2020年3月5日

医療情報の安全管理のため、医療情報を取り扱う情報システムやサービス(以下、「医療情報システム」)の提供事業者に対して、総務省の「クラウド事業者ガイドライン」及び経済産業省の「情報処理事業者ガイドライン」は、それぞれ必要な対策等を規定してきました。
近年、情報サービスの提供形態の多様化により、医療情報システムの提供事業者がこれら2つのガイドラインの両方を参照して対応する必要が生じていることから、2つのガイドラインを統合・改定することとしました。今般、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)を取りまとめましたので、令和2年3月6日(金曜日)から同年4月6日(月曜日)までの間、同ガイドライン案に対する意見を募集します。

1.概要

総務省及び経済産業省では、医療情報を電子的に作成し保存する際の安全を確保するため、医療情報システムの提供事業者に対して、ガイドラインを各省ごとに定めてきました。具体的には、総務省では、ASP・SaaS、PaaSやIaaS等のクラウドサービス事業者を対象とする「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン(第1版)」(平成30年7月策定。以下「クラウド事業者ガイドライン」という。)により、経済産業省では、情報処理事業者を対象とする「医療情報を受託管理する情報処理事業者における安全管理ガイドライン(第2版)」(平成24年10月策定。以下「情報処理事業者ガイドライン」という。)によって、医療情報の安全管理について必要な対策等を規定してきました。

近年、情報サービスの提供形態の多様化により、医療情報システムの提供事業者が「情報処理事業者ガイドライン」と「クラウド事業者ガイドライン」の両方を参照して対応する必要が生じていることから、2つのガイドラインを統合・改定することとしました。改定に際しては、下記の方針で検討を進めています。

  • 他の規格・ガイドラインとの整合性の確保に留意しながら、過去のガイドラインの遵守と同等の安全管理水準が確保されるようにする。
  • 医療情報システムの特性に応じた必要十分な対策を設計するために、一律に要求事項を定めることはせず、リスクベースアプローチに基づいたリスクマネジメントプロセス を定義する。
  • 医療機関等と医療情報システムの提供事業者においてセキュリティ対策について正しい共通理解と明示的な合意のもと医療情報システムを運用するために、リスクコミュニケーションを重視する。
  • 医療情報システムに関連する法令の求めに対して対策の抜け漏れを防止するために、医療情報の取扱いにおいて留意すべき点や制度上の要求事項を明らかにする。

ガイドラインの改定にあたって、総務省及び経済産業省が合同で「医療情報を受託する情報処理事業者の安全管理ガイドライン改定検討会」(構成員は別紙1(PDF)のとおり)を開催し、検討を進めてまいりました。今般、本検討会における検討結果等を踏まえ、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)(別紙2(PDF))を取りまとめましたので、同ガイドライン案に対する意見を募集します。

2. 意見公募要領

意見公募対象:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)(別紙2(PDF))

意見提出期限:令和2年4月6日(月曜日)(郵送の場合は、同日付け必着)
詳細については、別紙3(PDF)の意見公募要領をご覧下さい。

3. 今後の予定

寄せられたご意見を踏まえ、上記検討会において検討を行い、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を公表する予定です。 

4. 資料

5. 共同発表

本プレスリリースについては総務省ホームページの「報道資料」外部リンクでもご覧いただけます。

担当

  • 商務情報政策局 情報産業課
    ソフトウェア・情報サービス戦略室長 田辺 
    担当者: 和泉、飛世、鴫原

    電話:03-3501-1511(内線 3981~3987)
    03-3501-6944(直通)
    03-3580-2769(FAX)

  • 【連絡先】
    総務省 情報流通行政局
    情報流通振興課 情報流通高度化推進室
    担当者:澤谷、野村、菅原
    電話:03-5253-5751
    FAX:03-5253-6041