3省2ガイドラインとは？医療機関が実践すべきセキュリティ対策を解説します

3省2ガイドラインは、医療機関が扱う医療情報を守るためのガイドラインです。ガイドラインに沿った対策ができていない場合、情報漏えいやサイバー攻撃の影響を受け、損害を受ける可能性があります。

本記事では、3省2ガイドラインの概要や医療機関が実践すべきセキュリティ対策について解説します。

患者さんの個人情報を含む医療情報を適切に管理するために、3省2ガイドラインを遵守しましょう。

3省2ガイドラインとは、医療機関の担当者や事業者が電子的な医療情報を扱う際に、適切な情報保護のために守るべきガイドラインです。

3省2ガイドラインは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」と経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の2つで構成されています。

3省2ガイドラインは、医療情報システムの安全管理を徹底するために制定されました。この背景には、患者さんの個人情報が含まれている点が関係しています。

医療情報システムでは、患者さんの氏名や病歴を含む個人情報が含まれており、適切な管理がなされなければ命に関わります。

また、医療情報システムの安全管理が徹底できていなければ、正確かつ効率的な医療行為を実施できません。

医療機関の間で正確な情報共有をおこない、質の高い医療提供をするためには、3省2ガイドラインの遵守が必要です。

厚生労働省が制定した医療情報システムの安全管理に関するガイドラインは、患者さんの電子カルテや医療情報システムを安全かつ適切に運用・管理するための基準です。

本ガイドラインは、医療法や医師法、個人情報保護法やe-文書法などに基づき、患者さんの個人情報保護やデータ漏えい防止対策などが制定されています。

2025年1月現在、「医療情報システムの安全管理に関するガイドライン第6.0版」が最新のガイドラインです。

医療情報システムの安全管理に関するガイドラインの対象者

医療情報システムの安全管理に関するガイドラインのおもな対象者は以下のとおりです。

• 病院
• 一般診療所
• 歯科診療所
• 薬局
• 助産所
• 介護事業者
• 訪問看護ステーション
• 医療情報連携ネットワーク運営事業者

医療情報システムの安全管理に関するガイドラインの内容

医療情報システムの安全管理に関するガイドラインは、概説編・経営管理編・企画管理編・システム運用編の4つで構成されています。

医療機関が実施するべきおもな対策は以下のとおりです。

• 適切なアクセス制御
• 貸し出し用機器の管理
• サイバー攻撃への対応
• バックアップデータの活用
• 情報システム運用責任者の設置
• 専門知識のある者による情報の破棄
• パソコンの外部持ち出しに関する方針・規定の整備
• BYOD（スマホなど個人が持ち歩く情報通信機器）の原則禁止

また、厚生労働省では、「医療機関のサイバーセキュリティ対策チェックリスト」を提供しています。

自院のサイバーセキュリティ体制を確認するために活用することをおすすめします。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインとは？

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインは総務省の「クラウドサービス事業者が医療情報を取り扱う際の安全管理に関するガイドライン」と、経済産業省の「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」を統合させたものです。

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインの対象者

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインのおもな対象者は以下のとおりです。

• 医療機関との契約に基づいて医療情報システムを提供する事業者
• 患者さんの指示に基づいて医療機関から医療情報を収集する事業者
• 医療機関に関与しないが、医療機関に提供する医療情報システムに必要な資源や役務を提供する事業者

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインでは、医療情報システムやサービスを提供する事業者の義務や責任に関する事項が記載されています。

また、リスクマネジメントの観点で、リスクの特定や分析、評価方法などが規定されています。

• リスクアセスメント：リスクの特定・分析・評価をおこなう
• リスク対応：リスクに対応するための選択肢を選定し、対応策の設計・評価をおこなう
• 記録作成および報告：リスクコミュニケーションのもと、リスクマネジメントを継続する

近年、医療機関をターゲットにしたサイバー攻撃対策への関心が高まっています。医療情報を安全に管理するために、とくに以下のサイバー攻撃について知識を深めておきましょう。

マルウェア

マルウェアとは、不正かつ有害な挙動をする意図で作られた悪意あるプログラムやソフトウェアです。

代表例としては、「ワーム」「トロイの木馬」「Emotet」「スパイウェア」などが挙げられます。

とくにEmotetは、極めて強い感染力をもつマルウェアであり、被害が甚大になるケースがあります。

ランサムウェア

ランサムウェアとは、身代金を要求する不正プログラムです。ウイルスに感染したコンピュータをロックしたり、データを暗号化したりして利用できない状況を作り出し、元通りにする代わりに身代金を要求します。

場合によっては、院内システムが停止し、通常診療ができなくなる事態に発展することもあるでしょう。

第三者によるサイバー攻撃

悪意をもった第三者による不正アクセスによって医療従事者や患者さんの情報が流出する事件が発生しています。

また、フィッシング詐欺によってクラウド上のデータが奪われ、情報漏えいするケースも起こっています。

内部不正

医療機関の職員が私物のUSBメモリを院内に持ち込み、患者さんの個人情報を含むデータを保存後、院外に持ち出す内部不正が発生しました。

また、職員が患者さんの電子カルテを閲覧し、その情報をSNSで流出させるといった事案も発生しています。

さらに、個人情報を含むUSBメモリだけでなく、SDカードやカメラデバイスなどを紛失し、個人情報の漏えいが起こるケースもあります。

医療情報を安全かつ適切に運用・管理するためには、セキュリティ対策が必要不可欠です。以下の対策を徹底し、院内のセキュリティ体制を維持しましょう。

生体認証

生体認証とは、人間の行動や身体的特徴をもとに個人を認証するものです。たとえば、指紋や顔、虹彩や声などが挙げられます。

近年では、認証精度の兼ね合いから静脈や顔、虹彩などを認証する仕組みを取り入れる医療機関が増えています。

パスワード管理

院内のデータを扱う際のパスワードは、類推されやすい安易なものではなく、複雑なものを設定することが重要です。

また、利用者がパスワードを忘れたり、漏えいが発生したりするリスクを踏まえ、パスワード変更時のセキュリティ対策の徹底が求められます。

パスワードを変更する際に、担当者の本人確認を確実におこなう仕組みづくりや、変更後のパスワードを利用者本人以外が知り得ない方法で通知することが必要です。

セキュリティ対策ソフト

医療機関の使用機器等に対し、セキュリティ対策ソフトをインストールすることで、ウイルスの感染防止や不正アクセスの遮断などを図る必要があります。

また、セキュリティ対策ソフトのバージョンは、常に最新を維持することが重要です。さらに、リスクヘッジのために、堅牢なシステムの開発・構築を代行するコンサルティングや支援サービスを利用することも有効です。

データバックアップ

院内に対するサイバー攻撃や災害などの影響でデータが損傷・消失するリスクを踏まえ、日頃からデータのバックアップ体制を整えておく必要があります。

また、データの復元が困難な場合でも、損傷・消失範囲を特定できる仕組みを準備しておくことが大切です。

3省2ガイドラインとは、医療機関の担当者や事業者が電子的な医療情報を扱う際に、適切な情報保護のために守るべきガイドラインです。

医療情報を安全かつ適切に扱うためには、医療機関に関係するサイバー攻撃への対策が必要です。

大切な医療情報を守るために、生体認証やセキュリティ対策ソフトなどを活用し、パスワード管理やデータのバックアップを徹底しましょう。