よむ、つかう、まなぶ。
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」 (9 ページ)
出典
| 公開元URL | https://www.soumu.go.jp/menu_news/s-news/01ryutsu06_02000359.html |
| 出典情報 | 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版(案)」に対する意見募集の結果及び当該ガイドラインの公表(7/7)《総務省》 |
ページ画像
ダウンロードした画像を利用する際は「出典情報」を明記してください。
低解像度画像をダウンロード
プレーンテキスト
資料テキストはコンピュータによる自動処理で生成されており、完全に資料と一致しない場合があります。
テキストをコピーしてご利用いただく際は資料と付け合わせてご確認ください。
さらに、平成 30 年 7 月には、ASP・SaaS セキュリティガイドラインにおける医療情報に関
する内容と ASP・SaaS 事業者ガイドラインの内容を 1 つのガイドラインに統合するととも
に、ガイドラインの対象を ASP・SaaS 事業者だけではなく PaaS や IaaS 等のクラウドサービ
ス事業者も対象とする形で、「クラウドサービス事業者が医療情報を取り扱う際の安全管
理に関するガイドライン」(以下、「クラウド事業者ガイドライン」という。)を策定した。
また、経済産業省では、情報処理事業者を対象として、平成 20 年 7 月に「医療情報を受
託管理する情報処理事業者における安全管理ガイドライン」(以下、「情報処理事業者ガイ
ドライン」という。)を策定した。その後、情報処理事業者ガイドラインは、医療情報安
全管理ガイドラインの改定や ASP・SaaS 事業者ガイドラインの策定等を踏まえて、それら
と整合性をとる形で、平成 24 年 10 月に第 2 版が策定された。
このような経緯から、医療情報の安全管理については、厚生労働省が策定した医療情報
安全管理ガイドライン、総務省が策定したクラウド事業者ガイドライン及び経済産業省が
策定した情報処理事業者ガイドラインからなる、いわゆる 3 省 3 ガイドラインにより、必
要な対策等が規定されてきた。
事業者向けのガイドラインの統合の必要性
近年、医療情報の安全管理を取り巻く環境は大きく変化している。具体的には以下の 3
点の変化が挙げられる。
第一に、多くの情報サービスが医療情報の外部保存を含んだクラウドサービスとして提
供されている。医療情報の外部保存をクラウドサービスとして提供する事業者は、クラウ
ド事業者ガイドラインと情報処理事業者ガイドラインの両方を参照しなければならないが、
これらのガイドラインは、対策等を記載する観点が異なっていたため、事業者にとって双
方のガイドラインへの対応が大きな負担となってきている。
第二に、情報処理技術の普及やサイバー攻撃の高度化に伴い、情報セキュリティを確保
するための要求は拡大するとともに多様化している。3 省のガイドラインが策定された当
初は、詳細な要求事項を定めていたが、今日の環境では、一律に定めた要求事項の全てに
対応することは困難になってきている。
第三に、ISO/IEC 27001、 ISO/IEC 27002、ISO/IEC 27005、ISO/IEC 27017、ISO/IEC 27018
等の情報セキュリティに関する規格や、総務省「クラウドサービス提供における情報セキ
ュリティ対策ガイドライン」
(平成 26 年 4 月、第 2 版平成 30 年 7 月)等の情報セキュリテ
ィに関するガイドラインが整備され、事業者はそれらの規格・ガイドラインとの整合性の
確保も留意しなければならなくなってきている。
このような背景から令和 2 年 8 月に、「医療情報を取り扱う情報システムの提供事業者に
おける安全管理ガイドライン」(以下、「本ガイドライン」という。)が公表され、個人情
報保護法の改正等への対応のため、令和 4 年 8 月に改定された。
3
する内容と ASP・SaaS 事業者ガイドラインの内容を 1 つのガイドラインに統合するととも
に、ガイドラインの対象を ASP・SaaS 事業者だけではなく PaaS や IaaS 等のクラウドサービ
ス事業者も対象とする形で、「クラウドサービス事業者が医療情報を取り扱う際の安全管
理に関するガイドライン」(以下、「クラウド事業者ガイドライン」という。)を策定した。
また、経済産業省では、情報処理事業者を対象として、平成 20 年 7 月に「医療情報を受
託管理する情報処理事業者における安全管理ガイドライン」(以下、「情報処理事業者ガイ
ドライン」という。)を策定した。その後、情報処理事業者ガイドラインは、医療情報安
全管理ガイドラインの改定や ASP・SaaS 事業者ガイドラインの策定等を踏まえて、それら
と整合性をとる形で、平成 24 年 10 月に第 2 版が策定された。
このような経緯から、医療情報の安全管理については、厚生労働省が策定した医療情報
安全管理ガイドライン、総務省が策定したクラウド事業者ガイドライン及び経済産業省が
策定した情報処理事業者ガイドラインからなる、いわゆる 3 省 3 ガイドラインにより、必
要な対策等が規定されてきた。
事業者向けのガイドラインの統合の必要性
近年、医療情報の安全管理を取り巻く環境は大きく変化している。具体的には以下の 3
点の変化が挙げられる。
第一に、多くの情報サービスが医療情報の外部保存を含んだクラウドサービスとして提
供されている。医療情報の外部保存をクラウドサービスとして提供する事業者は、クラウ
ド事業者ガイドラインと情報処理事業者ガイドラインの両方を参照しなければならないが、
これらのガイドラインは、対策等を記載する観点が異なっていたため、事業者にとって双
方のガイドラインへの対応が大きな負担となってきている。
第二に、情報処理技術の普及やサイバー攻撃の高度化に伴い、情報セキュリティを確保
するための要求は拡大するとともに多様化している。3 省のガイドラインが策定された当
初は、詳細な要求事項を定めていたが、今日の環境では、一律に定めた要求事項の全てに
対応することは困難になってきている。
第三に、ISO/IEC 27001、 ISO/IEC 27002、ISO/IEC 27005、ISO/IEC 27017、ISO/IEC 27018
等の情報セキュリティに関する規格や、総務省「クラウドサービス提供における情報セキ
ュリティ対策ガイドライン」
(平成 26 年 4 月、第 2 版平成 30 年 7 月)等の情報セキュリテ
ィに関するガイドラインが整備され、事業者はそれらの規格・ガイドラインとの整合性の
確保も留意しなければならなくなってきている。
このような背景から令和 2 年 8 月に、「医療情報を取り扱う情報システムの提供事業者に
おける安全管理ガイドライン」(以下、「本ガイドライン」という。)が公表され、個人情
報保護法の改正等への対応のため、令和 4 年 8 月に改定された。
3