医療機関が電子カルテ・クラウドサービス・AIシステムを利用する際、必ず準拠が求められるのが「3省2ガイドライン」です。厚労省・経産省・総務省の3省が定めたこのガイドラインは、医療情報システムの安全管理の根幹となる要件を示しています。
本記事では、3省2ガイドラインの概要・主要要件・クラウド利用時の留意点を、実務担当者向けに解説します。
この記事のポイント
- 3省2ガイドラインは厚労省・経産省・総務省の3省が定める医療情報安全管理の基準
- 2つのガイドライン(医療情報システム版+医療情報クラウド版)の総称
- 委託先・再委託先の監督が中核要件
- クラウドサービス利用時の責任分界の明確化が必要
- ヘルスインタビューは全要件に準拠した設計
3省2ガイドラインとは
「3省2ガイドライン」は以下の2つのガイドラインの総称です。
| ガイドライン名 | 所管 | 対象 |
|---|---|---|
| 医療情報システムの安全管理に関するガイドライン(厚労省版) | 厚労省 | 医療機関 |
| 医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン(経産省・総務省版) | 経産省・総務省 | システム・サービス事業者 |
策定の背景
- 医療情報システムのクラウド化の進展
- AI・ビッグデータの医療活用
- サイバー攻撃の増加
- 委託・再委託関係の複雑化
ガイドラインの位置づけ
法律ではなくガイドライン(指針)ですが、医療情報システムを扱う医療機関・事業者には事実上の準拠義務があります。違反すれば医療法・個人情報保護法違反・診療報酬の減額等のリスクが発生します。
厚労省ガイドライン(医療機関向け)の主要要件
要件1:医療情報システムの安全管理
- アクセス制御・ID/パスワード管理
- ログ管理(改ざん不能・一定期間保存)
- バックアップ・災害対策
要件2:個人情報の取り扱い
- 患者情報へのアクセス権限管理
- 利用目的の明確化
- 同意取得プロセス
要件3:委託先の監督
- 委託先の選定基準
- 契約書での責任分界明確化
- 定期的な監査・報告受領
- 再委託先の把握
要件4:インシデント対応
- インシデント発生時の報告体制
- 原因調査・再発防止
- 被害者対応
経産省・総務省ガイドライン(事業者向け)の主要要件
要件1:提供サービスの透明性
- サービスの仕様・機能の明示
- データ所在地の明示(国内/海外)
- バックアップ方針
要件2:セキュリティ対策
- **ISMS(ISO 27001)**等の認証
- 脆弱性管理
- 侵入検知・対応
要件3:データ取扱いの明確化
- データの暗号化
- アクセス制御
- 保存期間・削除方針
要件4:インシデント対応
- 24時間対応体制
- 医療機関への迅速な報告
- 損害賠償責任の明確化
クラウドサービス利用時の「責任分界」
医療機関がクラウドサービスを利用する際、3省2ガイドラインは責任分界の明確化を求めています。
一般的な責任分界の例
| 領域 | 医療機関 | クラウド事業者 |
|---|---|---|
| 患者データの入力・管理 | ◎ | — |
| システムインフラ(サーバ・NW) | — | ◎ |
| データの暗号化 | — | ◎ |
| アクセス権限設定 | ◎(運用) | ◎(機能提供) |
| バックアップ | — | ◎ |
| インシデント対応 | ◎(一次対応) | ◎(詳細調査) |
重要:この責任分界は契約書・SLAに明記することがガイドライン上の要件です。
委託先管理の実務ポイント
3省2ガイドラインが最も重視するのが委託先・再委託先の監督です。
監督のための6つの実務
- 委託先選定基準の策定(ISMS取得状況・実績等)
- 契約書の整備(責任分界・損害賠償・秘密保持)
- 定期的な監査報告の受領
- 再委託先の把握・承諾
- 事故時対応の訓練
- 契約終了時のデータ取扱い(返却・削除)
違反時のリスク
| リスク | 内容 |
|---|---|
| 個人情報保護法違反 | 最大1億円の罰金 |
| 医療法違反 | 行政処分・業務改善命令 |
| 診療報酬の減額 | 加算算定不可・返還命令 |
| 民事賠償 | 患者からの損害賠償訴訟 |
| レピュテーション被害 | 地域での評判・集患への影響 |
ヘルスインタビューでの準拠方針
ヘルスインタビューは、3省2ガイドラインの全要件に準拠した設計です。
技術面の準拠
| 要件 | ヘルスインタビューの対応 |
|---|---|
| データ暗号化 | 独占的特許のブロックチェーンで改ざん不能化 |
| アクセス制御 | ダイナミックコンセントで個別同意管理 |
| ログ管理 | 全アクセス・利用履歴をブロックチェーン保全 |
| 脆弱性管理 | 定期的なセキュリティ監査・アップデート |
| データ所在地 | 国内データセンターでの運用 |
運用面の準拠
| 要件 | ヘルスインタビューの対応 |
|---|---|
| 委託先管理 | 委託先・再委託先の一覧を医療機関に提供 |
| 契約書整備 | 責任分界・SLA・秘密保持を明記 |
| 監査対応 | 年次監査レポート提供 |
| インシデント対応 | 24時間受付・迅速報告体制 |
ガイドライン準拠の対応チェックリスト
医療機関が自院の準拠状況を確認するチェックリストです。
管理体制
- 医療情報システム安全管理者の任命
- 内部規程・マニュアルの整備
- スタッフ教育の年次実施
技術的対策
- アクセスID・パスワードの適切な管理
- ログ監視の体制整備
- バックアップ・災害復旧計画
委託先管理
- 委託先の選定基準文書化
- 契約書での責任分界明記
- 定期監査レポートの受領・確認
インシデント対応
- 事故発生時の連絡フロー策定
- 訓練の年次実施
- 再発防止策の文書化
よくあるご質問
Q1. 小規模クリニックでもガイドラインに準拠する必要がありますか?
A. はい。医療機関の規模を問わず準拠が求められます。ただし、必要な対策のレベルは規模に応じて柔軟に運用されます。
Q2. クラウドサービス利用自体が問題になることはありますか?
A. いいえ。クラウド利用はガイドラインで許容されています。責任分界の明確化・委託先管理を適切に行えば問題ありません。
Q3. ヘルスインタビューはガイドライン準拠を証明できますか?
A. はい、ISMS認証・監査レポート・準拠証明書を提供可能です。貴院の監査対応にもご活用いただけます。
Q4. 準拠対応にはどのくらい期間がかかりますか?
A. 既存体制の整備状況により異なりますが、3〜6ヶ月が目安です。ヘルスインタビューの導入で技術要件の多くは即時クリアできます。
Q5. ガイドラインは今後更新されますか?
A. はい、定期的に更新されています。最新版は厚労省・経産省・総務省の各ウェブサイトで公表されます。ヘルスインタビューは最新版への対応を継続的にアップデートしています。
まとめ
3省2ガイドラインは、医療情報の安全管理の根幹となる基準です。クラウド利用・AI活用が進む現代では、全医療機関が準拠必須の対応事項です。
本記事の要点
- 3省(厚労・経産・総務)2ガイドラインが医療情報安全管理の基準
- 委託先・再委託先の監督が中核要件
- クラウド利用時は責任分界の明確化が必要
- 違反リスクは最大1億円の罰金・診療報酬減額等
- ヘルスインタビューは全要件に準拠した設計
貴院のガイドライン準拠状況の診断・改善方法は、個別のご相談で詳しくご案内します。まずは資料(無料)で全体像をご確認ください。