3省2ガイドラインとは?概要や対策内容をわかりやすく解説

- 「3省2ガイドライン」とは、医療分野において遵守すべき情報セキュリティのガイドライン
- 対象は、病院・薬局などの医療機関だけでなく、医療情報の管理サービスを提供する情報処理事業者やクラウドサービス事業者なども含まれる
- 対象事業者は、委託先選定の際にISMS認証(ISO27001)かPマークを取得しているところを選ぶ必要がある
デジタル化が進み、インターネット上に情報を保存・管理することが当たり前になっています。医療分野においても電子カルテなどのツールが進化し、医療情報の管理の電子化が進んでいます。
しかし、医療情報は個人情報など機密性の高い情報が多いため、安全に管理し運用することが重要です。そこで、政府が発表したのが医療情報の事業者が遵守すべきセキュリティにおけるガイドライン、「3省2ガイドライン」です。
今回は、「3省2ガイドライン」の概要や制定された背景、ガイドラインの内容についてわかりやすく解説します。
目次
3省2ガイドラインとは?
3省2ガイドラインとは、電子的に医療情報を取り扱う医療機関等の事業者が準拠すべきガイドラインのことです。
「厚生労働省が策定したガイドライン」と「経済産業省・総務省が策定したガイドライン」という3省が提唱する2つのガイドラインであるため、「3省2ガイドライン」と呼ばれています。
3省3ガイドラインからの改正
もともと、厚生労働省・経済産業省・総務省の3省はそれぞれ別のガイドラインを提示しており、3省3ガイドラインでした。
しかし、2021年8月に経済産業省と総務省のガイドラインが統合され、現在の「3省2ガイドライン」になりました。統合された理由は、経済産業省は情報処理事業者向け、総務省はクラウド事業者向けのガイドラインだったことにより、内容が重複していたためです。

3省2ガイドラインが制定された背景
3省2ガイドラインが制定された背景には、医療現場や医療に関連するサービスで、ITシステムの普及が進んでいることが挙げられます。
ITシステムの導入自体は、業務効率化や医療サービスの品質を高め、よりスピーディーなサービスの提供が期待できるため、積極的な導入が推奨されています。
しかし、医療現場で管理されている個人情報には、緊急性が高い機密情報が多くあるため、管理・運用には細心の注意が必要です。また、各医療機関がそれぞれの管理方法を実施すると、管理の基準がバラバラになってしまいます。
そこで、法令にもとづいた管理・運用方法のガイドラインを国が提示しているのです。
深刻化するサイバー攻撃の事例
医療現場やその関連サービスが保有する情報が狙われ、サイバー攻撃を受ける事例は増えています。近年あったランサムウェアによる事例を以下に紹介します。
2018年日本(奈良県の病院)の事例
ランサムウェアにより、電子カルテが使用不可に。その後、1,000名ほどの患者の医療情報が参照できない状況が継続しました。
2021年オーストラリア(メルボルンの医療機関)の事例
ランサムウェアにより、ITシステムが一時停止に。緊急性の低い手術が延期されるなどの影響を受けました。
2021年アメリカ(サンディエゴの病院)の事例
ランサムウェアにより、ITシステムが使用不可に。医療サービスが提供できず、転院しなければならない事態になりました。また、14万人ほどの患者や職員などの個人情報や機密情報が漏洩した可能性もあります。
こうしたサイバー攻撃は、ITシステムが普及すればするほど今後も増えていくでしょう。
日本国内のインシデント事例
サイバー攻撃が増えているとはいえ、まだ被害件数はそこまで多くないため、あまり危険というイメージがつかない方もいるかもしれません。しかし、日本国内でも、情報の流出事故につながりかねないインシデントは多く存在しています。
日本医師会総合政策研究機構が2021年に実施した「医療機関の情報システムの管理体制に関する実態調査」によると、過去3年間における医療機関で発生したインシデントには、以下のようなものがありました。
- 患者や受診者の個人情報が含まれたFAXの誤送信があった(8.6%)
- 院内のサーバーがウイルス感染した(5.8%)
- USBメモリなどの外部媒体の紛失・盗難があった(3.7%)
- 患者・受診者の個人情報にアクセスできる端末が、なりすましメール(迷惑メールなど)を受信した(2.8%)
- 従業員が院内のPCやタブレット端末から、フィッシング(詐欺)サイトにアクセスさせられた(2.5%)
また、発生したインシデントへの対応については、以下のようになっています。
- インシデントの原因分析と今後の対応を整理できている(58.3%)
- インシデントの原因分析まで整理できている(15.2%)
- インシデントが発生した事実を整理できている(23.8%)
- その他(2.7%)
インシデントが発生した際に、組織内の問題点を改善するための仕組みが整っていない医療機関や関連サービス事業者も多くあります。そのため、ガイドラインにもとづいた情報の管理が求められているのです。
厚生労働省のガイドライン
ここでは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」の概要や対象者、内容、仕組みづくりに活用できるチェックリストについて解説します。
概要
厚生労働省のガイドラインは、患者の電子カルテなどの医療情報システムの安全管理について定められています。個人情報保護法やe-文書法、医療法、医師法などの法令が根拠にあるガイドラインです。
IT技術の進化や発生したセキュリティインシデントにもとづき、定期的な改訂が実施されています。2023年10月現在では、2023年5月に発表された第6.0版が最新版です。
対象者
対象は、病院や一般診療所、歯科診療所、助産所、薬局、訪問介護ステーション、介護事業者、医療情報連携ネットワーク運営事業者などです。
また、対象となる医療情報は、医療に関する患者情報(個人識別情報)を含む情報のことです。医療情報を保存するシステムだけでなく、医療情報を取り扱う情報システム全般を指しています。そのため、医療情報システム・サービス事業者に提供されたシステムだけでなく、医療機関などが開発・構築したシステムも含みます。
内容
ガイドラインは、概要編、経営管理編、企画管理編、システム運用編の4つの本編から成り立っています。これらの4つの本編に記載されているのは、情報セキュリティマネジメントシステム(ISMS )を構築・運用する流れや リスク分析 の方法などです。
それぞれの内容を、以下にまとめました。
- 概要編:ガイドラインの全体構成や、各編に共通する前提となる考え方を示している
- 経営管理編(経営層向け):医療機関などにおける医療情報システムの安全管理の統制について示している
- 企画管理編(システムの安全管理者向け):医療機関等全体の安全対策の管理や組織的な対応に関する対策について示している
- システム運用編(システムの運用担当者向け):システムの技術的な対応に関する対策について示している
4つの本編において共通しているのは、医療情報システムの安全管理においては、情報セキュリティ対策は必須である点です。医療機関などの特性 を踏まえつつ、情報セキュリティの三要素「機密性」「完全性 」「可用性」を高めるための内容が示されています。
- 機密性:情報資産に許可された者のみがアクセスできること
- 完全性:情報資産が正確で最新の状態で利用できること
- 可用性:許可された者が情報資産にいつでもアクセスできること
チェックリスト
厚生労働省は、「医療機関のサイバーセキュリティ対策チェックリスト」という資料も提供しています。ガイドラインに沿った対策ができているかを確認するために活用できる資料です。
サイバーセキュリティに特化した内容ではありますが、組織の取り組みを確認できるツールになっているため、医療機関は活用すると良いでしょう。

経済産業省・総務省のガイドライン
ここでは、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の概要や対象者、内容について解説します。
概要
経済産業省・総務省のガイドラインは、要求事項は定めておらず、リスクベースアプローチにもとづいてリスクマネジメント プロセスを定義するものになっています。
対象者
対象は、以下の3つの事業者です。
- 医療機関との契約などにもとづいて医療情報システムなどを提供する事業者
- 医療機関と直接的な契約関係にはないが、医療情報システムなどに必要な資源や役務を提供する事業者
- 患者などの指示により、医療機関から医療情報を受領する事業者
ただし、患者から直接医療情報を受け取る場合には、対象とはなりません。
内容
以下のようなことが、ガイドラインに記載されています。
- 医療機関とサービスに関する契約を結ぶ際の合意形成について
- 合意形成にあたり、情報提供すべき項目について
- 安全管理のためのリスクマネジメントプロセスについて
第5章の「安全管理のためのリスクマネジメントプロセス」が実際のリスクへの対策となる部分です。リスクマネジメントプロセスとして、リスクアセスメント(リスクの特定・リスク分析・リスク評価 の方法)、 リスク対応 、記録作成・報告について記載されています。
3省2ガイドラインとISMS認証(ISO27001)・Pマークの取得
3省2ガイドラインには、外部保存の委託先の選定の際に確認を求めている事項のひとつとしてISMS認証 (ISO27001 )かPマークの取得を挙げています。ここでは、ISMS認証( ISO 27001)やPマークの概要、どちらを取得すべきかについて解説します。
ISMS認証(ISO27001)とは
ISMS認証(ISO27001)とは、ISO(国際標準化機構)が定める情報セキュリティに関する国際規格
です。3省2ガイドラインの共通認識でもある情報セキュリティの三要素「機密性」「完全性」「可用性」をバランスよく高めることを目指しています。
組織が保有する情報資産を、さまざまな情報リスクから保護・管理するための仕組みづくりに関する認証規格です。
ISMS認証を取得するには、要求事項を満たすマネジメントシステムを構築・運用することが必要です。その後、書類審査と実地審査からなる取得審査を通過すれば、認証となります。
日本だけでなく世界中で取得件数は増加傾向にあり、日本では情報技術に関する業種で多く取得されています。
ISMS認証(ISO27001)の詳細は、以下の記事をご覧ください。
Pマーク(プライバシーマーク)とは
Pマーク(プライバシーマーク)とは、個人情報保護マネジメントシステム(PMS)に関する認証制度のことです。Pマークは、個人情報を漏えいや紛失などのリスクを低減することを目的としています。
日本国内でのみ有効で、一般財団法人日本情報経済社会推進協会(JIPDEC)やその指定機関による審査に通過することで、プライバシーマークを使用できるようになります。
認知度の高い規格であることから、サービス業や製造業などさまざまな業種で取得が進められています。
Pマークに関する詳細は、以下の記事をご覧ください。
ISMS認証(ISO27001)とPマークのどちらを取得すべきか
結論として、ISMS認証とPマークはどちらを取得すべき、ということはありません。というのも、それぞれ有効な国や対象範囲などが異なる認証であるため、優劣をつけることはできないためです。
そのため、以下のように自社の事業内容により決定すると良いでしょう。
- ISMS認証:情報資産全般に対する情報セキュリティを強化したいという場合
- Pマーク:日本国内でのみ事業を行っており、個人情報保護に特化した仕組みをつくりたい場合
「どちらが組織に適しているのかわからない」「取得までに何をするのかわからない」といった場合には、ISMS認証とPマークのどちらの取得サポートも実施しているコンサルティング業者に相談することがおすすめです。
組織の希望や現状などを伝えれば適切な第三者認証を提案してくれるでしょう。
以下に、ISMS認証をコンサルに依頼した場合の取得費用や期間についてもまとめています。参考にしてください。

まとめ
3省2ガイドラインとは、厚生労働省や経済産業省、総務省が策定した医療情報保護のためのガイドラインです。病院や診療所、薬局などの医療情報を取り扱う医療機関だけでなく、医療に関する情報システムのサービスを提供するクラウドサービス事業者や情報処理事業者などもその対象になっています。
国内外問わず、医療情報を取り扱う事業者を狙うサイバー攻撃やインシデントの事例は増えています。
そのため、こうしたガイドラインに遵守し、自社のセキュリティ体制を強化するためにも、ISO27001(ISMS)やPマークの取得が必要です。取得の際は、コンサルに依頼するとスムーズな取得が実現できます。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

こんな方に読んでほしい