厚労省、「医療情報システムの安全管理に関するガイドライン 第6.0版」に関するQ&Aを公表

2025年5月、厚生労働省より「医療情報システムの安全管理に関するガイドライン 第6.0版 に関するQ&A」が公表されました。
「医療情報システムの安全管理に関するガイドライン 第6.0版」は、オンライン資格確認の普及に伴い、多くの医療機関に共通して求められるネットワークセキュリティの強化を背景に、医療情報システム全体の安全性と実効性の確保を目的として、2023年に策定されました。

オンライン診療、多職種連携、オンライン資格確認、クラウドサービスの活用などが進む在宅医療の現場では、様々な形で医療情報システムを利用する機会が増えています。
本Q&A集は、ガイドラインの内容をより具体的に理解するための手助けとなるものであり、在宅医療機関が安全管理体制を構築・運用する上でぜひ確認しておきたい情報が含まれています。

「医療情報システムの安全管理に関するガイドライン 第6.0版」は、「概要編」「経営管理編」「企画管理編」「システム運用編」の4つの構成から成り立っているため、今回公表されたQ＆A集ではそれぞれの編で医療情報システムの安全管理に関する多岐にわたる重要なポイントがQ&A形式で分かりやすく解説されています。

概説編

本ガイドラインの対象となる読者層や情報システム・文書の範囲、電子保存における基本的な3つの要件（真正性・見読性・保存性）と情報セキュリティの3要素（機密性・完全性・可用性）との関連性、小規模な医療機関等での対応の考え方、そしてSNSのようなWebサービスを医療情報を扱う際に気をつけるべき点など、ガイドライン全体の基本的な考え方や定義について解説しています。

注目すべきQ&A：

• SNS等のWebサービスを利用して医療情報をやり取りする場合、考慮すべきことはあるか
• オンライン資格確認や電子処方箋の導入において、どのような留意事項があるか

経営管理編

医療機関等の経営層や管理者が負うべき、電子化された医療情報の取り扱いに関する法的な責任（個人情報保護法やe-文書法への対応を含む）や、万が一情報セキュリティに関する問題が発生した際の責任の所在、患者への説明責任の果たし方、業務を外部に委託する際や第三者へ情報を提供する際の情報管理責任の違い、外部監査の適切なあり方など、組織運営における責任と対応策を中心に解説しています。

注目すべきQ&A：

• 医療情報の取扱いに際し、令和2年改正・令和3年改正個人情報保護法も含めて医療機関等にはどのような責任が生じるか
• このガイドラインを遵守しなかった場合、課せられる罰則等やe-文書法以外に抵触する法令はあるのか

企画管理編

医療情報システムを導入・運用する上での計画策定や管理体制に関する幅広いテーマを扱っています。具体的には、組織としての情報セキュリティ方針や日々の運用ルールを定める規程の作成、外部委託や地域医療連携における責任範囲の明確化、想定すべき脅威の洗い出しを含むリスク分析とISMS（情報セキュリティマネジメントシステム）の構築、医療情報をクラウドサービス等に外部保存する際の注意点や事業者の選び方、情報や情報機器の持ち出し・破棄のルール、災害等に備えるためのBCP（事業継続計画）の策定、法令で定められた記名・押印に代わる電子署名やタイムスタンプの正しい使い方、そして紙媒体で作成された医療情報を電子化して保存する際の共通要件などについて解説しています。

注目すべきQ&A：

• 委託したクラウド型の電子カルテサービス業者から自院の患者に関するデータが漏えいした場合、自院にはどのような責任が問われるのか
• 生成AIサービスのプロンプトとして医療情報を入力する場合、入力情報が「AIの学習等のために保存されないこと」が契約等において担保されていれば、生成AIサービスのサーバが国内法の適用を受けている必要はないと考えて良いか
• 医療情報システムに関するBCP（Business Continuity Plan: 事業継続計画）の作成は医療機関にとってどのような場面を想定するといいか

システム運用編

医療情報システムを実際に日々運用していく上での技術的・運用的な詳細について解説しています。システムの標準化対応や異なるシステム間でのデータ連携のしやすさ（相互運用性）の確保、保存データの見読性の維持、不正なソフトウェアへの対策、近年利用が増えているIoT機器やBYOD（私物端末の業務利用）の安全な導入・運用方法、サーバ室などの物理的なセキュリティ対策、ネットワークを通じた不正アクセス・盗聴・改ざんの防止策（VPN、無線LAN、暗号化技術の利用）、ID・パスワード管理や二要素認証といった認証・認可の仕組み、そして大規模災害などに備えたバックアップ体制の構築とデータ復旧の手順など、具体的な技術要件や運用ルールが中心となります。

注目すべきQ&A：

• 医療等分野におけるIoT機器に対する安全対策を行う上で、どのような留意事項があるか
• 「類推されやすいパスワードを使用させないよう、設定可能なパスワードに制限を設けること」とあるが、類推を防ぐために定期的な変更を求めることは有効か。また、令和9年度時点で稼働していることが想定される医療情報システムを、今後、導入または更新する場合、原則として二要素認証を採用する趣旨は何か

今回のQ&A集は、医療分野におけるデジタルトランスフォーメーション（DX）が加速する現代において、非常にタイムリーかつ重要な情報提供となります。特に、大規模言語モデル（LLM）を含むAI技術の医療応用が期待される中、これらの新しいテクノロジーを安全に活用していくためには、本ガイドラインで示される情報セキュリティの原則と具体的な方策の理解と遵守が不可欠です。

実際に、本Q&Aの企画管理編「企Q-26」では、「生成AIサービスのプロンプトとして医療情報を入力する場合」の具体的な条件について触れられており 、これは今後のAI利活用を見据えたセキュリティ対策を検討する上で貴重な指針となります。

本Q&A集を活用することで技術革新の恩恵を患者さんの利益に繋げられることに期待いたします。引き続き医療情報システムの安全管理と利活用に関する最新動向に注目し、読者の皆さまに有益な情報をお届けしてまいります。