ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

3省3ガイドラインのあるべき姿

医療情報に関して、3つのガイドラインがあります。

医療情報を取り扱うシステム構築する際に、3本のガイドラインを全部見ないといけないのは、あまりに非効率的です。そこで、3省で3本のガイドラインを出している状況から、3省で2本のガイドラインを出すようにするそうです。つまり、1本減るわけです。

 

せっかくその作業がなされるのであれば、現状の3省3ガイドラインの課題を改善する作業も一緒にやった方が良いと思います。

 

私の方で、3省3ガイドラインの問題点について考えてみました。

PDFでここにまとめていますが、ブログにも文字で貼り付けておきます。

☆水町作成資料☆3省3ガイドラインの課題

☆水町作成資料☆3省3ガイドラインの対応関係案

 

一番の問題は、3省の3ガイドラインの関係性が分かりづらい点だと思います。

厚労省医療機関用、総務・経産省のはICT事業者用になっているのですが、そうはいっても、ICT事業者は、総務・経産省ガイドラインだけ見ればいいわけじゃなくて、厚労のも当然見ますよね。で、医療機関だって、ICT事業者がちゃんとしているか確認するためには、厚労のガイドラインだけではなくて、総務・経産省ガイドラインも見なければなりません。それぞれの3本のガイドラインが、交互にどの記述が他のガイドラインのどの記述に対応するかところどころ説明はありますが、はっきりいって対応関係がわからない点があります。

私が思うに、例えば適切な組織体制の構築が必要という項目であれば、医療機関にとってはAという措置が必要で、ICTベンダー側にはさらにB,Cも必要だよとか、そういう書き方になっていたらわかりやすいと思うのですが、厚労ガイドラインが求めていることと、総務・経産省ガイドラインが求めていることの対応関係がはっきりしない点があり、3ガイドラインの網羅的なチェックが現実的に難しい状況にあり、これでは遵守はかなり厳しい状況にあると思いました。

私の方で、3省3ガイドラインの項目ごとの対応関係をPDFでまとめる作業に着手してみましたが、対応関係が不明瞭な点も多々見られました。

せっかく、3省3ガイドラインを改訂するのであれば、それぞれの対応関係を明らかにしていただけると、事業者側・医療機関側双方にとって、より役立つガイドラインになると思います。

前置きが長くなりましたが、上記の点を含めての、私が考える現状の課題を以下に述べておきます。

  • 医療情報システムに関して、3省が4つのガイドラインを公表していた。そのため、医療情報システムに関して4つのガイドラインを熟読し、対応を検討する必要があり、医療機関・事業者側に過度な負担が生じていた。この点に関し、3省4ガイドラインが3省2ガイドラインに統一されることが公表されている。すなわち、3省で2つのガイドラインとするというもの。しかし2つのガイドラインになっても、医療機関・事業者側に過度な負担が残存するので、3省で1つのガイドラインに統一すべきである。
    なぜなら、厚労省ガイドライン医療機関等の管理者向けのガイドラインで、総務省経済産業省ガイドラインは受託事業者向けのガイドラインではあるものの、医療機関等の管理者は、管理者向けの厚労省ガイドラインを読むほか、受託者側がきちんとガイドラインに沿っていることを確認するためには総務省経済産業省ガイドラインを読む必要がある。また受託者にとっては、受託者向けのガイドラインだけでは足りず、医療機関等側が果たすべき義務にも留意する必要があるため、厚労省ガイドラインも読む必要がある。つまりは、医療機関等の管理者であろうが、受託事業者であろうが、3省の2本のガイドライン両方を読む必要があり、3省の2本のガイドラインは対応関係が明らかでない可能性も残るなど、読み手たる国民からしてわかりづらく、理解するのに過度な負担を負わされる可能性がある。そこで、やはり3省でガイドラインを一本化すべきであると考える。その際、管理者側が負うべき義務と、受託事業者側が負うべき義務をきちんと対応関係を明らかにして記載すべきである。
  • 医療機関等がやるべきこと、外部委託事業者に対して求めることが長文で記載されているので、やるべきことを箇条書きでまとめたリストが必要。本文はわかりやすくクオリティが高いが、長文を読みたくない読者向けに、リストがあった方が良い。リストの中で、本文中にあるように最低限のガイドラインを書いたり、あとは付表に書いてあるような例や、さらには詳細説明の場所(本文〇ページ、Q&A〇等)が書かれていると良い。この改善のためのたたき台は水町にて作成したが(http://www.miyauchi-law.com/f/190621iryou3guidelines.pdf)、要改善。
    長文を読むやる気のある読者も、リストがないと、結局何をしなければならないか失念してしまう恐れ。水町は1週間ぐらいかけて3本のガイドラインを熟読したが、結局やるべきことをすべて把握することは難しかった。総務省のサービス仕様適合開示書・SLA参考例は、この点参考になると思われる。
  • 厚労省経産省総務省ガイドラインの対応関係が不明瞭な部分がある。経産省総務省も、厚労省ガイドラインのどこに該当する記述かを丁寧に説明しているものの、それでも対応関係が不明で、どこが重複しているのかいないのかがわからない。水町にて対応関係をおおよそ把握するための表を作成したが、対応がわからない部分もそれなりにあった。
  • 個人情報のガイドライン個人情報保護委員会の公表するもののほか、各省と連名で公表する特別分野ガイドライン)でも安全管理措置として組織的対策、物理的対策、技術的対策が記載されている。厚労省医療情報ガイドラインでも同様。それぞれ組織的対策、物理的対策、技術的対策という分類は同じだが、求められる事項がまちまち。なぜ違いがあるのか、どのような違いがあるのかが論理的に整理されていないし説明もされていなくて、わかりづらいし、不親切。各省がそれぞれ他省のガイドラインを参考にしながら微妙にアレンジを加えていて、読み手たる国民の立場からすると、わかりづらく不親切で良くない。安全対策として組織的対策、物理的対策、技術的対策それぞれに求める最低限のレベルを決め、さらには業種やIT特有の措置を加える等、複数のガイドラインで整合する説明・表記を行うべき。
  • 経産省ガイドラインの適用範囲が不明瞭である。同ガイドラインP14では、「医療情報の外部保存に関する業務を受託して医療情報を取り扱う際の安全管理基準を示す」とあるが、P10では「外部保存等のために医療情報を受託管理する業務を提供する情報処理事業者」とあり、外部保存以外の受託業務も同ガイドラインの適用範囲かどうか明らかではない。
  • e-文書法の対象文書以外は、電子データのみではだめで、紙による保存が必要。但し、一般の読者、ひいては法曹であっても、どの文書がe-文書法の対象かは、調査に著しく時間がかかる。医療・介護等の電子化という観点から、何が電子データだけで良くて、何が電子データではだめなのかが迅速に把握できないこの現状は、著しい問題ではないか。
    また厚生労働省「医療情報システムの安全管理に関するガイドライン」の後半部分はe-文書法の対象文書がその対象となるとされているが、上記の問題から、同ガイドラインの対象文書も同時に範囲が迅速には判明しないという問題がある。
  • 地域医療連携で患者情報を交換する場合、外部保存機関が介在する場合だけ、共用に対する患者の同意を得ておく必要があるとしていて、ネットワークを介して接続する場合にはそのような記載がない。しかし、個人情報の共有に当たっては、外部保存機関の有無を問わず、民間であれば個人情報保護法23条の規制を受けるのであって、外部保存機関の有無によって同意の要不要が変わるわけではないので、記載が不適切である。
  • 表題で、物理的安全対策、組織的安全管理対策と、管理が入っていたり抜けていたり平仄があっていない
  • サイバー攻撃を受けた際の非常時対応として、所管省庁への連絡が最低限やるべきことと記載されているが、これよりも、本文中に記されているネットワークの切断・隔離の方が最優先ではないか?なぜこれが最低限求められる事項なのか?所管官庁に連絡したら、所管官庁がネットワーク切断してくれるわけでもなかろうし、表現の仕方に問題があると思う。
  • 厚労省の通知が多いものの、一覧できるWebサイト等がなく、内容がわからなかったりして遵守が困難
  • 厚労ガイドラインの引用が、第5版(最新版)ではなく第4.1版になっている
  • 個人情報保護委員会のWebサイトでは、個人情報関連のガイドラインしかないので、「医療情報システムの安全管理に関するガイドライン」や「人を対象とする医学系研究に関する倫理指針」の存在に気付かない人も出てしまうのではないか。関連情報への相互リンクが必要。
  • 「人を対象とする医学系研究に関する倫理指針」が非常に読みづらいので、これも改訂した方が良い。研究の場合個人情報保護法は基本的には適用除外だろうが、民間が関与してたりすると一部適用になったりするし、個人情報保護法の同意と倫理指針のICが違ったり、個人情報保護法のオプトアウトと倫理指針の拒否機会の保障が違ったり、個人情報保護法の通知・公表義務事項と倫理指針の通知・公表事項が違ったり、個人情報保護法の共同利用手続と倫理指針の共同研究手続が違ったりして、非常に読解が難しいものになっている。
  • 最後に、それぞれのガイドラインの良いところについて。厚労省はやるべきことについて丁寧な検討がなされていて、文章もわかりやすい。経産省は、情報処理の観点からさらに踏み込んだ丁寧な検討がなされていて、やるべき措置がとても参考になる。総務省は、厚労省経産省との対応関係を明らかにしようとしていて、構成もわかりやすく、読者に配慮した構成になっている。霞が関ガイドラインの中でも、これら3本のガイドラインはよくできているガイドラインだと思う。