医療情報システムの安全管理に関するガイドラインとは？　第6.0版以降の変更点とクリニック対応

メディカルセンター.JP

電子カルテやオンライン資格確認の普及により、クリニックでも医療情報システムの安全管理は避けて通れないテーマとなっています。

こうした背景のもと整理されているのが、厚生労働省が示す「医療情報システムの安全管理に関するガイドライン」です。特に第6.0版以降は、サイバー攻撃対策や外部委託・クラウド利用に関する管理責任が明確化され、病院だけでなくクリニックにも実質的な対応が求められる内容へと変化しています。

本記事では、ガイドラインの基本と変更点を整理し、クリニックが押さえるべき実務の考え方を解説します。

• 医療情報システムの安全管理に関するガイドラインとは
• ガイドライン第6.0版以降で何が変わったのか
• 電子カルテ・レセコン・オンライン資格確認への影響
• ガイドラインは誰がどこまで対応すべきか
• 小規模クリニックでも対応が必要な理由
• ガイドライン対応をスムーズに進めるために
• クリニック運営に必要な「安全管理」の考え方

医療情報システムの安全管理に関するガイドラインとは

医療機関で扱う情報は、患者さまの診療記録や検査データ、保険請求情報など、プライバシー性が非常に高い機微な情報です。

こうした情報を安全に管理・活用するために、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を策定しています。これは法律ではありませんが、医療情報システムを適切に運用する上での基本的な実務指針として事実上の標準となっています。第6.0版が令和5年5月に公開されており、経営管理から運用まで一貫した安全管理の考え方が示されています。

ガイドラインは、電子カルテ、レセプトコンピュータ（レセコン）、オンライン資格確認といった医療情報システムを含め、ネットワークや委託先まで範囲が広いのが特徴です。医療機関のシステム担当者だけでなく、経営者や事務長、外部委託事業者まで含めて安全管理体制を整えることが求められています。

ガイドラインの目的と位置づけ

ガイドラインの最大の目的は、患者情報の機密性・完全性・可用性を確保し、情報セキュリティ上のリスクから医療情報を守ることにあります。これは情報セキュリティの基本原則として広く認識されている「CIA」モデル（機密性・完全性・可用性）に基づいた考え方です。

• 機密性（Confidentiality）

患者さまの情報に権限のない者がアクセスできないこと。

• 完全性（Integrity）

データが不正に改ざんされず正確な状態で保たれていること。

• 可用性（Availability）

必要なときに正しくデータが利用できること。

これらを満たすことで、患者さまへの診療に支障が出ないだけでなく、情報漏えいや不正アクセスといったリスクを低減することができます。近年はサイバー攻撃が巧妙化していることから、こうした安全管理の体系的な実装がいっそう重要視されています。

ガイドラインはこうした組織的な安全管理体制を医療機関に定着させるための指針であり、単なるチェックリストではなく、実務的に機能する運用ルールのあり方まで示しています。

対象となる医療機関・システムの範囲

このガイドラインは規模や種類を問わず、すべての医療機関が対象です。病院だけでなく、診療所、歯科、薬局などでも安全管理の観点から考えるべき項目が示されています。単に電子カルテを導入している施設だけでなく、レセコンやオンライン資格確認など、ネットワークを介したシステムを運用している場合はガイドラインが適用されます。

対象となるシステムは以下のように広範です。

• 電子カルテ　
• レセプトコンピュータ
• オンライン資格確認
• 院内ネットワーク・周辺機器（医療機器や端末、通信インフラ全般）

また、ガイドラインの対象は単に技術的なシステム担当者だけではありません。院長や経営者、事務長、さらに外部委託先の管理にまで役割と責任が及びます。これは、ガイドラインがシステム単体ではなく組織全体の安全管理体制を問うものだからです。

過去版から第6.0版までの大きな流れ

このガイドラインは長年にわたり改訂が続けられてきました。第1版の策定は情報システムが世間一般で普及する前の段階で、初期は主に紙媒体と院内システムを前提とした基本的な安全管理が中心でした。

時代が進むとともに、医療機関におけるIT化が進み、クラウドサービスや外部委託の利用が拡大しました。この流れを受け、第5.2版までにはそうした環境変化への対応が段階的に加えられています。

そして第6.0版では、特にサイバー攻撃対策の強化・外部委託管理の明確化・実効性重視の運用設計が強く求められるようになりました。これは、単にルールを書類で整えるだけでなく、実際の運用を通じて医療機関の日常的な安全管理を確立することを意図した改定です。

例えば、ゼロトラストといった最新のセキュリティ思想を取り入れ、外部サービスやクラウド利用時の責任分界点を明確にするなど、ネットワーク全体を俯瞰した安全管理が求められるようになっています。

ガイドライン第6.0版以降で何が変わったのか

医療情報システムの安全管理に関するガイドラインは、令和5年5月に第6.0版として改定されました。

この最新版では、これまで以上にサイバー攻撃や外部サービス利用への対応が重視され、医療機関の実態に即した安全管理対策が求められるようになっています。

改定の背景には、医療機関を狙ったランサムウェア攻撃や情報漏えい事件の増加があり、患者さまの診療提供が停止するリスクまで踏まえた見直しが行われています。

サイバー攻撃対策が強化された背景

近年、医療機関を標的としたランサムウェア攻撃やサイバー侵入の事案が全国で相次いでいます。これらの攻撃は単なる情報漏えいにとどまらず、電子カルテや診療支援システムが利用できなくなり、診療自体が停止するという深刻な影響を及ぼすケースも報告されています。

こうした状況を踏まえ、第6.0版では従来の基本的なセキュリティ対策から一歩進んだ、実践的な防御策が強く求められるようになりました。具体的には次のような点が重視されています。

• 多要素認証の導入

パスワードだけでなく、二段階認証などを組み合わせた認証方式を推奨することで、不正ログインや侵入を防ぎます。

• アクセス制御の強化

システムごとにアクセスできる範囲を厳密に設定し、必要以上の権限を与えない仕組みが必要とされます。

• バックアップと復旧体制の整備

ランサムウェアなどに対しても業務を維持するために、定期的なバックアップの運用と復旧手順の策定が強調されています。

このような対策は、単にルールを整えるだけでなく、外部からの侵入や内部からの不正アクセスに対しても機能する実効性のある安全管理設計として示されています。

外部委託・クラウド利用に関する管理責任の明確化

クラウドサービスの普及やシステム運用の外部委託が進む中、ガイドライン第6.0版では責任の所在を明確化することが強く求められています。たとえシステムの管理や運用を外部ベンダーに委託している場合でも、最終的な安全管理責任は医療機関側にあるという考え方が明確に示されました。

具体的には以下のようなポイントが挙げられています。

• 委託先選定の基準整備

ベンダーがどのようなセキュリティ体制や監査体制を持っているかを評価し、委託契約に反映させることが必要です。

• 契約内容での責任分界点の明示

クラウドサービス（SaaS／PaaS／IaaS）など、利用形態に応じて「どこまでを委託先が管理し、どこから医療機関が管理するのか」を契約書などで明確にします。

• 再委託先の管理

委託先がさらに第三者に再委託する場合、その体制まで含めて管理・監督する必要があります。

この責任分界の整理は、クラウド利用が一般化している今日の医療機関にとって非常に重要な観点であり、ガイドライン全体の対応設計の根幹となっています。

「形式対応」から「実効性重視」への転換

第6.0版で特に強調されたポイントの一つが、単に書類やチェックリストを整えるだけでは不十分であるという点です。これまでのガイドラインでは、整備された計画書や手順書の存在が重視される側面もありました。最新版では、これを超えて「実際に運用として機能しているか」という実効性が求められています。

実効性重視の背景には、サイバーインシデントの発生時に計画書だけでは実務対応が遅れるという反省があり、以下のような運用重視の考え方が盛り込まれています。

• 継続的な自己点検・見直し

チェックリストを用いた定期的な点検を実施し、状態の変化に合わせて改善を継続することが求められます。

• 体制としての運用実装の確認

IT担当者だけでなく、管理者や現場スタッフまで含めた役割分担を明確化し、誰が何を理解し対処すべきかを整理する必要があります。

• システムだけでなく組織全体の視点

計画は現場業務とリンクしていなければ意味を持たず、実際の運用時に有効に機能することが前提とされています。

このようにガイドラインは、形式的な整備から現場で機能する安全管理までを視野に入れた、より実践的な方向へと進化しています。

電子カルテ・レセコン・オンライン資格確認への影響

医療情報システムの安全管理に関するガイドラインでは、電子カルテ・レセプトコンピュータ・オンライン資格確認はいずれも明確に管理対象とされています。重要なのは、これらを個別のシステムとしてではなく、院内ネットワーク全体の一部として捉える点です。

例えば電子カルテが安全に見えても、レセコンや資格確認端末の管理が甘ければ、そこが侵入口になる可能性があります。第6.0版以降では、こうした「部分最適」ではなく、全体設計としての安全管理が求められるようになっています。

電子カルテ

電子カルテについては、従来から求められてきた「真正性・見読性・保存性の確保」が大前提です。

• 真正性

誰が・いつ・どのように記録したかが明確で、改ざんされていないこと

• 見読性

必要なときに正確に内容を確認できること

• 保存性

定められた期間、適切な形で保存されていること

これらを担保するために、ガイドラインでは技術的な仕組みだけでなく、運用面での管理が重視されています。具体的には、利用者ごとのアクセス権限設定、操作ログの取得・保管、改ざん防止の仕組みなどが挙げられます。

また、電子カルテをクラウド型で利用している場合でも、安全管理の最終責任は医療機関側に残ります。「クラウドだから安心」「ベンダーが管理しているから問題ない」という考え方は通用せず、自院として何がどこまで守られているのかを理解しておくことが求められます。

レセプトコンピュータ

レセコンは診療報酬請求を担うシステムであり、診療内容や患者さまの個人情報を含む点において、電子カルテと同等の管理水準が必要とされます。

特に近年は、オンライン請求やオンライン資格確認との連携が進んでおり、院外との通信を前提とした運用が一般的です。そのため、以下のような点が実務上の重要ポイントになります。

• 通信経路の安全性（暗号化、不要な接続の遮断）
• 他システムと連携する際のアクセス制御
• ソフトウェアのバージョン管理・更新管理

レセコンは「請求のための事務システム」と見られがちですが、ガイドライン上は明確に医療情報システムの一部です。電子カルテより管理が緩くなっている場合、そこがリスクになり得る点は意識しておく必要があります。

オンライン資格確認

オンライン資格確認は、外部ネットワークとの接続が前提となるため、ガイドラインの中でも特に入口対策が重要視されています。ここでいう入口対策とは、以下のような要素を指します。

• 利用端末の管理（共用端末の扱い、持ち出し禁止など）
• 回線・ネットワークの分離や制御
• 認証方法（ID・パスワード管理、利用者の限定）

オンライン資格確認は、専用端末やベンダー提供の仕組みを使うケースが多いため、「委託しているから大丈夫」と考えられがちです。しかし、ガイドラインでは委託・ベンダー任せにせず、院内の責任範囲を明確にすることが求められています。

また、オンライン資格確認システム単体で考えるのではなく、電子カルテやレセコンと接続した全体設計としてのリスク管理が重要です。どこが外部とつながっており、万一トラブルが起きた場合に診療や請求へどのような影響が出るのかを把握しておくことが、実効性のある安全管理につながります。

ガイドラインは誰がどこまで対応すべきか

医療情報システムの安全管理に関するガイドラインへの対応は、IT担当者だけで完結するものではありません。

第6.0版以降では、組織全体として安全管理に取り組む体制が求められており、小規模なクリニックであっても「誰が、何を担うのか」を明確にしておくことが求められています。

役割分担があいまいなままでは、インシデント発生時に対応が遅れ、結果として診療や経営に大きな影響を及ぼす可能性があります。

開設者・院長の役割

開設者・院長は、医療機関としての最終責任者です。ガイドライン対応においても、単に実務を任せる立場ではなく、方針決定や体制整備の責任を負います。具体的には、安全管理に関する基本方針の策定、必要な体制やルールの整備、予算確保、担当者の任命などが主な役割です。

ガイドライン上、「知らなかった」「担当者に任せていた」では済まされません。すべてを細かく理解する必要はありませんが、全体像と自院のリスクを把握した上で関与する姿勢が求められます。

事務長・院内IT担当者の役割

事務長や院内IT担当者は、ガイドライン対応の実務の中心となる存在です。日常運用のルール整備、職員への周知・教育、アカウント管理やアクセス制御、インシデント発生時の初動対応など、現場で実際に機能する仕組みを作る役割を担います。

小規模クリニックでは、院長や事務長がIT担当を兼務するケースも少なくありません。その場合でも、無理に専門家レベルを目指す必要はなく、「何を自院で管理し、どこを外部に頼るのか」を整理しておくことが重要です。

ベンダー・外部委託先との関係

電子カルテやレセコンの管理をベンダーに委託している場合でも、安全管理の最終責任は医療機関側に残るという点がガイドラインで明確にされています。そのため、セキュリティ対策の範囲や責任分界は、契約内容として事前に整理しておく必要があります。

「ベンダー任せ」にせず、何を委託し、何を自院で管理するのかを把握した体制設計が、実効性のあるガイドライン対応につながります。

小規模クリニックでも対応が必要な理由

医療情報システムの安全管理に関するガイドラインは、病院だけでなく診療所を含むすべての医療機関を対象としています。規模が小さくても、電子カルテやレセコン、オンライン資格確認を導入していれば、外部ネットワークとの接続は避けられません。

むしろ小規模クリニックでは、専任のIT担当者が不在になりやすく、特定の職員に管理が集中する「属人化」がリスクとなりがちです。実際、ランサムウェアなどのサイバー被害は中小規模の医療機関でも発生しており、ひとたび被害を受ければ、診療停止や患者さまからの信頼低下、復旧コストの増大など、経営に直結する影響が生じます。

すべてを完璧に整える必要はありませんが、重要な情報や基幹システムから優先順位をつけて対応する視点が現実的です。開業時やシステム導入時に安全管理を設計に組み込んでおくことで、後からの負担や手戻りを大きく抑えることができます。

ガイドライン対応をスムーズに進めるために

医療情報システムの安全管理に関するガイドラインは、すべての項目を一律に満たすことを求めているわけではありません。医療機関の規模や体制に応じて、どのリスクから優先的に対応するかを判断することが前提とされています。重要なのは、形式的にチェックを埋めることではなく、実際の運用においてリスクを下げられているかという実効性の視点です。

院内ですべてを判断・実装しようとすると、負担が大きくなり対応が後回しになりがちです。システムベンダーやセキュリティ専門家と役割を分担することで、現実的な対応設計がしやすくなります。特に外部委託やクラウドサービスを利用する場合は、責任範囲を事前に整理しておくことが不可欠です。

また、開業準備の際にシステム導入と安全管理を同時に検討することで、配線やネットワーク、設置環境の手戻りを防げます。開業段階から安全管理を組み込むことが、運用開始後の負担とリスクを抑える近道といえるでしょう。

クリニック運営に必要な「安全管理」の考え方

医療情報システムの安全管理に関するガイドラインは、「対応しなければならない負担」と受け取られがちですが、本来は医療機関が安心して診療を継続するための前提条件です。特に第6.0版以降は、サイバー攻撃への備えや外部委託・クラウド利用における管理責任が明確化され、病院だけでなくクリニックにとっても無関係ではない内容へと位置づけが変化しています。

重要なのは、すべての項目を形式的に満たすことではありません。自院の規模や体制を踏まえ、どのリスクを優先的に整えるべきかを見極める視点が求められます。また、安全管理はIT担当者だけに任せるものではなく、開設者・院長が全体像を理解し、関与することで初めて実効性のある運用につながります。

開業準備の段階からガイドラインの考え方を押さえておけば、物件選びや配線計画、サーバー設置、システム構成といった初期設計を後戻りなく進めることが可能です。将来の運営リスクを最小限に抑えるためにも、安全管理は「後から対応するもの」ではなく、開業設計の一部として組み込むべき要素といえるでしょう。

日本調剤では、物件紹介や診療圏調査、資金計画、設計、医療機器の選定、集患施策までを一貫してサポートしています。開業計画を進める際は、医療情報システムを含めた運営環境の整備もあわせて検討しておきましょう。