介護事業所が注意したい医療情報の管理とは

このガイドラインは、当初は医療機関において法令に保存義務が規定されている診療記録の電子媒体による保存や、個人情報保護のため情報システムの運用管理についてのガイドラインとして、平成17年3月に厚生労働省によって作成されました。

その後、情報管理に関する法令やIT関連の施策ができるたびに改定が行われ、平成29年5月30日に「医療情報システムの安全管理に関するガイドライン」第5版として、新たに改定されたものが公表されたのです。

第5版では、医療機関のみならず、介護事業者や地域医療連携ネットワーク運営事業者もガイドラインの対象となり、医療機関と同等のセキュリティー対策を施す必要が出てきました。

＜対象となる事業者＞
病院、一般診療所、歯科診療所、助産所、薬局、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等における電子的な医療情報の取扱いに係る責任者

内容として、平成29年5月に施行された「改正個人情報保護法」や平成29年5月30日から適用の「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」、e-文書法などを踏まえた改定となっています。

今回の改定で、最も大きく変更された部分は、個人所有の情報端末であるBYOD（Bring Your Own Device）の使用が原則禁止になったことです。

介護事業所でも、訪問介護や訪問看護ではモバイル端末（スマートフォンやタブレット端末、ノートパソコンなど）で医療情報を持ち出します。その際、個人の所有するモバイル端末を業務に利用することは原則禁止となりました。持ち出しに使う端末は、OSの設定・変更は管理者が行う端末に限られます。また、できる限り端末内には利用者情報を置かないようにしなければなりません。さらに、例えばID・パスワード＋バイオメトリクス（指紋、顔、声紋、網膜など）といった2要素認証方式の採用が望ましいとされています。

さらに、e-文書法に関連して、文書を電子保存する場合のガイドラインも定められています。その内容は、電子保存する際は電子保存の三原則「真正性」「見読性」「保存性」を確保する必要があるということです。

真正性の確保とは、各種のデータに対しては、技術的対策、運用的対策などを施して責任の所在を明確化し、虚偽入力や書換え、消去及び混同を防止して情報の完全性を確保する必要があることをいいます。

見読性の確保とは、電子媒体に保存された内容を、要求に基づき、必要に応じて肉眼で読み取れる状態にすることで、保存した内容を介護や看護に用いるのに支障がない状態、加えて、監査等に差し支えない状態にしておくことです。

保存性の確保とは、記録された情報が法令等で定められた期間にわたって真正性を保ち、見読性が確保された状態で保存されることです。機器やソフトウエアの障害、記録媒体の劣化、設備や記録媒体の不適切な管理により情報の喪失を防ぐための対策が必要です。

介護事業所では、利用者情報を職員が共有することが考えられます。そこで、情報を利用する際は、利用者の識別及び認証、情報の区分管理とアクセス権限の管理、アクセスの記録、不正ソフトウエア対策などを行い、安全に情報管理ができるよう、ガイドラインに沿ったセキュリティー対策をおすすめします。

クオリティソフト株式会社が提供する「ISM CloudOne」は、社内外のあらゆる端末をクラウドシステムで管理し、セキュリティー運用負荷を軽減する自動脆弱性セキュリティー診断サービスです。詳しくは、弊社担当者までお気軽にお問い合わせください。

自動脆弱性セキュリティー診断サービス「ISM CloudOne」を見る