医療情報システム・医療業界におけるサイバーセキュリティの確保は、非常に重要な課題であり、さまざまな取り組みが行われています。
前回のコラムでは、医療情報システムで求められるセキュリティ対策の歴史や、政府からの各通知への対応について解説しました。
本コラムでは、2025年1月に「厚生労働省標準規格」にも認定された「製造業者/サービス事業者による医療情報セキュリティ開示書」(以下、「MDS/SDS」)について、解説します。概要、背景等については、前回のコラムでも解説しているため、併せて参照ください。
医療情報システム開発における「3省2ガイドライン」と、関連する政府からの通知への対応について
「MDS/SDS」とは
「MDS/SDS」とは、医療情報システムのセキュリティに関する情報を開示することを目的としたセキュリティ開示書です。
医療機関は「MDS/SDS」を提供事業者から受け取ることで、医療情報システムのセキュリティ状況および「医療情報システムの安全管理に関するガイドライン」(以下、「安全管理ガイドライン」)への適合性を確認できます。
医療機関から「MDS/SDS」の提出を求められ、既にチェックリストを作成した提供事業者(医療情報システムを提供する事業者)も多いかと思います。しかし、「MDS/SDS」の本質は、“セキュリティの確保”なので、チェックリストの作成以外にも対応が必要です。
適切な「MDS/SDS」の作成およびセキュリティの確保のためにも、「MDS/SDS」について正しく理解し、必要な対応をしていくことが重要です。
「MDS/SDS」が「厚生労働省標準規格」へ
医療機関へのセキュリティ開示に利用される「MDS/SDS」が、2025年1月に「厚生労働省標準規格」に認定されました。
「厚生労働省標準規格」とは、保健医療分野の適切な情報化を進めることを目的に制定された規格です。
この規格は採用を強制されているものではありませんが、医療情報システムの標準化の推進・相互運用性の確保を図るため、採用が促されています。
「MDS/SDS」が「厚生労働省標準規格」に認定されたことでどうなるのか?
「MDS/SDS」は、今までもサイバーセキュリティ対策チェックリストにて作成が求められていましたが、今回の「厚生労働省標準規格」への認定により、提供事業者から医療機関への情報提供のツールとしてさらに重要度が上がったと考えられます。
2025年3月に改定された、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版」(以下、「提供事業者ガイドライン」)においても、提供事業者から医療機関に対する情報提供の手段として、「MDS/SDS」を利用することが追記されました。
出典:「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第2.0版」を加工して作成
このことからも、厚生労働省だけではなく、総務省・経済産業省も「MDS/SDS」の利用を推奨していると考えられます。
そのため、今後、提供事業者から医療機関への情報提供については、「MDS/SDS」を利用することが業界のスタンダードになっていくことが推測できます。
まだ「MDS/SDS」を作成できていない提供事業者は、急ぎ作成が必要です。
提供事業者が「MDS/SDS」を作成する際に必要なこと
提供事業者の皆さまは「MDS/SDS」を作成する際、「はい」「いいえ」のチェックだけ実施して終わりにしてはいませんか?実はチェックリストの作成だけでは、十分とは言えません。「MDS/SDS」の適切な作成および本来の目的である“セキュリティの確保”を目指すためには、提供事業者が対応すべきことがあります。
それが、「3省2ガイドライン」の一つである「提供事業者ガイドライン」への準拠です。
「3省2ガイドライン」については、過去のコラムで解説しているため、詳しくはそちらを参照ください。
医療情報システム開発におけるセキュリティ対策、「3省2ガイドライン」への取り組み【第2回】
医療情報システム開発における「3省2ガイドライン」と、関連する政府からの通知への対応について
もともと「MDS/SDS」は「安全管理ガイドライン」への適合性を評価できるセキュリティ開示書であるため、「MDS/SDS」で求められるセキュリティ項目は「安全管理ガイドライン」のセキュリティ項目に紐付いています。
そして「提供事業者ガイドライン」は、医療機関が「安全管理ガイドライン」に対応するために、提供事業者側でやるべきことを考慮したガイドラインです。そのため「提供事業者ガイドライン」は、「安全管理ガイドライン」と紐付く「MDS/SDS」と、大きく関係しています。
例えば、上記項目のような、「MDS/SDS」で求められる人的・組織的対策等の運用面での安全対策は、ただ運用として実施できていれば良いわけではありません。
その安全対策を「運用管理規程」に定めている必要がありますが、この「運用管理規程」は、「提供事業者ガイドライン」にて作成を示している文書です。
同じように、上記項目のような、医療機関との責任分界等については、「SLA(サービスレベル合意書)」等によって提示する必要がありますが、「SLA」も、「提供事業者ガイドライン」にて作成を示している文書です。
このように、「MDS/SDS」の項目を満たすために、各種文書の整備が必要となりますが、どのように整備すれば良いのかまでは、「MDS/SDS」だけでは分かりません。
適切に対応するためには「提供事業者ガイドライン」を参照する必要があります。
また、文書の整備以外にも、「提供事業者ガイドライン」を参照するべき理由があります。
「提供事業者ガイドライン」には「別紙2 統合前ガイドラインにおける対策項目一覧と医療情報安全管理ガイドライン6.0版の対応表」が含まれていますが、「安全管理ガイドライン」で求められる項目と紐付いた対策項目が示されているため、これを活用したリスクマネジメントを実施することで、「安全管理ガイドライン」で求められるセキュリティを確保できます。
つまり、「安全管理ガイドライン」で求められるセキュリティが確保できると同時に、「MDS/SDS」が求めるセキュリティ項目も満たすことができるのです。
このように、「提供事業者ガイドライン」は、提供事業者が「MDS/SDS」を作成するために必要な対応が示されており、提供事業者が医療情報システムのセキュリティを確保するためにも非常に優れた指針です。
提供事業者は、「提供事業者ガイドライン」に則って対応することで、「MDS/SDS」で求められる対応を網羅することが可能であり、そもそもの本質である、医療情報システムのセキュリティを確保できます。
そのため、提供事業者は「MDS/SDS」を作成する際、「はい」「いいえ」のチェックだけを実施して終わりではなく、「MDS/SDS」と併せて「提供事業者ガイドライン」に準拠した対応を行い、「MDS/SDS」を作成することが推奨されます。
まとめ
提供事業者は、「3省2ガイドライン」の一つである「提供事業者ガイドライン」に準拠することで、「MDS/SDS」で求められる対応を満たすことができます。
「MDS/SDS」に対応し、医療情報システムのセキュリティを確保するためにも、提供事業者は「MDS/SDS」の作成と併せて、「3省2ガイドライン」への準拠を行い、医療情報システムのセキュリティを確保しましょう。
富士ソフトは、「3省2ガイドライン」や「MDS/SDS」、「サイバーセキュリティ」を含む幅広い知見を強みとして、お客様へのコンサルティングやシステム開発を支援いたします。
ぜひお気軽にお問い合わせください。
関連記事について
記事一覧はこちら
富士ソフトの医療機器開発・セキュリティに関する記事一覧
