/WP465_appendix.pdf

医療情報をデータ化する際は、特にシステムの安全性が求められます。このため、医療情報のデータを管理・活用するにあたっては必ず法令に基づいて実施しなければなりません。

医療情報システムの安全管理に関するガイドライン

ここでは3省2ガイドラインの1つである、厚生労働省による「医療情報システムの安全管理に関するガイドライン」について見ていきましょう。

このガイドラインは令和4年3月に第5.2版が策定されましたが、その翌年にあたる令和5年5月に第6.0版が策定されました。

【第5.2版】

https://www.mhlw.go.jp/stf/shingi/0000516275_00002.html

【第6.0版】

https://www.mhlw.go.jp/stf/shingi/0000516275_00006.html

5.2版から6.0版の改訂のポイントは以下のとおりです。

・全体構成の見直し

概説編、経営管理編、企画管理編、システム運用編の4編に再構成をはかっています。

また、Q&Aを充実させるなどしました。

・技術的な動向の変更

外部委託、外部サービスの利用に関する整理•情報セキュリティに関する考え方の整理が行われています。また、新技術、制度・規格の変更への対応などを行いました。

（参照：https://www.mhlw.go.jp/content/10808000/001102596.pdf　）

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、元々あった総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と、経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」における各要件をひとまとめにして整備を行ったガイドラインです。

上記ガイドラインでのおもな要件は第5章「安全管理のためのリスクマネジメントプロセス」に記載されています。基本的な記載内容は、医療情報を取り扱うにあたって想定されるリスクを洗い出し、必要な対策を講じるための手順の説明です。

またこれに加えて、対象となる事業者に求められる医療情報の安全管理における義務・責任に関することが記載されています。

このほか、医療機関などへの情報提供や合意形成の対象についてや、制度上の要求事項などが挙げられています。

なお、このガイドラインでは事業者に対して一律に要求事項を定めてはいません。あくまでリスクベースでのアプローチに基づいた、リスクマネジメントプロセスについて述べているにとどまります。

電子カルテの導入に際してガイドラインを守るポイント

医療情報を取り扱うすべての方は、3省2ガイドラインを守る必要があります。ここでは、電子カルテの導入にあたってこのガイドラインを遵守するためのポイントを解説します。

ガイドラインを理解すること

カルテを電子化することで、多くのメリットが得られます。しかしメリットばかりでなく、おもにセキュリティ面におけるリスクの可能性まできちんと理解しておくことが必要です。

このため、電子カルテの運用にあたっては、2つのガイドラインの内容を把握しておかなければなりません。また、セキュリティリスクに備えて対策を採る必要性を、全スタッフにも周知しておくことが重要になるでしょう。

システム障害や災害時の対策

万一のシステム障害や自然災害・火災などの緊急時に、どのような対策を採るべきか明確にした上で、全スタッフへの周知を行いましょう。また、取り扱うデータの定期的なバックアップも欠かせません。

電子カルテの導入を検討するならEMシステムズへ

まだ紙のカルテを運用しているものの、近々電子カルテの新規導入を考えているという方も多いと思います。ここでは、おすすめの電子カルテシステムについてご紹介します。

クラウド型電子カルテシステム「MAPs for CLINIC」

EMシステムズがご提供する電子カルテシステム「MAPs for CLINIC」は、医療のプロが求める豊富な機能を、直感的な操作感で使いこなせる電子カルテシステムです

「MAPs for CLINIC」の大きな特徴は、なんといってもその使いやすさ。初めて電子カルテを扱う方でも難しさを感じない直感的な操作が可能で、毎日使うシステムならではの高い操作性を実現。見やすさ、分かりやすさに特化したUIと安定したクラウドシステムが、日々の業務をサポートします。

また、新たなシステムを導入する際に気になってくるのは費用の問題。MAPs for CLINICは、初期ライセンス費用0円で高いコストパフォーマンスを実現しました。また、システム運用に必要なハードウェアも、必要なスペックを満たしていれば新規導入は不要。場合によっては、お手持ちの機器をそのまま活用することもできます。

MAPs for CLINICは、資料のダウンロードや無料体験も可能。ご興味をお持ちの方は、お気軽にEMシステムズまでお問い合わせください。

まとめ

この記事では、いわゆる「3省2ガイドライン」の概要や遵守のポイント、おすすめの電子カルテシステムなどをご紹介しました。電子カルテを導入する際は、法令に関することまで把握した上で運用を検討する必要があります。そういった意味合いでも、安心して導入・運用できる電子カルテシステムの選定は重要。

MAPs for CLINICは、使いやすさと高いセキュリティ性を両立した電子カルテシステムです。利便性も安全も高いレベルで実現したMAPs for CLINICの導入を、ぜひご検討ください。EMシステムズまでお気軽にお問い合わせください。