厚生労働省の医療情報システムの安全管理に関するガイドライン6.0版(案)と5.2の差分が把握するのがちょっと大変そうというお話

健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループの資料で、医療情報システムの安全管理に関するガイドライン6.0版の案が参考資料として上がってきていたのを、最近ちょこちょこ読んでます。

最初見た時の感想は「え！？ちょっと構成変わりすぎでは！？」だったんですが、よくよく見てみると、読みやすくするために、大きく構成を「概説編」「経営管理編」「企画管理編」「システム運用編」に分割したせいなんですね。

中身を見ると、以前とさほど変わらない感じだったので、ちょっと安心しました。(笑)

分冊化について

ざっくりこんな感じのようです。

• 概説編　各編に共通する前提となる内容（全員が対象）
• 経営管理編　主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層を対象
• 企画管理編　主に医療機関等において医療情報システムの安全管理(企画管理、システム運営)の 実務を担う担当者(企画管理者)を対象
• システム運用編　主に医療機関等において医療情報システムの実装・運用の実務を担う担当者を対象　委託事業者もここを参照する

対象が明確になったのはありがたいですね。この点はとてもいいアップデートだったと思います。

以前のものは対象がバラバラで、全部を気合い入れて読む必要がありましたが、分冊化されたおかげで、ここは気合を入れて、これはざっと眺める程度で、という力の入れ方にメリハリをかけやすくなりました。

ただ、新規で入ってくる人には優しくなったと思うんですが、以前のガイドラインに必死こいて準拠しようとしていた方としては、「えーっと、これはどこを見ればいいんですか？」という感じで行方不明になってます。
結局最初から一通りチェックし直すしかないなーというのが正直な感想です。

内容自体は上記にも書いたとおり、以前のものと言っていること自体が変わっているわけではないので、新たに何か対応をしなければならないとかそういうのはそれほどないかもな、とは感じているので、差分の把握だけなんとか頑張ってやれば大丈夫かなという風には思っています。

他の気になるところ

変更されたところで1番の問題は差分の把握でしたが、逆に変わってなくて困ったなぁというのもありました。

それは、相変わらず閉域網が前提になっている点。

医療機関の内部ネットワークはそれでいいでしょうけども、現在のようなクラウドサービス全盛の時代だと、どうにもやりづらい。
ガイドラインをそのまま適用するとどうしても矛盾が出てきてしまいます。
一応ゼロトラストとかの話もちょっと出てきているんですが、むしろ「時期尚早」という結論になってて「おいおい」って感じになりました。確かにゼロトラストは現状ちょっと面倒ではあるんですけど、そこを最初から避けちゃうのもどうなんだろうなーと思ってしまいます。

特に昨年は閉域網前提でセキュリティ対策が甘くなっていたところを突かれて、ランサムウェアで大騒ぎになったのにと思ってしまいます。
まあこの辺りは今後の更新を待つしかないですね。

そんなところで今回はここまで。