08/12/19 第20回医療情報ネットワーク基盤検討会議事録 第20回 医療情報ネットワーク基盤検討会               日時 平成20年12月19日(金)                   10:00〜               場所 中央合同庁舎第5号館共用第7会議室 ○秋山補佐  ただいまから、第20回医療情報ネットワーク基盤検討会を開催します。構 成員の皆様には師走の押し迫った中、ご多忙のところ、お集まりいただきま して誠にありがとうございます。本検討会は公開形式で行います。なお本日、 厚生労働省医政局長の外口は他の公務のため欠席させていただいています。 最初に検討会開催に当たり、医政局研究開発振興課医療機器・情報室長の冨 澤より、ご挨拶申し上げます。 ○冨澤室長  医療機器・情報室長の冨澤でございます。今、ご案内させていただきまし たように、外口局長は所用のために大変申し訳ございませんけれども、私の ほうから一言、ご挨拶させていただきたいと思います。  本日は、構成員の先生方には年末のお忙しいところ、ご出席いただきまし て誠にありがとうございます。本検討会につきましては、前回の第19回検討 会を7月末に開催させていただきまして、先生方からさまざまなご意見をい ただきました。その意見を踏まえまして作業班でご検討いただき、これまで 11回の作業班会議を開催いただいたところでございます。作業班の先生方に はご尽力いただいたことに関しまして、心から御礼申し上げさせていただき ます。本日は作業班において取りまとめいただいた、「医療情報システムを安 全に管理するために」という題で、医療機関等の管理者がガイドラインを理 解するためのポイントを要約したものと、「医療情報システム安全管理に関す るガイドライン第4版」の改定案につきまして、ご議論をいただきたいと考 えています。先生方には是非、忌憚のないご意見をいただきますようお願い 申し上げまして、甚だ簡単ではございますがご挨拶とさせていただきます。 よろしくお願いします。 ○秋山補佐  続きまして資料の確認をさせていただきます。資料は1〜4およびフラット ファイルに綴じたI〜IIIがございます。資料1は医療情報ネットワーク基盤 検討会作業班の開催について、資料2は医療情報システムを安全に管理する ために(案)、資料3は医療情報システムの安全管理に関するガイドライン第 4版(案)、資料4はユースケース図です。次にフラットファイルに綴じた資 料Iは医療情報システムの安全管理理に関するガイドライン第3版です。資 料IIの(1)(2)が医療情報を受託管理する情報処理事業者向けガイドラインの告 示とパーソナル情報研究会報告書です。資料IIIはASP・SaaSにおける情報セ キュリティ対策ガイドラインです。資料の未配付など不備がありましたら、 事務局にお申し出いただきますようお願い申し上げます。以後の議事進行を 大山座長にお願いします。 ○大山座長  おはようございます。本日の議事に移りたいと思います。議事次第の(1) にあります、医療分野における電子化された情報管理の在り方に関する事項 から始めたいと思います。先ほど室長のご挨拶の中に11回やっていただいた というお話がありました。ワーキンググループの皆様方には本当にお礼を申 し上げたいと思います。同時に、山本先生にまとめていただきました。今日 はその結果について説明いただくことになっています。前回の本検討会にお いて了承いただいた作業班での議論の成果として、本日、資料2の医療情報 システムを安全に管理するために(案)と、資料3医療情報システムの安全 管理に関するガイドライン第4版(案)を作成いただいていますので、まず は作業班長の山本構成員から説明をお願いしたいと思います。 ○山本構成員  まず資料2の説明をさせていただきたいと思います。前回のこの検討会で ガイドラインの第3版が150頁を超え、かなり大部になっていて多くの医療 従事者にとっては、おそらく読みきれない分量になっているということでし た。もちろん、このガイドラインは基本的に医療情報システムを管理する人、 並びに医療情報システムを病院等に導入するベンダー等が読むべき資料であ り、一般の医療従事者すべてが読まなければいけないという種類のものでは ありませんけれども、一面では個人情報保護法の医療・介護分野におけるガ イドラインから引用されているということがあり、後でご説明申し上げる「医 療情報システムの安全管理に関するガイドライン」の1〜6章というのは、特 に病院等の管理者にとっては非常に重要な情報が含まれている。にもかかわ らず、あまり大きすぎて手に取ることがためらわれるというご意見を、中川 構成員をはじめいろいろな方からいただきました。  それで、このガイドラインを概観して、主な医療機関等の管理者の方にガ イドラインの意義についてご理解いただけるようにということで、小冊子を 作ろうということが1つあります。もう1つは、本体のガイドラインをでき るだけ読みやすい形に変更することと、第1版、2版、3版と改定してきて、 その都度、すべてを一応見直したつもりではありますが、時間の経過ととも に少し手直しが必要な部分がありました。それと、これからさらに我が国は 保健、医療、福祉分野にITの導入を図って、さらなる国民の利便性、さらな る充実した社会保障という意味で進めていくにあたり、ガイドラインとして 医療情報システム、医療機関側からの心構え、準備、安全管理、その他につ いて、追加すべき点がれば追加する方針で作業班で検討してきました。  資料2は16頁以内を目指し、作業班の皆様の多大なご努力で、かなり効率 よく理解できるものができたと思っていますが、残念ながら17頁で表紙、目 次を入れると19頁になってしまいました。現状、このあたりが限界かと思い ますが、皆さんのご意見を伺いたいということで、今日、お出ししています。  表紙に、医療情報システムを安全に管理するためにということで、これか ら多くの医療機関は情報システムの導入が当然ということになりますから、 そのシステムを安全に管理するために管理者、つまり病院長等の方々に、一 体、どういうことを自らの医療機関の担当者ないし従業者に対して注意をし ていけばいいか、それをわかっていただくことを目的に作っています。もち ろん病院長だけではなく、大きな医療機関ですと、それなりのお立場にある 方々に読んでいただくことが必要かと思います。  目次をご覧ください。この冊子の位置付けと活用方法を1に記載し、2に 責任在り方を書いています。これは電子的な情報、特にネットワークを介し て電子的な情報が移動する場合は瞬時に移動するというのが1点と、移動し ても移動元に元の情報と同じものが残ってしまう。通常、そういう特徴があ ります。紙ですと瞬時に移動することはなくて、目で追いながら物が動きま すし、渡すと元にはなくなりますから、人間の目で見て、情報の責任を誰が 持っているかは明らかなことが多いわけです。電子化情報の場合、そこがや や分かりにくいところがありますので、まず責任そのものの在り方と、責任 分界点というのは、どの時点でその情報に対して責任を持たなければいけな い人が変わるか、ないしは増えるかみたいなことを解説しています。  3は電子的な医療情報を扱う際の考え方です。これは主に安全管理に関す るガイドラインのシステムの安全管理に関するところを、非常に短く整理を してまとめています。後で中身を少しご説明申し上げます。  4は主に電子化情報を交換ないしは提供する際の考え方です。交換という のは医療機関等の間で情報をやりとりする。提供の場合は1つは患者様等へ 提供する。それ以外の例えば健診等で保健者に提供する場合もありますが、 その2つの考え方を簡単にまとめています。  1頁は本書の位置付けで、これは後でご説明申し上げるガイドラインの必 要性に関してご理解をいただくということ。病院長の方等にあのガイドライ ンを全部読めというわけではなくて、誰がこのガイドラインを読まなければ なないか。読んだ上で、誰がその遵守事項を守らなければいけないかをご理 解いただくために書いています。活用方法は整理し解説を加えていると書い ていますが、中身は次の3頁以下をご覧いただければと思います。非常に原 則的なお話だけを書いています。具体的に例えば情報システムにこういう機 能があった場合に、こういう運用をしなければいけないといったことはほと んど触れていません。つまりそういった対策を実際に計画し作成する。ない しはシステムの使用を決定する立場の人に、こういう考え方で検討しなさい と指示いただけることを前提に書いています。  3頁が責任の在り方です。情報保護責任は紙であれ電子であれ、その医療 機関等の管理者、責任者が責任を負わなければならないわけですが、その責 任を4頁で通常運用における責任、5頁で事後責任と分けて解説しています。 通常運用における責任とは、特に問題なく運用されているときに、一体どう いうことを考えておかなければいけないかを、説明責任、管理責任、定期的 に見直し必要に応じて改善を行う責任、この3つの責任に分けて解説してい ます。  5頁の事後責任ですが、事後責任とは典型的には情報漏えいですけれども、 それが不幸にして生じた場合にどのような責任を果たすべきか。しかもそれ に際して対患者様としては、医療機関等の管理責任者が前面に立って説明し 対策をする責任がありますが、一方で、情報システムというのは医療従事者 がすべてを管理するわけではない場合がほとんどです。その場合にどこまで が責任範囲であるのか。もう1つは情報を提供する場合、委託をする場合で、 委託をする場合というのは、典型的には例えばレセプトの点検を外部に委託 するとかです。そういった委託と、提供は例えば診療情報提供書の形で別の 医療機関に情報を提供する場合で、これは提供した時点で、提供した情報に 関する責任は相手機関に移るわけです。紙やフィルムですといつというのは 人の目に明白ですが、電子情報の場合は間にネットワークが入ったり、間に 媒体が入ったりということで、普通の医療従事者にとっては直感的にわかる ものではないために、それに関する留意等のことが書かれています。  7頁以降は一般的な情報システムの安全対策です。ここは組織の管理者と して特に知っておいていただきたいことで、安全対策というのはその時点で 100パーセントと思っていても、1つは計画に完全を求めることは難しいのと、 もう1つは状況、技術共に変わってきますから、定期的に見直していく必要 があります。そういった考え方をイメージしています。それが8頁から10頁 に至るまで、組織的安全管理対策、物理的安全管理対策、技術的安全管理対 策、人的安全対策ということで分けて簡単に解説しています。ご覧になって おわかりのように、個々の対策に関しては詳細なところは省いています。基 本的な考え方だけをお示ししています。  11頁はペーパーレス、フィルムレスでシステムを運用することを試みる場 合に何が必要か、そのエッセンスを解説しています。11頁が真正性、12頁が 見読性、保存性です。  14頁からは、情報を外部と交換する場合ないしは外部に提供する場合です。 さまざまな情報処理が行われるわけですが、その中には現状でも外部の機関 に情報処理を委託している場合もありますし、患者さん等への情報提供、ま た厚生労働省で取り組んでいるSS-MIXのような規格を用いて、医療機関同士 が患者さんを介して診療情報を交換するといった場合、またそれをオンライ ンで行う場合の心構えというか、簡単な原則的知識を記載しています。改ざ ん、なりすましという言葉はおわかりになる方もいらっしゃるでしょうけど、 通常、医療従事者にとって改ざん、なりすましという言葉は、あまり一般的 ではありませんのでその解説を加えて、16頁では、どういうネットワークを 採用したときに、どのような注意が必要か簡単に解説しています。17頁に至 るまでその解説です。  全体として、資料3にある第4版のガイドラインの極めて濃縮されたエッ センスを何とか17頁にまとめたというところです。ここで一旦、ご意見を伺 ったほうがよろしいですか。 ○大山座長  いかがでしょうか。 ○石垣構成員  非常に重要な解説書で、これを作っていただいたということは非常にうれ しいわけです。資料IIに情報処理業者に関する活動がありますね。直接関係 ないにしても、病院の管理者等がそういったものもちゃんとあって、情報管 理者のほうもそういうガイドラインを遵守していくということが、どこかに ありますかね。1行、2行でいいのですが、それを知っているか知らないかで 契約等のときに責任分界点も含めて、その一言を知っているかどうかで違う と思います。  もう1つ、これは非常に大事なことですが、こういうものを作ったよと言 って、こういう表現はおかしいけれども、放ったらかしにしておくのではな く、例えばそういう病院全部にこれを送ったらいいと思います。病院の中に 部長会とかがありますから、部長会等でこういうものがあるのだということ を病院長が示すことで、管理者だけでなく部門の長も内容に関してどうのこ うのではなく、こういうものがちゃんとあるということを知ってほしいので す。ですから、それは厚労省の方々にお願いしたい。厚労省のホームページ を見れば載っているといった、ふんぞり返った尊大な姿勢でなくて、お金は かかるでしょうけれども、そこまでやってほしいですね。これだけでいいの です。ガイドラインは別に配らなくてもいい。ガイドラインは厚労省のホー ムページに載っているということでいいのですが、是非、それをお願いした い。そうでないとこれを作った意味がなくなってしまうのではないか。専門 家はこれを知っているけれども、病院長は知らないという事態になるのでは ないかと思うので、是非ともそこをよろしくお願いします。 ○秋山補佐  事務局から一言、お答えしますと、ガイドラインを出すときに各都道府県 に向けて通知をもちろん発出しますし、関係団体を通じてご協力いただいて 会員組織の方にお伝えするように周知のほうは考えています。 ○稲垣構成員  大変簡潔にまとめていただいて、ありがとうございます。ただ、こういう ものを出すと、これが医療機関の管理者にとっては当然知るべきものという ことで、何か事があると善管注意義務違反等のこれが1つのベースになると 思うので、よりわかりやすいものを是非作っていただきたいということ。  例えば表紙の「医療情報システムとは何か」と言っても、これが一体どう いう内容を指して、どういう範疇にあるのか分からないと思います。ですか ら、もっと噛み砕いてこの辺を解説したものが必要であると思います。7頁 の「情報資産」という言葉も、情報資産という定義自体が一般的には難しい。 こういうものをもう少し噛み砕いて説明する必要がある。読んでもらうため には、これよりもうちょっと易しいものがいい。しかもこれは「である」調 ですが、もう少し易しい「ます」とか、そういう文体も読みやすく取っ付き やすいものが更にあって、そういうものが全部一体となって、それが医療機 関の管理者、特に医療情報システムを扱う人には、当然、知ってもらうべき であるというふうに整備をしていく必要があると感じています。 ○大山座長  ごもっともなご指摘のような気がします ○山本構成員  作業班でもその点は話題に出ていました。実はこれ以外にここに出してい ないバージョンがいくつかあって、1つは例えばイラストが入っているバー ジョンとかがあります。文体の話は出てこなかったのですが、いま、ご指摘 いただいたような用語のわかりにくい点とかも話題には出ていました。貴重 なご指摘だと思いますので、それは対応させていただきたいと思います。  もう1つは、このフォントがご高齢の方には見にくいという意見もありま して、これも今日はこのフォントでお出ししていますが、実際に病院等の管 理者の目に触れるときには、もう少し濃くてはっきりわかる字にすることも 一応は検討しています。それもさせていただきたいと思います。 ○大山座長  16頁を超えたら、それはもういいかという話、しようがないよね。 ○山本構成員  やればやるほど、少しずつ頁が増えて、ちょっとジレンマに陥っているの です。 ○石垣構成員  インターネット上にこの文章を載せて、難しいところはクリックしたら出 てくるというふうにしてもいい。この中にそういうのを加えるのは難しいで しょうから。でもインターネットができない院長もいるかもしれない。 ○山本構成員  インターネットが使えない病院もたくさんありますから、手に取る形がい いのではないかと思います。いまA4ですが、B5版にすると良いとか悪いと いう検討も一応しています。お配りするのは一形式になるでしょうけど、そ こでダウンロードできるサイトを指摘しておいて、そこにはB5版であるとか 持って分かりやすいものとか、これ自体を少しわかりやすくすると同時に、 もっと詳細な用語解説が付いたバージョンがあってもいいかなとは考えます。 ○稲垣構成員  あと医療機関向けとか、経産省のほうでは産業界でこういうガイドライン を作っているのは分かるのですが、国民の視点に立つと医療情報システムの 安全性ということで、例えば責任分界点ということで責任が切れていきます よね。何かそこにあったときに、一体、どこに自分たちが言っていったらい いのか。その辺の問題がこの中では逆にわからなくなっている。こういうガ イドラインで医療機関とかベンダーなど、それなりに行くに従って、国民に 対しても説明するものが1つ必要なのかなと感じます。 ○三谷構成員  いまの言葉の意味や定義に関して関連する質問が2つあります。5頁の2.2 の責任分界点についてという中で、(1)委託(第三者委託)と(2)第三者提供 とあり、委託のほうは(第三者委託)となっていて、(2)のほうは第三者提供 となっていますが、単純に「第三者委託」と「第三者提供」という言い方で なく、「委託(第三者委託)」としたのには何か意味があるのかというのが1 つです。もう1つは、17頁の下から3行目に、「リスクの受容範囲を見定め る必要がある」とありますが、このリスクの受容範囲というのはどういう意 味なのか、専門外の人から見て理解できるかなと思いましたので、説明をい ただければと思います。 ○山本構成員  まず委託は、一般に委託と言って第三者委託と取っていただければ問題は ないと思いますが、委託の場合は第三者でない委託で、それぞれの例えば委 託契約という言い方をする場合に、患者さん等と医療機関の間での委託とい うのも、診療そのものではありませんけれども、発生しうる場合があるので、 これを明らかにするために第三者委託というのを付けています。第三者提供 は提供という言葉だけではたぶん意味を成さないし、これも個人情報保護法、 ガイドライン等で第三者提供という言葉が使われていますので、そのまま使 っているということです。リスクの受容範囲ですが、言葉が普通の人が理解 できる言葉でなく、セキュリティの専門家が使う言葉がまだ残っているとい う意味で、これは修正をしておきます。 ○大山座長  よろしいですか。先ほどの国民へのメッセージの話というのは、今は答え が出ていないのかもしれませんが、どこがやるのかを考えると、厚生労働省 が出すのがいちばん素直なのではないでしょうか。経済産業省、総務省とい う話ではないように思えますが。 ○山本構成員  そういう一種の広報は必要かとは思いますが、実際の現場でどういうこと が起こるかというと、医療機関の中にある限りは患者さんにとってベンダー 等は全く無関係で、それは医療機関が患者さんに対し、つまり象徴的な意味 での医療機関の管理者が患者さんに対して全責任を負うという原則は、この ガイドラインでは何も変わっていないというか、そもそも変えるべきもので もないということになります。  情報が移転する場合、例えば紹介先に診療情報を送るときにも、今までは 患者さんが自分の紹介状を封筒に入れて持って行って渡しますから、その移 転は明白なわけです。電子化情報で今は媒体を使うことが多いので、媒体の 場合も物が動きますからわかるのですが、もしもこれがネットワークで動く ようなことになった場合、もちろん患者さんの意思に基づいてですが、その ときはどの時点で移ったかというのが直感的にわからない。したがって、こ ういうことが終わった時点で患者様の情報は相手の医療機関にお伝えしまし たという、その時点は明らかにする必要はあると思います。それは実際にそ ういう運用をする地域医療連携のマニュアルなどで、情報を目の前で送れば 瞬時に送られるわけですから、送った上で、確かに向こうに届きましたから、 以後、あなたの情報はそこにありますという説明をしなければいけないこと はあり得ると思います。そういう意味では、紙で運用しているのと情報主体 が変わるわけではないということは、明確にしたほうがいいかもしれないで すね。 ○稲垣構成員  そういうことなのですが、確かにそういうことがわかっている人はそれで いけますけれども、全くわかっていない方の最初の相談窓口はどこなのか。 ○山本構成員  医療機関です。 ○稲垣構成員  医療機関とも限らない。医療機関はそれは解決できませんから、これは例 えば厚生労働省のどういうセクションが、そういうものを担当しているのか。 そういうことをきちんと情報提供する必要がある。これからネットワークが 更に広がっていけばいくほど、そういうトラブルというのはいっぱい出てき ます。それをすべて医療機関に1次的な窓口だとして来ても、それは全くわ からない人がやるわけですから、統括的に全部を知っている人がきちんと対 応して、これは医療機関に問い合わせてください、これはこちらですという 適切な組織を提示する必要があると思います。 ○冨澤室長  いまのご発言ですが、昨年度より地域の医療情報化に貢献しうる人材育成 のための研修を地方自治体の職員を対象に実施しております。厚生労働省に すべて情報を提供して欲しいとか、相談して欲しいと言われましても、全部 を捌ききれるわけではないというのは、おそらくご理解いただけると思いま す。そういう自治体の方々を通じて厚生労働省のホームページとか、あるい は自治体のほうにおいても先生がおっしゃったような内容を提供いただける ような形で、厚生労働省のホームページなり県なりにお願いして、情報提供 に努めるようにしていきたいと思っています。いずれにしても、いずれかの 形で公的機関が関与していく形で考えたいと思っています。 ○大山座長  皆さんから他にも意見がおありかと思いますが、いまの件で気がついたこ とに触れさせてください。例えば健診の結果等を、ご本人にネットワークを 介して渡すようなことも想定されると思います。健診機関をはじめ医療機関 は、ご本人に安全に渡すような仕掛けについては、このガイドラインの範囲 で書いてあるので、しっかりと対応していただけると思います。  ところが、受け取ったご本人が安全性に関する配慮が不十分で、不用意に ネットワークに流してしまうことを考えると、本来は本人の責任という言い 方になるのかもしれませんが、医療機関あるいは他の所から漏れたのではな いかという争いになることが有り得るのではないかということが少し気にな ります。受け取った側が、その後にどういう対応をすべきか。あるいは何に 注意しなければいけないのかについては、十分にお伝えする必要があるので はないかと思います。そこに稲垣構成員の言われた話がつながるのかなと思 った次第です ○山本構成員  それはまだ作業班で十分検討はされていませんが、2番目の議題で触れた いと思います。 ○大山座長  もう一つ、違うことで恐縮ですが、11頁のところが気になるので見ていた だきたいとおもいます。真正性の確保のところのポイントで2つ目の段落の 「また」以降で、「記名・押印が必要な文書については、電子署名、タイムス タンプを付すことが必要である」と言い切っていますが、タイムスタンプが 必要と言い切れたのでしょうか。そこがちょっと気になりました。 ○山本構成員  第2版、第3版から、ずっとガイドラインでは言い切っていますので特に 変更はしていません。 ○大山座長  昨日、別件で、公的個人認証サービスにおける暗号の危殆化に対応する移 行のスケジュールの検討を行いました。その時、暗号手法をより高度なもの に切り替ると、それまでの電子証明書が自動的に使えなくなります。通常の 有効範囲ではなく、危なくなったから止めるということが起きるわけですが、 そのときに署名の長期化の議論と共に出てきていたものの中に、長期的に署 名を確認できるようにすべきではないかという議論がありました。電子署名 は、暗号アルゴリズムを変える、変えないにかかわらず、そもそも署名を検 証する時点でしかその有効性の確認できない、言い換えるとその都度確認し なければならないのです。だから、電子証明書が有効な間にその有効性を確 認してさらに次の署名を加えるという手法で、実質的な有効期間を延ばそう としていたわけです。この追加的な署名の一つとしてタイムスタンプが出て きていました。  今更そう言うなと言われるかもしれませんが、通常の概念で言うと記名・ 押印が必要な文書では、タイムスタンプが必須とは言い切れないのではない かと思ったので申し上げました。 ○山本構成員  平成17年のe・文書法の施行の際に納税に関わる書類、つまり領収書等を 電子化して扱う場合のルールが我々よりも先にできたのですが、そこで電子 署名とタイムスタンプが必須というふうに書かれていたのです。それで領収 書に必須なものを、健康情報、医療情報が書かれている文書で要らないとい うのは、ちょっとまずいということでタイムスタンプは必須にしています。 理論的にもタイムスタンプが信頼できれば、タイムスタンプが付された時点 で電子署名がされて、それが有効かどうかということが一応は確認できると いう意味で、タイムスタンプはこのガイドラインだけでなく、厚生労働省の e・文書法における記名・押印が必要な場合は、タイムスタンプは必須として います。それは署名の方法の議論、暗号の寿命の議論等で、いずれは見直す 必要があるのかもしれません。 ○大山座長  これはでも、医療機関が作った文書に自分が署名するのですよね。 ○山本構成員  はい。 ○大山座長  だからタイムスタンプという話になっているのですよね。 ○山本構成員  そうです。 ○大山座長  さきほどのは、一般的に相手に渡った時点の話を言っているので、検証者 が違う人だから、そういう整理はできるのかなという気もします。逆に心配 したのは、署名に加えてもう1つタイムスタンプだから、ハードルが2つに なるので面倒だと言う人が医療機関側に多くいるのではないかと心配したの です。それは今のところないのでしょうか。 ○山本構成員  使われていないわけではなくて、そういう意味ではタイムスタンプをセッ トにしたサービスが結構ありますから、実際は使われているのだとは思いま す。特にe・文書法対応でやる場合は、そうだと思います。 ○大山座長  HPKIとセットにはなっていないのですか。 ○山本構成員  HPKIも、署名に使う場合はタイムスタンプを必須にしています。 ○大山座長  2カ所からサービスを受けてということですね。 ○山本構成員  そうです。 ○大山座長  HPKIは、日本医師会もサービスしていますね。そこはタイムスタンプのセ ットのサービスができるようになっているのですか。 ○矢野構成員  セットでできるようにはなっています。 ○大山座長  では実態はあるのですね。すみません、整理のためにこんなことをあえて 申し上げました。ほかに皆さん方、いかがですか。 ○山本構成員  言葉の問題はまだ確かに、ご指摘いただいたように少しありますので、こ れは見直しをさせていただきます。 ○大山座長  情報資産という言葉は、まだ出て来てから10年経っていないような気がし ます。その前は情報資源という言葉も使っていたと記憶しています。いかが ですか。それでは山本先生、続きの説明をいただいてよろしいですか。 ○山本構成員  わかりました。次は資料3をご覧ください。資料3は医療情報システムの 安全管理に関するガイドライン第3版を今回、作業班で改定作業を行って、 第4版(案)としたものです。中身を見ていただくと赤で修正部分が明示さ れていますが、これは修正部分が完全に全部出ているわけではありません。 あまりにも修正部分が膨大ですので黒字でも修正されている部分があります が、そういったところは私が説明する大きな部分を除くとほとんどは字句の 問題ですので、その点はご承知おきください。  いちばん最後の頁が132頁で20頁ほど減りました。それが1つです。これ は修正部分を印刷するために少し小さく出ていますが、正式に印刷すると字 の大きさは同じになるだろうと思います。表紙、改定履歴とありますが、改 定履歴の第4版はまだ書けていません。1頁の「1 はじめに」から簡単に説 明させていただきます。ここはほとんどは字句の問題ですが、ごく一部、ち ゃんとした省令、通知等の名前が正確でなかった部分がありましたので、そ れを他の部分と同じフォーマットで表示するように変えています。改定概要 は第4版がまだできていません。  次に7頁、8頁ですが、7頁はほとんど字句の変更だけで、ややわかりにく かった文章を書いただけです。8頁は対象システムと対象情報です。これは 構成員の先生方はご承知かと思いますが、このガイドラインは実は平成11年 の電子保存容認通知以降、作成されたいくつかのガイドラインをベースにし て、平成17年にいまの形にまとめたものです。そういった履歴というか素性 がありますから、ここで第7章というのは電子保存をする場合、ペーパーレ ス、フィルムレスで運用する場合で、それに関しては通知が何度か出ていま す。その通知で対象となる文書を指定しています。何度か通知が出ていて、 ここの記載が若干不統一になっていたのを統一しました。第9章に関しては e・文書法の厚労省令並びにその施行通知で指定された文書を正確に書いてい ます。第8章は外部に保存する場合の通知で、これも通知が複数回出ていま すので、最新の通知に合わせて記載の揺れを修正しています。  10頁の3.3章は、外部保存だけではなく、e・文書法の厚労省令の施行通知 に含まれていないものもありますので、そこに関して言及していることにな ります。4章は電子的な医療情報を扱う際の責任のあり方です。先ほど資料2 の責任のあり方のところで説明した内容を、より詳細かつ具体的に記載して、 これは第3版で樋口構成員にお願いして原案を作っていただいたものですが、 内容は変わっていません。若干、文書のフォーマットを変えたり、ほかの章 と言葉使いの統一を図るということで修正しています。ないしは1文であっ たのを箇条書きに改めたり、用語をほかの章と統一する意味で変えています。  22頁で第5章の情報の相互運用性と標準化について、これは第1版のとき に作成したものがそのまま第3版まで引き継がれていたのですが、ご承知の ように各標準規定と申しますか、そういったものがずいぶん改定されていま すし、それ以降、経済産業省のほうで相互運用性実証事業ということで、非 常に精力的に医療情報の相互運用性を高める事業で成果を出されていること があり、それもドキュメントとして利用可能ですし、情報の相互運用性とい うのは実は情報の安全性にとって非常に重要で、医療情報の場合、そのとき 利用できればいいというわけではなく、必要である限り2年でも3年でも、5 年でも10年でも利用できないといけないわけです。その際、情報システムを 用いてシステムが入れ替わってしまうと読めないということがあってはいけ ない。それは情報が利用できないということで安全性が損なわれるわけで、 それに対応するために、この部分は全面的に書き換えています。現状で利用 できる、ないしは利用すべき標準や相互運用性を確保するための要素を、す べて網羅しています。  26頁で第6章の情報システムの基本的な安全管理は、それこそレセプトコ ンピュータだけ導入されている医療機関、患者情報を一応格納して整理がで きるような、例えば画像撮影装置といったものだけを入れている医療機関で あっても、遵守しなければいけない個人情報を含む医療情報を扱うすべての システムに適用される基準ということで、この6章はあります。ここで書き 替えたところは基本的に曖昧な部分を明確にしたのと、第1版並びにそれよ りも前のガイドライン等に含まれている記載は、こういったガイドラインを 初めて世に問うということもあり、かなり入念に解説をしている部分があり ました。それは特に7章で著明なのですが、6章でもそういうところがあっ て、あまり解説がくどいところは少し割愛しています。  Cの最低限のガイドラインと言われている、すべての医療機関が対策をと らなければいけないことに関しては、できるだけ曖昧さがないような記載を 心がけて微修正をしています。あと技術の進歩に従って、若干見直さなけれ ばならないところがいくつかあり、具体的には申し上げませんが、そういっ たところを現状の技術で妥当なところということで改定をしています。特に 利用者を識別するログイン時の作業で、誰が、いつ、その情報に触れたかと いうことは非常に重要ですから、それを入念に記載するようにしています。 6.6章までが主にそういう基本的な対策です。  46頁で6.7章は情報を破棄する場合です。もともと外部保存を委託してい る場合を長々と書いていましたが、基本的な考え方は変わらないということ と、8章の外部保存の項に同様の記載があるということで、ここは短くして います。  47頁で6.8章の情報システムの改造と保守ですが。これは診療報酬改定等 で医療情報システムには必ず行われるということで、ここも冗長であった部 分を少し削っているということです。  49頁で6.9章の情報及び情報機器の持ち出しについてですが、ここで内容 的に余分なことまで書いているところがありましたので、そこは削除してい ます。余分というのは、情報の持ち出しではなくて外部からのアクセスにつ いての記載があり、それは別項に移動しました。51頁で6.10章は大きな変 更はありません。  54頁で6.11章は外部と個人情報を含む医療情報を交換する場合の安全管 理、つまりネットワークを介して診療情報、医療情報、健康情報が動く場合 の話です。先ほどの情報が動いたときの責任分界点等は4章に移行しました ので、ここではその点を参照することを前提に、それ以外の項目が書かれて います。これは3章から変わりありません。  この6.11章は長いのですが、前半は主に字句の説明、字句の訂正で、67 頁をご覧ください。B-3 従業者による外部からのアクセスに関する考え方と いうのは、6.9章に少しあったのですが、やや中途半端な書き方でしたので、 ここで改めてきちっと表記するようにしました。これは医療従事者不足の問 題があって、テレワーク、過重な労働の軽減という意味で、こういったこと を考える医療機関が増えることを前提に、この部分に対する考え方をまとめ て書いています。要は外部にアクセス機器があると、その外部のアクセス機 器を病院等の管理者が十分管理できない場合がある。そういう場合には、そ れ相応の対策をとらなければいけないことが書かれています。  同じことでガイドラインそのものですが、70頁でDの推奨されるガイドラ インです。「やむを得ず、従業者による外部からのアクセスを許可する場合は、 PCの作業環境内に仮想的に安全管理された環境をVPAの技術を組み合わせて 実現する仮想デスクトップのような技術を用いると共に運用等の要件を設定 すること」と書かれています。  72頁で6.12章は電子署名のところですが、先ほど大山座長からお話があ った暗号の危殆化です。2014年以降、いま主に使われている暗号の一部はも う使わないほうがいいということで、変更する可能性があるみたいなことが 書かれています。以降、タイムスタンプ等の記載は特に変えていません。  75頁で7章ですが、7章は実はかなり大きく変えました。内容を変えたわ けではないのでが、1つは根拠となる厚労省令です。以前は平成11年の電子 保存容認通知だったわけですが、平成17年にe・文書法が施行され、e・文書 法に基づく厚労省令並びにその施行通知が7章の根拠制度になりますので、A の制度上の要求事項の文章を、そういったことに対応したものに変更してい ます。これは真正性、見読性、保存性のすべての項目に対して対応していま す。  大きな違いは76頁のBの考え方です。ここにさまざまなユースケースを図 示した上で、かなり詳細に解説していました。ここの部分は、実際にそれぞ れの医療機関が該当するユースケースはすべてであるわけではなく、そのご く一部であるということもありますし、全体のボリュームがここだけでかな り長くなってしまうこともあって、このガイドラインが確定したら、このガ イドラインに対するQ&A集を作ることを作業班で検討し、具体的な場合に関 する対策はQ&A集のほうに移す方針で、ユースケースを例示して対策を記載 した部分を割愛しました。あとは日本語として意味が通じにくかったところ を主に変更したり、曖昧であったところを変えました。  割と大きな変更になると思われるのは、79頁のC.最低限のガイドラインで す。この項に旧版ではD項があったのですが、D項は全部削除しました。D項 からC項に上げたというわけではなく、C項の対策を確実に実施することで 十分説明責任を果たせるということで、D項はすべて削除しました。  82頁で7.2の見読性の確保についても、先ほどの真正性の考え方と同じで、 A.の制度上の要求事項の根拠制度となる文章を変更しています。C.の最低限 のガイドラインだけにして、ここはDは残っています。見読性は、より素早 い見読性ないしは十分なタイムスパンをもった見読性を確保することは、D 項に移行しています。  保存性に関しても、見読性とほぼ同じ趣旨で改定しています。これもD項 のボリュームが減っていますが、まだD項に残っています。中身がそれほど 変わったわけではありません。  中身が変わった点としては、次の8章の「診療録及び診療所記録を外部に 保存する際の基準で、第3版のときに、電子媒体で保存する場合、紙・フィ ルム媒体で保存する場合は、情報システムの安全管理と直接関係がないとい うことで、付則に回しました。8章の中身のほとんどは、ネットワークを介 して、情報を外部に保管する場合についての基準です。  最初の8.1の記載、8.1.2の対象となる委託する機関の選定基準は、医療 機関等である場合、医療機関等が設置した医療機関に準ずる場合、自治体、 行政機関等の公的な機関に委託する場合、民間事業者に委託する場合という ことで、分けて解説した上で、Cのガイドラインでその中身の規定をしてい ます。ここは3版と基本的には変わっていません。  変わったのは99頁の8.1.3の「個人情報の保護」です。外部保存のガイド ラインは、先ほど申し上げたように、このガイドラインは先行するいくつか のガイドラインを統合したものです。平成14年に診療録等の保存場所に関す る通知が出ていまして、そこで医療機関等が設置する機関に対しては、外部 保存が認められていたわけですが、その際には個人情報保護法がまだ実施さ れていなかったことがありまして、個人情報保護に関する記載がかなりたく さんありました。  一部、個人情報保護法よりもかなり厳しい記載がありまして、外部保存を 行う前に、必ず患者の同意が必要であるとありました。  平成17年でこれを削除することも検討されたのですが、何分まだそれほど たくさん行われていることではないということで、そのままに放置しており ましたが、この第4版では、個人情報保護法並びに厚生労働省の医療介護事 業者における個人情報の適切な取扱いに関するガイドラインと、中身を同じ にしました。つまり、これは第三者委託に相当する作業になりますので、説 明をして理解をする必要はあるけれども、「あらかじめ明確に同意を得る」と いう事項を削除しています。  8.4の「全般の留意事項」で、これは外部保存終了時にどういった対策を 取らなければいけないかに関して、消去の問題も含めて記載しています。  9章のもともと紙で患者が持って来た診療情報提供書ないしフィルムで持 って来た放射線画像等を、平成17年にe-文書法が施行されて、適切な精度 でそれを電子化することによって、電子化情報を情報の本体として扱うこと ができるというルールになったわけですが、その対応としては、制度上の要 求事項を第3版では、省令、通知、このネットワーク基盤検討会での議論の 過程での通知(案)が混在していたので、ここは現状の省令及び通知文に置 き換えました。  中身は若干変わっていまして、平成17年に作った第1版では、紙媒体のス キャナでスキャンする場合には、「300dpi、RGB各色8bit」という、具体的な 記載をしていましたが、1つは、最近はこの程度が当たり前というか、この 程度の精度はかなり安価なスキャナを使っても十分達成できていることもあ りますし、本来は診療等の用途に差し支えない制度でスキャンしていただく ことが重要であるということで、ここは具体的な数値を削除して、「診療等の 用途に差し支えない精度」と変えました。  それから、スキャンした画像情報の形式をTIFFまたはPDFと指定していま したが、これもこの2形式だけがいいというわけではありませんし、「汎用性 が高く、可視化するソフトウェアに困らない形式」と少し抽象的な表現に変 えています。  10章の運用管理規定は、いまご説明申し上げた1から9章の変更内容を運 用管理規定を作る際の項目として、追加並びに語句の修正を行っています。  119頁の付則1で、「電子媒体による外部保存を可搬媒体を用いて行う場合」、 これはCD-ROM、DVD-ROM等に保存した情報を外部に保管する場合ですが、こ こも先ほどの8.1.3のオンラインでやる場合と同様に、個人情報保護のとこ ろで「事前に同意を得る」というのを、「説明し了解を得る」に変えています。  126頁の付則2です。これは紙やフィルムで外部保存を行う場合ですが、 ここはもともと同意を原則にしていましたが、これもそれ以外の2つの場合 と同様に「説明をし了解を得る」という表現に変えています。第4版の現状 作業班で作成した案についての説明は以上です。  検討の過程で、ガイドライン自体をできるだけわかりやすくした上で、論 理的にも明快にする過程で、先ほどの経済産業省の綴じた資料にあるガイド ラインを作成していただいている部署、総務省でASP・SaaSのセキュリティ ガイドラインを作成いただいている部署にも参加していただいて、このガイ ドラインと対応が取れるような形で検討していただくことをお願いしていま す。以上です。 ○大山座長  これを見ていると、時代の変化が見えますね。ご意見、ご質問はございま すか。 ○稲垣構成員  今回新たに追加された第5章の「情報の相互運用性と標準化」ですが、こ こは特異な感じがするのです。医療機関に対するガイドラインといっても、 この5章については、どういうガイドラインを守ればいいかがよくわからな いのです。これはほとんどベンダーのほうの問題かと思いますが、いかがで しょうか。 ○山本構成員  1つは、これは追加された章ではなく、書き換えただけで以前から存在し ます。  おっしゃるように、こういった規格を実際に採用するのはベンダーの仕事 にはなるわけですが、ご承知とは思いますが、こういった標準的な用語コー ドを使う、情報を標準的な形式で外側に出すことないしは取り込むことがで きるというのは、非常に重要ではありながら、ある意味ではシステムのベン ダーを超えた交換を容易にするという意味では、ベンダーにとっては、重要 性は理解するもののそれを実装することによって自分たちの顧客を失うかも しれないというジレンマがありまして、採用する側からこれを要求しないと、 進まないという側面があります。  したがって、ここはC項、D項はありませんが、これを読んでいただいた 上で、新たに情報システムを導入する場合に、こういった点は大丈夫かと聞 いていただくことが重要なので、ここの記載をしています。  もしこれが守られなかった場合に、例えばペーパーレスの電子カルテを運 用して、ある時点で電子カルテを違うベンダーに変えたときに、机の上には 2つの電子カルテを開いておかないと継続した診療ができないという悲惨な ことになりかねないのです。そういうことで、医療機関側にも十分に理解い ただく必要があるということで、この5章はもともと存在していました。そ れが、そこに書かれている標準とか何とかが古くなって、もう新しい版がで きて、そちらが世界的にも使われている状況になっていたので、そこを改定 すると同時に、その後の我が国の取組みの進歩で利用できるものが増えまし たので、そこを追加しました。 ○稲垣構成員  このガイドラインとして、もしもここへ書くとしたら、このような規格と か基準ではなくて、相互運用性とか標準化によって起こり得る、何かに対す る医療機関のガイドラインが本来ここに書かれるべきではないかと思います。 その辺の記載がないような気がします。 ○大山座長  メッセージとしては、いま山本先生がおっしゃったとおりなのです。これ については、工業会の代表の方たちからはご意見はございますか。 ○篠田構成員  一部我々のほうで作らせていただいたものもあるのですが、現在使える状 況のものはこういうものがあるということを、ここでは明記したということ です。確かに技術の発展によってどんどん変わるものですので、そのために こちらのガイドラインを書き換えなければいけないということでもないと思 いましたので、いまはこうなっています。  それから、先ほど山本先生が言われましたように、基本的に仕様書はユー ザーに書いていただくものですので、前段のほうは、そういった仕様書が出 てくればそれに従わざるを得ないところがありますので、どちらかというと、 こういったことを記述することによって、こういったものの重要性を理解し ていただくということで、ここに書かせていただいています。 ○吉村構成員  確かにこれは医療機関向けのガイドラインではあるのですが、必ずベンダ ーも参照していまして、ここに書いてあることをなるべく実装する方向にあ ります。ここに書かれていることが1つのバイブルにもなっていますので、 こういった規格を載せていただくことで、ベンダー側の実装が進むところが ありますことをご理解いただきたいと思います。 ○足立構成員  製薬協の立場から治験を視野に入れてお話させていただきます。いま治験 でEDCということで盛んに行われていますが、実際は先生方が手入力してい る状態です。というのは、電子カルテから統一した情報が取れないというこ とがありますので、こういうスタンダライゼーションが進まないと、本当に 役に立つ電子化、IT化が進まないと思います。稲垣先生がおっしゃっている ように、書き方は違うかもしれませんが、こういうものは是非進めていただ きたいと思います。  また、ここに標準マスターの件が入っていますが、実際は病院ごとで標準 マスターを改定して使っているので、中身は似て非なるものになっています ので、その辺りも今後の日本の発展のために必要だと思っています。 ○大山座長  いまの話を伺っていると、稲垣構成員がお話になられたことを勘案して、 ちょっと書き振りを変えることが必要なのかと思います。ただし、内容につ いては構成員の皆さん方がご同意いただけている気がするので、もし違う意 見があればお聞きしたいと思います。標準の話はメッセージとしてここに残 しておいて、もう少し医療機関等にわかりやすいものを書いたらどうかとい うことであると思います。ご異論がなければそのような対応をさせていただ くので、山本構成員のほうでご配慮いただければと思います。 ○山本構成員  わかりました。 ○大山座長  参考までにこの扱いをどうするかを教えていただけますか。今日これでフ ィックスするわけではないのですよね。 ○秋山補佐  そうではございません。本日いただいたご議論を基に、作業班で修正して、 次回の検討会に出させていただきます。 ○大山座長  ほかに何かございますか。 ○三谷構成員  68頁の辺りに関連する話で、B-4「患者等に診療情報等を提供する場合の ネットワークに関する考え方」というのがあります。「診療情報等の開示が進 む中、ネットワークを介して患者または家族等に診療情報等を提供する、も しくは医療機関内の診療情報等を閲覧させる可能性が出てきた」とあります。 いまインターネット等の利用が進んでいて、ここでは医療機関が患者に情報 を見せる形が記載されていますが、患者が自分の情報をデータベース等を利 用して、そこに医療機関もしくは医師がアクセスすることを許可するという 利用シーンが出始めているようなのです。 海外ではそういうものが公的機関あるいは民間保健会社等が利用を推奨する レベルになってきていて、日本においても健康情報活用基盤等の整備が進ん でいると思っていますが、すでにそのようなサービスが利用され始めていま す。まだ日本では目立った動きはないようですが、すでにそのようなサービ ス提供を準備しているところもあるかもしれないと思うのです。  その場合に、2〜3年前までは対象にならなかったかと思うのですが、医療 情報を提供する際の責任分界、また提供を受けた場合の責任分界の捉え方は どうなるのか、このあといろいろな国のそのような施策に関連して検討され るかとは思うのですが、このガイドラインのどこかで解釈できるのか、ある いは何かなければいけないのか。今後の発展性を踏まえての質問ですが、い かがでしょうか。 ○大山座長  次の議題にも関係していると思うので、ちょっとお待ちいただけますか。 次の議題に入って、説明をいただいた上で、もう1回その話が出てくると思 います。  ほかにこのガイドラインに関してございますか。 ○永池構成員  情報を提供する際の説明責任の中で、死亡者に関する情報の場合の説明の 相手というのは、すでに何か記載されているのでしょうか。また、それはこ こには不要なのでしょうか。いまの現状をお教え願いたいのですが。 ○山本構成員  ここで記載する問題ではなくて、個人情報保護法でいうと、上のガイドラ インにある「医療介護事業者における個人情報の適切な取扱いに関するガイ ドライン」がありまして、そこで個人情報保護法自体は生きている人の情報 が対象ではありますが、医療機関の場合は生きている人の情報だけに言及す るわけにはいきませんので、そこで亡くなった場合の記載があります。それ は電子情報であろうと、紙の情報であろうと、全く同じことですので、そこ に関してここでわざわざ記載はしていません。 ○大山座長  樋口先生、いまのことについて何かコメントはありますか。 ○樋口構成員  いま山本先生がおっしゃったとおりだと思います。 ○大山座長  お聞きになりたいのはどうするのかということではないかと思うので、ガ イドラインの内容を紹介できるのであれば、そのほうが良いと思うのですが、 いまここにはないですよね。 ○秋山補佐  いまはないです。 ○大山座長  そこは改めて提供していただいて、ご説明を。 ○秋山補佐  申し訳ございません。事務局からご案内差し上げるようにします。 ○大山座長  ほかはよろしいですか。なければ資料4に移ります。議事2「個人が自ら の医療情報を管理、活用するための方策等に関する事項」です。資料4を作 成いただいていますが、この資料と作業の進捗状況について、山本構成員か ら説明をお願いします。 ○山本構成員  議事2「個人が自らの医療情報を管理、活用するための方策等に関する事 項」というのは、作業班でそれほど検討が進んでいるわけではありません。 そこで、この資料4はその中のごく一部ですが、情報を患者ないし医療機関 同士、検診情報であれば相手が保険者である場合もあるでしょうし、さまざ まなところに渡るわけですが、その際の責任のあり方を明確にするために、 相手が本当にその人であるかをきちんと確認するないしは渡すほうが正規の 渡し手であることを明らかにする意味で、ネットワークを介した上で相手を 公的に確認できる、これは地域医療連携で、1つのグループをつくっている 場合は、それぞれの中で約束事を決めておけば相手が誰かの確認は簡単なの ですが、特定検診とか、それ以外の情報も含めてですが、初めて顔を見ると いうか、ネットワーク上で対峙する人に対しても、これからは情報を渡す必 要性が生じてくる可能性があると思われます。  そういった場合に、自らがどのような立場でその情報を渡すのか、それか ら相手がどのような立場でその情報を受け取るのかを、ネットワーク上で確 認できる手段。基本的には電子署名と同じ、公開鍵暗号のような技術を使う わけですが、署名ではなくて、相手の立場を確認するという認証という意味 での電子署名技術、法的な電子署名という意味ではなく、技術的な電子署名 を使う方法がありまして、それを例えばかなり広いドメイン、例えば我が国 全体といったところで利用することが妥当かどうかを含めて、少し検討を進 めてきました。  ここにお示しした図は、その検討の過程で対象としたユースケース、つま りこのような場合にこういう認証はどういう要件があればいいのかというこ とを検討する材料のごく一部で、ここに書いてあるケースだけを検討したわ けではなくて、もっとさまざまなケースを検討しています。  それから、この図はちょっと簡略化しすぎていまして、例えばケース7な どを見ると、基本的には検診結果が保険者に行くときにどこを通るかとか、 そういったことが単に情報の流れだけを書いていますが、本質的には、これ が誰の責任でここに移るのかの記載がありません。図の問題で、実際に検討 するときには表形式で、誰の依頼で、どの情報がどこに行くときに、相手を どう確認すれば安全なのかの検討を進めてきました。  この図の説明はそれだけですが、それ以外に先ほどからいくつか話が出ま したが、いまアメリカを中心として、民間事業者が健康情報を預って、個人 が活用するようなサービスがいくつか出てきました。それから、民間事業者 ではなくて、公的な機関がそういうサービスをするのが、ヨーロッパ中心に あります。我が国でも、IT新改革戦略で、生涯にわたって健康情報を活用す るとことが出てきていまして、それに基づいてさまざまなモデルが検討され て、一部は実証事業に入っている状況があります。  その際、医療にかかわる情報、健康にかかわる情報が、ご本人に渡るわけ で、そのご本人の意思に基づいてそれが活用されるというのが、基本的な構 図と考えますが、如何せん医療情報に関しては、一般の方がその価値をすべ て理解できるというわけではないかもしれない。つまり、ご本人が危険性に 気づかないうちにその情報が流通してしまうという危惧が、全くないわけで はない。  そういったことを防ぐためには、どのような対策が必要か。これは検討し ているガイドラインに記載できるような対策もあるかもしれませんし、そう ではなくて、その情報を医療機関ではないところが利用することを制限する ような方策が必要かもしれませんし、それが指針でいいのかもしれませんし、 法律が必要なのかもしれません。そういったことを含めて、これから作業班 で検討して、素案を作って、この検討会でご審議をいただきたいと考えてい ますので、このガイドラインとサマリーの作業が一段落つきましたら、今後 は議題2にある、情報を医療機関だけが預っていた時代から、特定検診であ れ何であれ個人に渡っていって、その後活用される時代に移行していくと思 われるので、その際に一般の人、患者等が不要な被害に遭わないような対策 について、認証基盤を含めて検討を進めていくように計画をしています。資 料4に関する説明は以上です。 ○大山座長  三谷構成員、いまの状況からお話がありましたらお願いします。 ○三谷構成員  いまおっしゃられたとおりだと思うのですが、従来なかったような利用シ ーンなので対応が難しいかと思います。順次対応するようなところもあるか と思うのですが、そういうものがすでに始まっていることもあって、今回出 てくる第4のバージョンのどこを見れば参考になる、というのを提示できる かどうかだと思うのですが。 ○山本構成員  第4版に記載すべき内容はあるかもしれないとは思いますが、逆にこの検 討会で検討する範囲外の世界もあるかもしれないと思うのです。その辺りを、 全体像を踏まえた上でガイドラインに反映させないと、一方だけをやっても 全く意味がない。それをやれば安心というような、変な安心感を与えてしま う可能性がありますので、そこはもう少し検討を進めてから、このガイドラ インにどう反映させるか、必要があるか、第4版ではなく第4.1版になるか もしれませんが、そこは検討したほうがいいのではないかと作業班では考え ています。 ○足立構成員  この話は難しい問題を孕んでいると思います。この中にも「治験」という 言葉が1つ出てきています。治験を特別視してくれという意味ではないので すが、いくつかの場合分けができると思っています。個人情報が付属されて いる場合、患者が特定されている場合と、治験のように完全にマスクされて、 個人情報が特定できなくなっている場合です。あるいはこの中にもあります が、患者本人が望んで、私の情報はすべてここに預けたいのだという場合と、 そうではなくて紹介するからということで、仕方なく送らなければいけない 場合です。そういう場合分けが出てきて、それごとに必要とされる要件は違 うと思うのです。そこら辺を注意深く議論しなければいけないので、早急に 結論を出すことは危険なのかと思っています。 ○山本構成員  もちろん場合がたくさんあって、それごとに要件が違うのは当然です。こ こで書かれているユースケースも、それぞれについて要件は全部違います。  それから、個人情報が特定できる、特定できないというのも、その2つし かないわけではなくて、難しい、簡単というのがあります。ですから、その 辺も含めて精緻に検討しなければいけません。  そういう意味では先ほどから三谷構成員がご指摘のように、いますぐこの ガイドラインに何かを書くというのは、時期尚早だと思いますので、十分に 検討してご報告させていただきたいと思います。 ○足立構成員  そういう検討をしていますというのは必要かもしれないですね。 ○三谷構成員  先ほどの68頁で、「医療機関の診療情報等を患者に閲覧させる可能性も出 てきた」とありまして、「可能性」という表現です。ところが、すでに患者か ら医師に提供となってきているので、詳細は決める必要はないかと思うので すが、そういうケースがあるということを一言書くか書かないかは検討があ っていいのかと思います。 ○稲垣構成員  これを全部見させていただいて、基本的には医療保険制度の中の医療の中 から出てきたデータを、さまざまに活用するということで、現行の医療保険 制度というのは、このような仕組みではできていません。ですから、医療保 険制度の全体の仕組み自体の問題ですので、簡単に本検討会だけでどうこう という問題ではないと思います。 ○大山座長  どこがやるかは別にしても、健康情報にしろ、医療情報にしろ、患者さん あるいは一般の市民の方が手に入れたときに、不用意に扱ってはいけない、 十分に注意してくださいというのをどう伝えるか、基本はそこにあると思い ます。  医療機関向けのガイドラインとすると、医師に言っていただくことがいち ばん有効なので、医師から伝えてくださいとお願いをすることになるかと思 いますが、まだ現時点で答えがあるわけではありません。このようなことを 三谷構成員は期待されていますか。 ○三谷構成員  期待というか、実際にそういうのがどうなっているのかを試してみたので すが、アメリカですでにあります。月単位の利用料を取ってやっているとい うのがあって、我々がそこを利用できるのです。あくまでも英語なのですが、 英語で入れて、薬歴情報とか、こういう治療を受けているということなどを 入れて、それをドクターに、ここへいけば見られますと。簡単にできるので す。仕組みはアメリカで提供されているのですが、日本にいて日本人が利用 できます。  そういうものに興味があるドクターがいれば、試してみたいというケース も出てくるのではないかと思います。日本ではこれからなのでしょうけれど も、国を越えても利用できるところでの質問です。 ○大山座長  サービス事業者が外国にあると、ガイドラインも法律も効かないから、そ こは簡単ではないですね。業としてなさるほうには制限を掛けることはでき るかもしれませんが。 ○山本構成員  いますぐ結論を出すには大きすぎます。ただ、この検討会で全体の結論を 出すのは、個人的には無理だと思っているのですが、ただ、こういった問題 はいろいろなところでこれが必要であると言わないと、どこも検討しない状 態が続くというのはよくないと思います。したがって、現にいま特定検診は ご本人に行っていますし、レセプトなり明細を出せとなっていて、その明細 は向こうに行っているのです。行った情報をどう扱えばいいのかという説明 が、本当に十分なのかどうかというのはよくわかりませんし、それを誰が扱 っていいのかという問題も、まだ未解決だと思うのです。  その一方で、どんどん情報だけが流れていっているという状況で、そこは 少し全体的に場合分けをして考えておかないと、事故が起こってからでは遅 いと思います。  薬にしても、調剤薬局でいただけば、必ず服薬指導書というのがきて、あ れを全部集めていけば、その人がどのような薬を飲んだかはわかるわけで、 それを解析するだけでその人がどのような病気の経過だったかは、おおよそ わかるわけです。でも、そのような情報だと理解せずに、皆さんはあの紙を もらっています。それが、仮に電子化した場合には、もっと容易に収集でき ますし、蓄積できるようになるわけです。そこは予めこういった情報はどう 扱うべきだということを、いろいろな面から議論しておく必要があるのでは ないかと思います。 ○足立構成員  ただそういう情報を一元管理しておかないと危ないという状況も、いまも あります。生物製剤、抗体製剤がどんどん出てきていて、一生に1回しか使 えないというものもありますので、そういうものは患者はわかりませんので、 そういう情報を一元管理して、ドクターがそれを見て理解する仕組みも一方 では必要になってきています。 ○山本構成員  それを医療機関で管理したら、それが一生涯使えるのかというと、それも また問題なのです。転院しますので。 ○土屋構成員  そこら辺はいま実際に使われているものとしては、「お薬手帳」的なもので、 それをどう管理していくかというのはありますが、それをここのタイトルに あるように、個人が自らの医療情報を管理、活用するためなのか、あるいは 医療機関としても、4月から後発品の使用促進ということがあったために、 調剤情報がないと処方情報では物はわからないという時代になりました。そ ういったことを含めて、こういったユースケースの中にも、そういう事例も 含めた書き方をしていただければいいかなと思います。 ○冨澤室長  山本先生のおっしゃったとおりだと思っています。個別ケースについては 理解の難しいケースがあると思っています。  当省への問い合わせとしては、例えばケース6にあるように、民間企業が 入った場合の情報の取扱いをどうするかということが結構多いです。それか ら、医療機関あるいは民間が持っているデータが流出しないようにとか、ど のように提供されているのだということが、頻繁に聞かれることが多いので、 是非このようなことで取りまとめていただけるとありがたいと思います。 ○大山座長  考えなければいけないことは明確になったと思いますが、すぐには、答え は出ないと思います。  いまの関係でいうと、経済産業省と総務省さんは、何らかの手を打たれよ うとしているものがあるのですか、いまのところは白紙と思ったほうがよろ しいですか。 ○オブザーバー(総務省)  現在、特にインターネット等のネットワークを通じて情報システムの機能 を提供するASP・SaaSと言われる事業者が普及してきており、今後当該ASP・ SaaSが医療分野においても広がっていく可能性があることを踏まえて、現在 山本先生を始めとして有識者の方々にご協力をいただきながら、ASP・SaaS 事業者向けのガイドラインの作成を検討しているところで、年度内には取り まとめる予定です。 ○大山座長  海外への対応に関しては、そこの中で手を打ってあるのですか。先ほどの 三谷構成員の話はデータベース自体というか、サービス提供の主体は海外に あるわけです。 ○オブザーバー(総務省)  事業者としてはそういう事業者も日本にも来ているので、そこも含めて検 討していきたいと思っています。 ○大山座長  経産省さんからもあればお願いします。 ○オブザーバー(経済産業省)  経済産業省でも、いまPHRの実証事業に入っていくところですが、その中 で運用ルールという形で、現在山本先生を中心に考えていただいているとこ ろです。それを踏まえて、どこかの場でさらに検討していただく必要はある かもしれないと考えます。 ○大山座長  参考までに聞かせていただきまして、ありがとうございました。  資料の4については、いまいただいた皆様方のご意見を踏まえて、どうい う形で次までに出せるかを約束できる状況はないですよね。 ○山本構成員  検討を始めるという状態ですので。 ○大山座長  作業班の方々には、又ご苦労をお掛けすることになるかもしれません。 ○稲垣構成員  例えばこの匿名化というだけでも難しいのだと思うのです。 ○山本構成員  どこまで出さないといけないか、どうやればどの程度の匿名なのかという のは、基準がない状態ではどうしてもいい加減なものが出てきたり、不必要 な匿名化も起こっていると思うのです。 ○大山座長  確かに難しい問題ですね。ネット上を検索して、1日で見つからないとい うとえらいことになってしまうでしょうね。ほかにございますか。よろしい ですか。今後のスケジュールについて事務局から説明をお願いします。 ○秋山補佐  今後のスケジュールについてご説明します。本日構成員の皆様からいただ いたご意見について、大山座長、山本作業班長、事務局で調整しまして、作 業班と協力しながら修正、検討を行います。その上で「医療情報システムの 安全管理に関するガイドライン」の素案を、パブリックコメントに耐え得る 案として、次回の検討会でお示ししたいと考えています。  また、現在検討しているガイドラインのQ&A集についても、次回までには 取りまとめて出したいと思っています。いま議論になった議題2の考え方に ついても、まとまれば出したいと考えています。  次回の検討会は2月上旬から中旬に開催したいと考えています。年明け 早々に日程調整をさせていただきますので、ご了承いただきたいと思います。 以上です。 ○大山座長  いまの件について何かございますか。全体を通してのご発言はございます か。よろしいでしょうか。本日は熱心なご議論をいただきましてありがとう ございました。これで閉会します。 (了) 照会先 医政局 研究開発振興課 医療機器・情報室 企画開発係 山瀬 TEL 03-5253-1111(内 2588) FAX 03-3503-0595