3省2ガイドラインとは？概要や対策内容をわかりやすく解説

「3省2ガイドライン」とは、医療分野において遵守すべき情報セキュリティのガイドライン
対象は、病院・薬局などの医療機関だけでなく、医療情報の管理サービスを提供する情報処理事業者やクラウドサービス事業者なども含まれる
対象事業者は、委託先選定の際にISMS認証（ISO27001）かPマークを取得しているところを選ぶ必要がある

デジタル化が進み、インターネット上に情報を保存・管理することが当たり前になっています。医療分野においても電子カルテなどのツールが進化し、医療情報の管理の電子化が進んでいます。

しかし、医療情報は個人情報など機密性の高い情報が多いため、安全に管理し運用することが重要です。そこで、政府が発表したのが医療情報の事業者が遵守すべきセキュリティにおけるガイドライン、「3省2ガイドライン」です。

今回は、「3省2ガイドライン」の概要や制定された背景、ガイドラインの内容についてわかりやすく解説します。

3省2ガイドラインとは
- 3省2ガイドラインの目的
- 3省3ガイドラインからの改正
3省2ガイドラインが制定された背景
- 深刻化するサイバー攻撃の事例
- 日本国内のインシデント事例
厚生労働省のガイドライン
経済産業省・総務省のガイドライン
3省2ガイドラインで求められているセキュリティ対策の具体例
3省2ガイドラインで取得が求められているISMS認証・Pマークとは
まとめ

3省2ガイドラインとは

3省2ガイドラインとは、電子的に医療情報を取り扱う医療機関等の事業者が準拠すべきガイドラインのことです。

「厚生労働省が策定したガイドライン」と「経済産業省・総務省が策定したガイドライン」という3省が提唱する2つのガイドラインであるため、「3省2ガイドライン」と呼ばれています。

3省2ガイドラインの目的

3省2ガイドラインの目的は、個人情報保護法に定められている医療情報を安全に取り扱うことです。

ここでいう医療情報には、主に以下の情報が該当します。

基本的な患者の情報：氏名、生年月日、年齢、性別、住所、保険証番号など
主訴
現病歴（現症）
既往歴
家族歴
社会歴
嗜好
アレルギー
現症・身体所見
医師とのコミュニケーションの記録
検査内容や結果
入院後経過・看護記録
治療方針:治療の目的

個人の医療情報は、個人情報保護法によって「要配慮個人情報（不当な差別や偏見などの不利益が生じないように、取り扱いに配慮が必要な情報）」に定められています。

関連記事：Pマーク改訂で新たに登場した「要配慮個人情報」とは？

3省3ガイドラインからの改正

もともと、厚生労働省・経済産業省・総務省の3省はそれぞれ別のガイドラインを提示しており、3省3ガイドラインでした。

しかし、2021年8月に経済産業省と総務省のガイドラインが統合され、現在の「3省2ガイドライン」になりました。統合された理由は、経済産業省は情報処理事業者向け、総務省はクラウド事業者向けのガイドラインだったことにより、内容が重複していたためです。

3省2ガイドラインが制定された背景

3省2ガイドラインが制定された背景には、医療現場や医療に関連するサービスで、ITシステムの普及が進んでいることが挙げられます。
ITシステムの導入自体は、業務効率化や医療サービスの品質を高め、よりスピーディーなサービスの提供が期待できるため、積極的な導入が推奨されています。

しかし、医療現場で管理されている個人情報には、緊急性が高い機密情報が多くあるため、管理・運用には細心の注意が必要です。また、各医療機関がそれぞれの管理方法を実施すると、管理の基準がバラバラになってしまいます。

そこで、法令にもとづいた管理・運用方法のガイドラインを国が提示しているのです。

深刻化するサイバー攻撃の事例

医療現場やその関連サービスが保有する情報が狙われ、サイバー攻撃を受ける事例は増えています。近年あったランサムウェアによる事例を以下に紹介します。

発生した年	発生場所	事例の概要
2018年	日本（奈良県の病院）	ランサムウェアにより、電子カルテが使用不可に。その後、1,000名ほどの患者の医療情報が参照できない状況が継続しました。
2021年	オーストラリア（メルボルンの医療機関）	ランサムウェアにより、ITシステムが一時停止に。緊急性の低い手術が延期されるなどの影響を受けました。
2021年	アメリカ（サンディエゴの病院）	ランサムウェアにより、ITシステムが使用不可に。医療サービスが提供できず、転院しなければならない事態になりました。また、14万人ほどの患者や職員などの個人情報や機密情報が漏洩した可能性もあります。

こうしたサイバー攻撃は、ITシステムが普及すればするほど今後も増えていくでしょう。

日本国内のインシデント事例

サイバー攻撃が増えているとはいえ、まだ被害件数はそこまで多くないため、あまり危険というイメージがつかない方もいるかもしれません。しかし、日本国内でも、情報の流出事故につながりかねないインシデントは多く存在しています。

日本医師会総合政策研究機構が2021年に実施した「医療機関の情報システムの管理体制に関する実態調査」によると、過去3年間における医療機関で発生したインシデントには、以下のようなものがありました。

患者や受診者の個人情報が含まれたFAXの誤送信があった（8.6％）
院内のサーバーがウイルス感染した（5.8％）
USBメモリなどの外部媒体の紛失・盗難があった（3.7％）
患者・受診者の個人情報にアクセスできる端末が、なりすましメール（迷惑メールなど）を受信した（2.8％）
従業員が院内のPCやタブレット端末から、フィッシング（詐欺）サイトにアクセスさせられた（2.5％）

また、発生したインシデントへの対応については、以下のようになっています。

インシデントの原因分析と今後の対応を整理できている（58.3％）
インシデントの原因分析まで整理できている（15.2％）
インシデントが発生した事実を整理できている（23.8％）
その他（2.7％）

インシデントが発生した際に、組織内の問題点を改善するための仕組みが整っていない医療機関や関連サービス事業者も多くあります。そのため、ガイドラインにもとづいた情報の管理が求められているのです。

参考：日本医師会総合政策研究機構「病院・診療所のサイバーセキュリティ：医療機関の情報システムの管理体制に関する実態調査から」

厚生労働省のガイドライン

ここでは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」の概要や対象者、内容、仕組みづくりに活用できるチェックリストについて解説します。

概要

厚生労働省のガイドラインは、患者の電子カルテなどの医療情報システムの安全管理について定められています。個人情報保護法やe-文書法、医療法、医師法などの法令が根拠にあるガイドラインです。

IT技術の進化や発生したセキュリティインシデントにもとづき、定期的な改訂が実施されています。2023年10月現在では、2023年5月に発表された第6.0版が最新版です。

対象者

対象は、病院や一般診療所、歯科診療所、助産所、薬局、訪問介護ステーション、介護事業者、医療情報連携ネットワーク運営事業者などです。

また、対象となる医療情報は、医療に関する患者情報（個人識別情報）を含む情報のことです。医療情報を保存するシステムだけでなく、医療情報を取り扱う情報システム全般を指しています。そのため、医療情報システム・サービス事業者に提供されたシステムだけでなく、医療機関などが開発・構築したシステムも含みます。

内容

ガイドラインは、概要編、経営管理編、企画管理編、システム運用編の4つの本編から成り立っています。これらの4つの本編に記載されているのは、情報セキュリティマネジメントシステム（ISMS ）を構築・運用する流れやリスク分析の方法などです。

それぞれの内容を、以下にまとめました。

概要編：ガイドラインの全体構成や、各編に共通する前提となる考え方を示している
経営管理編（経営層向け）：医療機関などにおける医療情報システムの安全管理の統制について示している
企画管理編（システムの安全管理者向け）：医療機関等全体の安全対策の管理や組織的な対応に関する対策について示している
システム運用編（システムの運用担当者向け）：システムの技術的な対応に関する対策について示している

4つの本編において共通しているのは、医療情報システムの安全管理においては、情報セキュリティ対策は必須である点です。医療機関などの特性を踏まえつつ、情報セキュリティの三要素「機密性」「完全性」「可用性」を高めるための内容が示されています。

機密性：情報資産に許可された者のみがアクセスできること
完全性：情報資産が正確で最新の状態で利用できること
可用性：許可された者が情報資産にいつでもアクセスできること

関連記事：情報セキュリティの三大要素「可用性」「機密性」「完全性」について

チェックリスト

厚生労働省は、「医療機関のサイバーセキュリティ対策チェックリスト」という資料も提供しています。ガイドラインに沿った対策ができているかを確認するために活用できる資料です。

サイバーセキュリティに特化した内容ではありますが、組織の取り組みを確認できるツールになっているため、医療機関は活用すると良いでしょう。

経済産業省・総務省のガイドライン

ここでは、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の概要や対象者、内容について解説します。

概要

経済産業省・総務省のガイドラインは、要求事項は定めておらず、リスクベースアプローチにもとづいてリスクマネジメントプロセスを定義するものになっています。

対象者

対象は、以下の3つの事業者です。

医療機関との契約などにもとづいて医療情報システムなどを提供する事業者
医療機関と直接的な契約関係にはないが、医療情報システムなどに必要な資源や役務を提供する事業者
患者などの指示により、医療機関から医療情報を受領する事業者

ただし、患者から直接医療情報を受け取る場合には、対象とはなりません。

内容

以下のようなことが、ガイドラインに記載されています。

医療機関とサービスに関する契約を結ぶ際の合意形成について
合意形成にあたり、情報提供すべき項目について
安全管理のためのリスクマネジメントプロセスについて

第5章の「安全管理のためのリスクマネジメントプロセス」が実際のリスクへの対策となる部分です。リスクマネジメントプロセスとして、対象事業者は以下の3つのプロセスを実施し、安全管理対策に取り組むことが求められています。

リスクアセスメント（リスク特定・リスク分析・リスク評価）
リスク対応
記録作成および報告

3省2ガイドラインで求められているセキュリティ対策の具体例

ここでは3省2ガイドラインのうち、厚生労働省のガイドラインで医療機関に求められているセキュリティ対策の具体例を解説します。

セキュリティ体制の構築

責任をもって組織的安全管理対策を行うために、情報システム運用責任者の設置や担当者を選定し、セキュリティ体制を構築しましょう。

組織的に安全管理を運用するには、従業員の責任と権限の明確化や規定、手順書を整備したのち、定めた規定どおりに運用することが必要です。また、運用状況を定期的な点検などによって確認することが求められています。

二要素認証の導入

収集した医療情報は適切に仕分け、「誰が」「どの」情報までアクセスできるかといったアクセス権限を定めたうえで、運用します。

医療情報システムの利用者を認証する際は、二要素認証（ID、パスワードに指紋や顔による生体認証を加えるなど、2つの要素で認証すること）を推奨しています。

IoT機器の管理

IoT機器は、情報セキュリティ上のリスクがあることを患者に説明し、必ず同意を得たうえで貸し出すことを求めています。

例えば、24時間心電図計のウエアラブル端末や、患者の自宅に設置したインターネット接続されている医療機器などが該当します。

情報機器の持ち出しに関する方針・規程の整備

情報資産に対してリスク分析を実施し、情報や情報機器の持ち出しに関する方針を運用管理規程で定めましょう。

具体的には持ち出した情報や情報機器の管理方法、情報を格納した媒体や情報機器の盗難、紛失時の対応を記載し、従業員への周知や教育を徹底することを求めています。

BYODの禁止

個人が持ち歩くスマホやタブレットなどの情報通信機器（BYOD：BringYourOwnDevice）で医療情報システムにアクセスすることや、公衆無線LANの利用などを原則禁止することを求めています。

どうしても必要な場合には、リスクを最小限に抑えるために技術的な対応を実施してください。

バックアップの実施

定期的なバックアップの実施により、情報の毀損が発生した際にも毀損前のデータを用いて、元の状態に戻せるようにしましょう。修復が不可能な場合には、損なわれた範囲がわかるようにしてください。

適切な情報の破棄

使用している情報処理機器を廃棄する際には、必ず情報処理に関する専門家に依頼し、保存されたデータが読み出せないことを確認しましょう。

参照：厚生労働省「医療情報システムの安全管理に関するガイドライン」とは（外部リンク）

3省2ガイドラインで取得が求められているISMS認証・Pマークとは

3省2ガイドラインのうち、「経済産業省・総務省のガイドライン」には、「外部保存を受託する事業者の選定基準」として、確認を求めている事項の一つにISMS認証（ISO27001 ）もしくはPマークの取得を挙げています。

参照：経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（外部リンク）

そこで、ここではISMS認証（ISO27001）やPマークの概要、どちらを取得すべきかについて解説します。

ISMS認証（ISO27001）とは

ISMS認証（ISO27001）とは、ISO（国際標準化機構）が定める情報セキュリティに関する国際規格です。3省2ガイドラインの共通認識でもある情報セキュリティの三要素「機密性」「完全性」「可用性」をバランスよく高めることを目指しています。
組織が保有する情報資産を、さまざまな情報リスクから保護・管理するための仕組みづくりに関する認証規格です。

ISMS認証を取得するには、要求事項を満たすマネジメントシステムを構築・運用することが必要です。その後、書類審査と実地審査からなる取得審査を通過すれば、認証となります。
日本だけでなく世界中で取得件数は増加傾向にあり、日本では情報技術に関する業種で多く取得されています。

ISMS認証（ISO27001）の詳細は、以下の記事をご覧ください。

関連記事：ISMS認証とは？取得に関する疑問を徹底解説！

Pマーク（プライバシーマーク）とは

Pマーク（プライバシーマーク）とは、個人情報保護マネジメントシステム（PMS）に関する認証制度のことです。Pマークは、個人情報を漏えいや紛失などのリスクを低減することを目的としています。

日本国内でのみ有効で、一般財団法人日本情報経済社会推進協会（JIPDEC）やその指定機関による審査に通過することで、プライバシーマークを使用できるようになります。
認知度の高い規格であることから、サービス業や製造業などさまざまな業種で取得が進められています。
Pマークに関する詳細は、以下の記事をご覧ください。

関連記事：プライバシーマーク（Pマーク）って？取得企業数やメリットについて解説

ISMS認証（ISO27001）とPマークのどちらを取得すべきか

結論として、ISMS認証とPマークはどちらを取得すべき、ということはありません。というのも、それぞれ有効な国や対象範囲などが異なる認証であるため、優劣をつけることはできないためです。

そのため、以下のように自社の事業内容により決定すると良いでしょう。

ISMS認証：情報資産全般に対する情報セキュリティを強化したいという場合
Pマーク：日本国内でのみ事業を行っており、個人情報保護に特化した仕組みをつくりたい場合

「どちらが組織に適しているのかわからない」「取得までに何をするのかわからない」といった場合には、ISMS認証とPマークのどちらの取得サポートも実施しているコンサルティング業者に相談することがおすすめです。
組織の希望や現状などを伝えれば適切な第三者認証を提案してくれるでしょう。
以下に、ISMS認証をコンサルに依頼した場合の取得費用や期間についてもまとめています。参考にしてください。

まとめ

3省2ガイドラインとは、厚生労働省や経済産業省、総務省が策定した医療情報保護のためのガイドラインです。病院や診療所、薬局などの医療情報を取り扱う医療機関だけでなく、医療に関する情報システムのサービスを提供するクラウドサービス事業者や情報処理事業者などもその対象になっています。

国内外問わず、医療情報を取り扱う事業者を狙うサイバー攻撃やインシデントの事例は増えています。

そのため、こうしたガイドラインに遵守し、自社のセキュリティ体制を強化するためにも、ISO27001（ISMS）やPマークの取得が必要です。取得の際は、コンサルに依頼するとスムーズな取得が実現できます。

無料資料 | ISO27001・Pマーク導入徹底解説
『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
必須ご担当者様名
必須電話番号
任意会社名
任意メールアドレス
必須個人情報の取り扱い
下記個人情報保護方針について同意する（個人情報保護方針を読む）