09/09/16　第２２回医療情報ネットワーク基盤検討会議事録

             第２２回医療情報ネットワーク基盤検討会

                                    日時　平成２１年９月１６日（水）
                                            　１０：００〜
                                    場所　中央合同庁舎第５号館
                                          専用第１８会議室

○秋山補佐
　定刻になりましたので、ただいまから「第22回医療情報ネットワーク基盤検
討会」を開催します。構成員の皆様には、ご多忙のところお集まりいただきま
して、誠にありがとうございます。はじめに検討会開催に当たりまして、医政
局長の阿曽沼よりご挨拶申し上げます。

○阿曽沼局長
　おはようございます。7月24日付で医政局長を拝命いたしました阿曽沼でご
ざいます。今日は22回目の医療情報ネットワーク基盤検討会ということで、一
言ご挨拶を申し上げたいと思います。
ご多忙中のところ、構成員の先生方にはご出席いただきまして、誠にありがと
うございます。この検討会におきましては、これまで患者、国民の視点を重視
した質の高い効率的な医療提供体制を実現することを目標にして、医療分野で
の適切な情報基盤の構築のために、さまざまなご検討をお願いしているところ
でございます。
この情報基盤と申しますのは、患者や医療提供者にとって、医療安全あるいは
質の向上、効率化につながる大変有用なツールであると考えております。した
がいまして、本検討会でご議論いただいております情報基盤に関するガイドラ
イン、あるいは各種ポリシ等を着実に整備をし、医療機関等が安全に情報基盤
を活用できる環境を整えることが重要だと考えております。そのことによって
患者の皆さんが安心して医療を受けられることにつながり、医療機関も安心し
て医療の提供に専念できることから、医療行政への推進の上でも大変重要なも
のではないかと私どもは認識いたしております。
本日は、医療機関等から患者の皆さんが、自らの診療情報を安全に入手し、活
用するためのポリシや、我が省あるいは総務省、経産省で策定された医療情報
に関するガイドラインを踏まえた診療情報の保存場所の在り方について、ご議
論いただきたいと考えております。
構成員の先生方におかれましては、忌憚のないご意見、活発なご議論をお願い
申し上げまして、簡単でございますが、冒頭、私からのご挨拶とさせていただ
きます。

○秋山補佐
　大変恐縮ではございますが、局長はこのあと所用がございますので、ここで
退席させていただきたいと思います。失礼いたします。

　　　　　　　　　　　（阿曽沼医政局長退席）

○秋山補佐
　続きまして、構成員の交代がございましたので、ご紹介をさせていただきま
す。石垣構成員に代わり、今回より新たに独立行政法人放射線医学総合研究所
重粒子医科学センター病院医療情報課課長の安藤裕構成員にご就任いただいて
おります。

○安藤構成員
　放射線医学総合研究所の安藤と申します。よろしくお願いいたします。

○秋山補佐
　続きまして、内部で組織変更等がありましたので、事務局の紹介をいたしま
す。政策医療課長の武田俊彦、医療技術情報推進室長の三宅邦明、医療技術情
報推進室長補佐の手島一嘉です。
　続きまして、本日の資料の確認をさせていただきます。資料1「医療情報ネッ
トワーク基盤検討会開催要領」、資料2「医療情報ネットワーク基盤検討会開催
について」、資料3「医療情報ネットワーク基盤検討会スケジュール（案）」、資
料4「保健医療福祉分野PKI認証局署名用証明書ポリシとの主な違い」につい
て、資料5「保健医療福祉分野PKI認証局認証用（人）証明書ポリシ（案）」、
資料6「保健医療福祉分野PKI認証局認証用（組織）証明書ポリシ（案）」、資
料7「保健医療福祉分野PKI署名用証明書ポリシ『主な修正点』」、資料8「『診
療録等の保存を行う場所について』の一部改正について」です。
　フラットファイルは参考資料です。参考1「(1)医療情報システムを安全に管理
するために。(2)医療情報システムの安全管理に関するガイドライン第4版。(3)
『医療情報システムの安全管理に関するガイドライン第4版』に関するQ&A」。
参考2「ASP・SaaSにおける情報セキュリティ対策ガイドライン」。参考3
「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライ
ン」。参考4「(1)医療情報を受託管理する情報処理事業者向けガイドライン−告
示。(2)パーソナル情報研究会報告」です。
　以上ですが、資料の未配付など、不備がありましたら事務局にお申し出いた
だきますよう、よろしくお願いいたします。それでは、以後の議事進行を大山
座長、よろしくお願いします。

○大山座長
　それでは、本日の議事に移りたいと思います。はじめに挨拶の中にもありま
したが、検討事項について、今年度の検討会で議論する事項、スケジュールに
ついて、これまでの経緯などを含めて事務局から説明をいただきたいと思いま
す。

○秋山補佐
　最初に資料1の「医療情報ネットワーク基盤検討会開催要領」をご覧下さい。
昨年度においては、「医療分野における電子化された情報管理の在り方に関する
事項」として、医療情報システムの安全管理に関するガイドラインを読みやす
さに配慮した上で、技術進歩に合わせた見直しを行い、第4版として改訂いた
だきました。
　また、医療機関等の管理者が情報システム担当者に適切なご指示をしていた
だけますように、ガイドラインの要約版として「医療情報システムを安全に管
理するために」の作成及びより一層ガイドラインを理解していただくために
Q&Aを作成しました。厚生労働省では、ガイドラインの第4版及び管理者向け
の「安全に管理するために」を各都道府県に通知するとともに、厚生労働省Web
サイトへ掲載することによって周知を図っているところです。
　また、「個人が自らの医療情報を管理・活用するための方策等に関する事項」
としては、近年、情報処理技術を用いて個人が自らの医療情報を、自らの健康
のために管理・活用したいとの要請が見受けられる状況を踏まえて、想定され
るユースケースを洗い出し、医療機関等が医療情報を安全に共有する際に必要
な認証機能の要件や、認証ポリシの在り方についてご議論いただき、具体的な
ポリシ策定について、引き続き作業班においてご検討いただくことについて了
承をいただいておりました。以上が昨年度の検討の経緯です。
　昨年度より検討事項が続いておりますので、開催要領については昨年度のも
のと同様になっていますが、構成員に交代がありましたので、資料1の3枚目
にある名簿について更新をしております。
　続いて、資料2「医療情報ネットワーク基盤検討会開催について」です。こち
らに今年度の検討事項を記載しております。まず「医療分野における電子化さ
れた情報管理の在り方に関する事項」として、平成17年に医政局長と保健局長
の通知として発出した「診療録等の保存を行う場所」について、いわゆる外部
保存通知と言われるものですが、これの在り方についてご検討をいただきたい
と思っています。現状においては弊省とともに総務省、経済産業省より医療情
報の取扱いに関するガイドラインが整備されておりますので、これらを踏まえ
て現在外部保存通知によって規定されている電子カルテ等の診療情報の保存場
所について、その適切な在り方についてご議論いただき、医療機関等に過度な
負担をかけず、安全な医療情報の管理が可能となるために、必要な事項につい
て提言をいただきたいと考えております。
　次に「個人が自らの医療情報を管理・活用するための方策等に関する事項」
です。昨年度の本検討会において、電子化された診療情報を安全にやり取りす
るため、つまり“なりすまし”を防ぐための認証基盤の必要性について提言を
いただき、そのための決めごとであるポリシの策定について、引き続き作業班
でご検討いただくことをご了解いただきました。
　ポリシについては、資料4の裏面に簡単に説明を付けておりますので、後ほ
どご参照いただけたらと思っております。
　本年4月より作業班を計10回開催して、すでに運用されている署名用のポリ
シを基に、人用の認証用ポリシの案、及び組織用の認証用ポリシの案について
ご検討いただき、一定の結論が出ましたので、本検討会においてご議論をいた
だきたいと思っております。今年度については外部保存の在り方と認証ポリシ
の策定に関する2つの事項についてご議論いただきたいと思っております。
　最後に資料3の今年度のスケジュールについてです。診療録等の保存を行う
場所についての検討については、本日構成員の皆様からご意見をいただきます
とともに、一旦お持ち帰りいただいた上で、2週間程度ご検討いただき、順次ご
意見を賜りたいと思います。その間、作業班でも必要な議論を行った上で、次
回検討会において診療録の保存の在り方について、ご提言をいただきたいと考
えております。
　いただいた提言を踏まえ、「医療情報システムの安全管理に関するガイドライ
ン」の改定等が必要になった場合には、作業班において、さらに必要な議論を
お願いした上で、第24回の検討会において、そのご意見をお諮りしたいと考え
ております。その後、必要に応じてパブリックコメントを実施し、確定をして
いきたいと考えております。
　ポリシ案の修正については、本日、作業班で作成した案について、構成員の
皆様からご意見をいただくとともに、こちらについても2週間程度ご検討いた
だき、順次ご意見を受け付け、作業班で必要な修正を加えた上で、次回の検討
会で最終案を諮らせていただきたいと考えております。事務局からは以上です。

○大山座長
　いま説明いただきましたように、検討事項の認証ポリシ、外部保存について
はこのあと議論をすることになっております。それに先立ち、まずスケジュー
ルを含め、いまの説明に関してご質問等があればお受けしたいと思います。年
度を越えてここまで間が空いたので忘れているかなという気もしますが、作業
班の方は、すでに計10回やっていただいたということで、班員の皆様方には厚
く御礼申し上げたいと思います。
今日はこのあと認証ポリシと外部保存について説明いただきますが、いまのス
ケジュール的なものは資料3にあるとおりです。ポリシ案の修正に関してもご
議論、ご意見をいただきたいと思いますし、診療録の保存を行う場所について
の検討についてもご意見をいただいた上で、第23回ぐらいに正式な検討をスタ
ートできるような仕掛けを作れればと考えています。いかがでしょうか。
　それでは、またご意見があれば、このあと詳しい中身の説明に入らせていた
だいて、あとでご意見をいただきたいと思います。それでは、資料に沿って議
事を進めたいと思います。資料4「保健医療福祉分野PKI認証局署名用証明書
ポリシとの主な違い」、資料5「保健医療福祉分野PKI認証局認証用（人）証明
書ポリシ（案）」、資料6「組織用証明書ポリシ（案）」について、先ほどご紹介
した10回ほど作業をしていただいた作業班の班長を務めていただいております
山本構成員からご説明をお願いします。

○山本構成員
　資料5、資料6が作業班でまとめた認証用の保健医療福祉分野証明書ポリシの
人用と組織用ですが、なにぶん大部ですので、この中身を逐一説明するのは、
皆さん方の混乱を来すかと思いますので、資料4に大枠として、今までこのネ
ットワーク基盤検討会で、随分以前になりますが、ご検討いただいた保健医療
福祉分野PKI署名用ポリシとの相違点の相違がある部分の目次項目を列挙して
おります。
　その前に資料4の裏の絵をご覧いただきたいのですが、「ポリシとは何だ」と
お感じになる構成員もいらっしゃいますので、ごく簡単に説明をしておきたい
と思います。
　PKI公開鍵基盤というのは、デジタル署名というIT技術を利用して、1つは、
我が国では捺印、記名押印に代わるもので、諸外国ではサインですが、署名に
代わるその人の文書に対する責任を宣言するという、その仕組みを1つ作ると
いうこと。もう1つは、署名とは関係なく、ITの世界、ネットワーク上ないし
はネットワークでなくてもそうですが、デジタル技術を用いるときに、その情
報に触れる人、その操作をする人が誰であるかということを属性を含めて伝え
る方法、認証と呼んでいます。
　もう1つは暗号化に用いるわけですが、今回暗号化はあまり触れておりませ
ん。署名は平成17年にネットワーク基盤検討会でポリシを策定して厚生労働省
のルートCAというか、信頼点といった署名が、何を根拠に信頼できるかとい
う仕組みも既に稼働しております。
　今回、個人が自らの健康医療情報を活用することについて、それに関わるプ
レーヤーが誰であるか、どういう資格であるかをITの世界できちんと確認でき
るということも重要なファクターであるということで、認証用のポリシを検討
することを前回の第21回の医療情報ネットワーク基盤検討会でご承認いただい
て、その後、作業班で検討を進めてまいりました。
　認証と署名というのは技術的にはデジタル・シグネーチャー（電子署名）と
言われている技術を使うのですが、署名は自分が署名をするものが何であるか
を明記、確実に理解した上で行うものです。認証はそうではなくて、何らかの
相手先が送ってきたものに電子署名を施して、その電子署名が正しいことを確
認することで、例えば医師である山本が、いま機械を使っているみたいなこと
を、相手方ないしはコンピュータシステムに伝えるものです。この2つは中身
を確認しないで署名をするということでは、原理的にはそうなりますので、中
身を確認して行う、いわゆる署名とはかなり違うものですから、ポリシは明確
に分ける必要があります。したがって、認証用ポリシを改めて作成する必要が
あったということです。
　「ポリシ、ポリシって何だ」ということになりますが、資料4の裏面に簡単
な絵を事務局で作っていただきました。これはコンセントの形状が国によって
いろいろ違う。それがどのコンセントの形状を使うかが証明書ポリシで書かれ
ていると考えると、分かりやすいということで、同じポリシの下で発行された
電子証明書、その電子証明書を使った認証用の署名、ないしは署名用の署名と
いうと言い方が変ですが、サインの代わりの署名、押印の代わりの署名という
のは、同じポリシに従っていれば別の発行局が出した証明書であっても、それ
ぞれお互いに同じ信頼性で運用することができる。したがって、ポリシという
のは、信頼性の軸で、このポリシに書かれていること以外は共通には用いるこ
とができないことになります。このネットワーク基盤検討会で作成する以上は、
厚生労働省が作成するポリシで、したがって、これは全国で同じ基準で通用す
る部分だけを記載しております。
　資料4の表に書いていただき、署名用と認証用は考え方の原理が違うという
ことで、明確に分けるためにポリシを分けるのですが、認証用の中でも人と組
織、人は例えば医師である、看護師である、臨床検査技師である、診療放射線
技師であるという、その個人です。人の存在を確認した上で、その人の資格を
確認して、それにネットワーク上、ITの世界でその人の認証用の証明書を発行
する場合と、人ではなくて存在する組織に対して証明書を発行する場合、これ
はかなり相手の確認、つまり、人の確認、組織の確認の方法に違いがあります
ので、1つのポリシにかけると非常に煩雑なポリシになりますので、これを分離
して作成しています。
　資料5が認証用の人証明書ポリシ、資料6が組織証明書ポリシです。署名用
ポリシを覚えておられる構成員はいらっしゃらないと思いますので、資料5に
異なる点が書かれています。その中の最も重要な所だけかいつまんで説明をさ
せていただきたいと思います。
　資料5の3頁の表1.2「本CPで定めるOID」というのがあります。これはこ
ういったポリシの文章はどこからでも参照できて、誰が責任を持っているかが
明確にならなければいけない。どこからでも参照できて、誰が責任を持ってい
るのかを示すのをOIDという数字の羅列で表すわけですが、この前の
1.2.392.100495というのは厚生労働省です。その中のセキュリティでありどう
でありというので、順番に数字が振られていく。以前は署名用の証明書ポリシ
が実在するもので、認証用というのは作って予約はしてあったのですが、認証
用は1つしか予約しておりませんでした。したがって、このポリシでは人と組
織に分けてOIDを取得するようになっています。
　あと大きな違いは12頁の「識別及び認証」がありますが、これは証明書が欲
しいと言ってきた人を、どのように識別する書類を提出してもらうか。つまり、
申請側の要件ですが、これも署名用と原則そう変わらないのですが、唯一13頁
に「組織の認証」というのがあります。組織の認証に関しては、平成16年に検
討した署名用のポリシでは若干時代遅れのところがあって、ここはかなり現実
的で、かつ厳密な方法に書き改めております。
　組織のところがそうですが、14頁以降は個人です。17頁、個人が誰であるか
を確認する手段として電子署名を用いることができるわけです。これはサイン
に代わる電子署名、本当の電子署名ですが、下から8行目の「オンラインの場
合」で、署名用の場合はほかになりませんでしたので、公的個人認証サービス
の電子署名を用いて個人を確認できるようにしていましたけれども、認証用は
署名用のHPKIがありますので、署名用の保健医療福祉分野認証局の発行する
電子署名を用いた電子署名で個人を確認できるとしています。
　あと、ものすごく大きな違いは41頁の最後の6.3.2で、この証明書の有効期
間というのが書かれています。これは電子署名用の場合は署名ができる。つま
り、自分が電子証明書を用いて署名ができる期間は2年間ですが、証明書自体
の有効期間は5年間に設定してありました。つまり、最後に署名をしてから、
さらに3年間はその署名が確実に検証できる、誰が署名したかがわかるという
設定にしておりました。ただ、認証の場合はそのように過去の認証をあとから
電子証明書を使って確認するということはあり得ませんので、その都度その都
度、いまコンピュータの前にいる人が誰であるかを確認することになりますの
で、証明書の有効期間も実際にそれを使って認証できる有効期間、私有鍵の使
用は両方とも2年としております。
　あとはかなり技術的な話になります。例えば47頁のプロファイルが一部違う
とか、若干技術的でないのが48頁、49頁で、HPKIはご説明するまでもないと
思いますが、国際標準規格であるISOのIS 17090という国際標準規格に完全に
準拠した資料になっていて、国際的にも同じ仕組みで動くものですが、その中
で、各国で決めることになっている保健医療分野における資格テーブル、属性
テーブルと呼んでもいいのですが、それが表7.1.3で、厚生労働省が作成してい
るポリシの場合は、基本的には国家資格ならびに医療機関等で、届出等に使わ
れる属性をHPKIで証明することになっていますので、49頁の医療機関の管理
責任者の資格名のところに、以前はDirector of Pharmacyとなっていましたが、
薬局の場合、管理薬剤師と薬局開設者の両方とも公的な資格として何らかのア
クションを起こすことがあるということですので、Director of Pharmacy を 
Supervisor of Pharmacy（管理薬剤師）、Proprietor of Pharmacy（薬剤開設者）
の2つに変更しています。
　以上の点がポリシの文面として署名用から異なっている主な改定点で、細か
い改定はたくさんあります。これが人の認証用の証明書ポリシです。
　資料6の組織用証明書ポリシです。組織の認証がなぜ要るかという議論があ
りましょうが、例えば救急診療で用いるような情報のデータベースが仮に存在
するとして、その患者を救急で診る医療機関は迅速にその情報が欲しい。つま
り、医師がやるとか、看護師がやるとか、事務員がやるとか、そういったこと
を省略して、医療機関からの要請であれば、この情報にアクセスを許すという
ことがある場合に、組織が間違いなく保険医療機関である、ないしは調剤薬局、
保険薬局であるということを確認する必要があるわけですが、そういった用途
に用いることができるために組織だけの証明書ポリシを作っています。これも
人用の証明書ポリシと、個人を識別するところが申請者を識別することになっ
ていますが、それ以外はそれほど大きな違いはありませんが、1点だけ特別なも
のを加えています。それは18頁です。
　これは申請者、つまり、組織が申請するときにどういった書類が必要か、何
を証明するかというのが3章に書かれています。18頁に「法令等の要請により
発行する場合」というのがあります。これは希望する保険医療機関が自ら申請
するのではなく、何らかの制度整備で、医療機関は本来こういう組織の証明を
もって、何かの制度に使おうということが起こり得る可能性があるということ
で、「法令等の要請により発行する場合」を新たに付け加えております。この場
合は21頁です。
　21頁は4章の中身ですが、4章というのは、証明書を発行する側が、一体何
を根拠に発行していいかを記載するものです。21頁に「法令等の要請により発
行する場合」とあります。これは法令等の要請により発行するので、証明書を
発行する側としては根拠となる法令を明示して、その法令の中に書かれている、
ないしはその法令に基づく規則等に書かれている要件を満たすことを確認すれ
ばよいとなっています。あと、これも認証用ですので、認証する期間と証明書
の有効期間は両方とも2年間で一致させています。
　49頁に、これも国際規格であるIS 17090で規定されている医療機関や、証
明書を発行する相手の属性を示す所ですが、ここにテーブルとして保険医療機
関、保険薬局を付けています。
　あと細かな文章の修正は署名用から認証用に修正した点はありますが、大き
な修正点は以上です。先ほど事務局からもお話がありましたように、作業班の
中にサブワーキングを作り、その中にはこのPKIに関する専門家の何名かに参
加していただいて、それのレビューも経ているもので、CPとしてかなり完成度
は高いと考えております。説明は以上です。

○大山座長
　なかなか理解はしづらい内容かもしれませんが、何なりとご質問等があれば、
まずはお受けしたいと思います。署名と認証の違いについてだけ簡単にもう一
回説明しますと、例え話でよく言うのは、銀行のお金の引き下ろしの例で、現
在使う人は少なくなっていると思いますが、引き下ろしのための紙を書いて、
そこに判を押して窓口へ持っていくという形でお金を下ろす方法があります。
これはまさしく署名で、そこに判を押しているということです。
　一方、ATMのような形では、ATMの機械に紙を出しても駄目で、その代わ
りカードとパスワードを入れるという形をとっているわけです。ATMの機械か
ら見ると、操作している人が確かに本人であるということを確認するためにや
っていて、そちらがここでいうコンピュータ上でいうネットワークの相手方に
いる操作者が誰かを確認する仕掛けで、これがより高度なIDパスワードよりも
さらに安全性を高める方式として認証用のPKIがあります。この方式を医療分
野でも使えるようにするということから今日のお話につながっています。従来
は署名用のもの、判子に当たるものしか作っていなかったものですから、今回
さまざまな形での医療情報の取扱いが、これから使われる形が、病院と病院の
連携もそうですが、いろいろな形が想定されますので、その意味でオンライン
認証用を作っています。何かご質問等ございますか。

○足立構成員
　私は製薬企業の代表なので偏った質問になってしまうと思いますが、こうい
うのがあると我々製薬企業の中でも治験などで活用できて非常に便利だという
ことがあります。一方で、これは治験だけの世界ではないのですが、電子化さ
れた場合、IT化された場合、簡単に海を渡れるということがありますので、治
験の場合は、いま国際共同治験ということで盛んに行われています。そういう
場合に、これは国内だけで通用しても、今後はよろしくないだろうということ
で、全世界で使えるものを、当然ISOの基準ですので、規格的にはそうだと思
います。相互認証すればいいという話だと思いますが、その辺りはどうお考え
ですか。

○山本構成員
　もともと信頼点になるところをルートと呼んでいます。我が国の場合は厚生
労働省が署名用に関しては、すでにルートを運営・運用中なのです。そのルー
トのヒエラルキーの下であれば、全くオートマチックに信頼できる、信頼でき
ないの判断ができます。異なるルート、ルートを跨がる、例えばアメリカのル
ートと日本のルートとなされた所から信頼点の異なる所がなされた場合は、そ
れぞれ別の手続が必要になります。
　いちばん簡単なのは、このことに関しては相手のルートを信用するという宣
言をする手段があります。そうすれば簡単に相手のことが信頼できる、信頼で
きないというのは相手の信頼点の下にやれる。あとは技術的にブリーティング
を使うとか、相互証明書を使うとか、いろいろな方法があります。技術的には
可能ですが、国際関係ないしは国対国の関係でそれを決めていかなければいけ
ない話で、無条件にそれができるわけではありません。

○足立構成員
　当然私も無条件にとは思っていないのですが、折角やるのであれば、国を跨
ぐ、電子の世界はほとんど国境のない世界になってきていますので、そういう
ものをちゃんと考えてやっていただきたいなという希望はあります。
　それから個人用認証の49頁にいろいろな資格名があります。これはいまのお
話では、それぞれの国で決めればいいということで、医療機関の管理責任者の
ところに病院長、診療所長、管理薬剤師があるわけですが、これは増やすこと
はできるのですか。具体的に言いますと、治験の世界を考えると、IRBという
のがあります。日本でいうと倫理委員会ですが、倫理委員会の長の判子という
か、署名が治験の場合は必ず必要になる場合が想定されるというか、実際にあ
ります。そういうのもこういうもので回したいという希望は我々の中ではある
のですが、それは医療機関と対かというと、ちょっと違うところもあります。

○山本構成員
　技術的に増やせない話ではありませんが、あくまでもこれは厚生労働省が信
頼点を持って作る基盤のポリシです。したがって、個々の資格であるというこ
とは厚生労働省が責任を持つ資格なのです。ちゃんとそれが正当なものであれ
ば、この証明書を出してきた者に対して、この人は医師であるということは厚
生労働省が保証するもので、そういう意味ではIRBの委員長というか院長を厚
生労働省が保証できるかという問題になってきます。したがって、あくまでも
IRBの中で互選で委員長を決めている、ないしはIRBの設置自体が一定のドメ
インでやっているということであれば、そのことを何らかの形で証明できると
いう仕組みを作らなければここにはなかなか乗ってきません
　もう1つは、この証明書だけで運用する必要はありません。したがって、医
師であればこの証明書を使えばいいのですが、IRBの委員長の署名があれば、
別の信頼点を持つ証明書を用いて運用することは同じ規格に則ったというか、
いま流通している電子証明書はほとんど同じ規格に則っていますので、それが
できればその混在というか、それを併用しながら運用することは可能ですから、
それぞれの証明したい対象に対して証明する責任を持つところが運用するのが
いちばん合理的だと思います。例えば、IRBの委員長が代わったことを厚生労
働省が認知できるかという問題があって、出してしまった証明書が、実は委員
長でなくなっているし、IRBのメンバーでもなくなっているのにいつまでも使
われるみたいなことがあったら、そのシステム全体の信頼性を揺るがしてしま
う話になりますので、そういう意味では、IRBの委員長であるという状態が常
に把握できるところが、そういった証明書の発行をしないと実際には信頼でき
る書面にはならないのです。

○足立構成員
　まさにそうなのですが、いくつかまた懸念があります。1つは、こういう役職
名とか職種を発行できるPKI組織はいま少なくなったと私は記憶しています。

○山本構成員
　例えば社労士とかは士会でPKIのCAを運用されていて、社労士という資格
を含めたPKIが運用されていますし、それは現実に多いか少ないかは別にして
不可能ではないと思います。なおかつその資格を電子証明書の上で確認しなけ
ればいけないのかという問題もあります。
　例えば、公的個人認証サービスであれば誰でも取れるわけですから、そうい
った署名を用いた上で、個人とその資格を結び付けるというのは別の所でやる
手段、特に短い期間の資格は公開鍵基盤を使ってやるのにはあまり向いていな
い、つまり、公開鍵基盤というのは一旦出してしまうとその資格がなくなった
ときには、その証明書を失効するという手段が必要になってくるのですが、そ
ういったことは比較的短い期間で変わる資格にはあまり適していないのです。
　そういう意味では、これはあくまでもアイデアというか、現実的かどうかは
十分検討して申し上げているわけではありませんが、例えば、そのほかの署名、
公的個人認証サービスが検証するところに若干の制限がありますので、そうで
はない一般の例えば署名用の電子証明書は名前と申請者、属性だけでよければ
出すようなサービスもありますので、そういうのを活用した上で、その人がIRB
の委員長であるということを、そのドメインにきちんとわかるような仕組みを
別に作れば、わざわざPKIの中に全部押し込めなくても可能は可能だと思いま
す。その辺は現実に使われる状況の中でうまく設計をしていくことが重要では
ないかと思います。

○足立構成員
　これはどちらかというと先生の問題というよりも、事務局というかこの論争
サイドの問題だと思います。是非検討いただければと思います。いま先生がお
っしゃったように、IRBの委員長が追いかけられるかという話があるのですが、
それも実は管理薬剤師も同様で、法的な枠組みの中でいうと、先生の方が詳し
いと思いますが、30日以内の事後届けでいいはずです。そうすると、その間に
署名したのはどうなるのかという問題も発生すると思います。一緒かと思いま
すので、運用も含めて一度ご検討いただければと思います。

○三宅室長
　基本的に、国にデータベースがあるものを対象だと考えているのですが、そ
ういう意味でIRBのデータベースというのは国は、持ち得ていませんよね。そ
こを1つの目安に考えているのですが、その辺はいかがでしょうか。

○足立構成員
　一応総合機構の方はいま集めようとされていますので、そういうのも活用さ
れれば何かできるのかなとは思います。

○三宅室長
　今後そういうことが実現された際の課題としてはいかがでしょうか。

○大山座長
　ちょっといいですか、土屋構成員がご意見があるようですので。

○土屋構成員
　公的認証のそういう枠の中でやらなければいけない話かというと、私はそう
ではないと認識しております。例えば、病院においても薬剤師というものが薬
剤師としての認証の下に、あるいは病院長の下にIRBがあってという形。ある
いは病院を超える場合も当然ありますが、基本的にはそれをいちいちこういう
所で、こういう話ではないと思っています。運用面としてはそういう形で運用
されるのだと思います。

○大山座長
　いまの議論で確認ですが、足立構成員が言われているのは署名ですよね。し
たがって、資料5には直接関係している話ではないですよね。そこをまず確認
させてください。それでいいですね。

○足立構成員
　はい。

○大山座長
　署名の場合、認証局の議論として昔からよく言われることですが、誰の責任
で何を証明するのかというのがあって、責任主体がどのように決まるかという
と、非常に簡単な例で公的個人認証サービスの例を申し上げると、この方は実
在していますというのを確実に把握しているのは地方自治体です。だから地方
自治体の責任で証明書が出ています。社労士は先ほどお話がありましたが、社
労士の場合は、社労士の資格を持っているだけでは足りなくて、会に所属しな
ければいけません。したがって、社労士の資格を所管している省庁が証明する
のではなく、社労士会が証明しなければいけないとなっているわけで、同じこ
とでいまのお話の場合、どこが証明できるのかということがあって、それをた
またま別のサービスとして、民間が例えば認証業務をやっているというのは、
あくまでもそのサービスを提供しているということになると思います。
　その観点から見ると、いまの委員会の話はきっとそれぞれの組織が決めてい
るのであれば、組織が本来は責任を持たなければいけなくて、その組織が持つ
責任の中で証明書として発行する必要があれば、どう発行するかという現実論
に変わるのだろうと思います。そこを厚生労働省がおやりになるということに
対して、私は何も反対するつもりはないのですが、一般的にはそれは民業を圧
迫という話になりかねない。国が出ていくことは、普通に民間がやるサービス
を超えている話という議論になるかもしれません、ということだけを申し上げ
ておきたいと思います。これは公的個人認証サービスと民間の認証局との間で
さんざん議論をしてきた件なのでご紹介だけしておきます。ただ、現実に重要
なことだということはよくわかりますので、その辺は事務局側もテイクノート
は一応していただいているのではないかと思います。
　いま説明いただきました資料5の人を対象とするオンライン認証用のポリシ
と、組織を対象とするポリシについて、先ほど事務局からもお話がありました
が、構成員の皆様方には大変恐縮ですが、2週間程度時間を取っていただきまし
て、その間に内容等について確認していただければと思います。その中身につ
いて、もちろんご意見あるいはご質問があれば事務局側に送っていただき、そ
れを作業班に出させていただき、作業班ではいただいた意見を踏まえて検討し
ていただく。次回の検討会の際には最終案を提示いただきたいと考えておりま
す。いまのような手順ですが、この手順について何かご意見等がありますか。1
週間では無理だという話があるかもしれませんが、申し訳ありませんが、2週間
ぐらいというのは事務局側からのお願いのようでして、ご覧いただければと思
います。
　それでは、皆様方のご了解をいただいたということで、そのように取り扱っ
てよろしいでしょうか。

（異議なし）

○大山座長
　ありがとうございます。それでは、山本構成員、恐縮ですが、皆さんからい
ただく意見を踏まえて次回の検討会の際には最終案を提示いただくよう、作業
班の方で作業を進めてください。

○山本構成員
　はい、わかりました。

○大山座長
　続きまして、資料7「保健医療福祉分野PKI署名用証明書ポリシ『主な修正
点』について」、事務局から説明をいただきます。

○秋山補佐
　資料7をご覧ください。署名用のポリシについては平成16年の本検討会の報
告書において、関係者、関係機関の合意の下に、保健医療福祉分野の公開鍵基
盤の整備を目指していく必要性と、証明書共通ポリシの作成の必要性を提言さ
れましたので、それを受けて作成いただいたという経緯があります。現在も運
用中です。この署名用のポリシのメンテナンスに関しては、厚生労働省におい
て専門家で構成された体制を整備する必要があるという提言を受けましたので、
保健医療福祉分野における公開鍵基盤認証局の整備と運営に関する専門家会議
を設けて実施しているところです。
　先ほど山本構成員から説明をいただいたとおりですが、認証用のポリシを策
定していく過程において、資料7に書いているように、署名用のポリシについ
ても修正が必要だということが判明してまいりましたので、これについて列挙
してご確認をいただいているところです。実際にはここの検討会の場でご議論
いただくことではなく、専門家会議でメンテナンスをお願いするという段取り
になるのですが、そのことについてご報告だけさせていただこうということで
資料を付けております。

○大山座長
　ただいまいただきました主な修正点に関する報告ですが、何かこれに関して
ご質問はありますか。
　私が聞くのも変かもしれませんが、気がつきましたので。厚生労働省が出し
たPKI署名用証明書ポリシの変更ということになるのですが、実際にサービス
を行っている所自体もご自分のポリシは追加しているものもあるかもしれない
し、必ずあると思います。そちらへの反映の仕方はお願いはするのでしょうか、
それとも独自にやっていただくのを待つということでしょうか。大本が修正さ
れたときにちゃんと反映していくのかというのが気になったものですから、そ
こだけ質問します。

○秋山補佐
　署名用ポリシの整備に関しては、まだ実証段階のところもありますが、Web
サイトで公開しておりますので、そちらを各認証局で参照していただくという
立て付けになっています。

○大山座長
　何かございますか。それでは、続きまして「診療録等の保存を行う場所」に
関することについて、事務局から説明をいただきたいと思います。

○秋山補佐
　資料8です。こちらは平成16年度の本検討会の報告書において、診療録等を
医療機関等以外の場所へ電気通信回線を通じて外部保存する場合の要件等が提
言されたことを受けて発出された通知です。4頁の第2の(2)の左側の列ですが、
こちらに電気通信回線を通じて外部保存を行うことが可能な場合が記載されて
います。1つ目は病院又は診療所その他これに準ずるものとして医療法人等が適
切に管理する場所、2つ目が行政機関等が開設したデータセンター等、3つ目が
医療機関等が震災対策等の危機管理上の目的で確保した安全な場所と書いてあ
ります。
　このように規定されている理由としては、患者等の情報が瞬時に大量に漏洩
する危険性があること、漏洩した場所や責任者の特定の困難性が増大すること、
医療施設等の責任が相対的に大きくなることなどがありました。しかしながら、
厚生労働省においては、医療機関等において情報システムを導入し、医療情報
を管理する際に遵守すべき事項を規定した「医療情報システムの安全管理に関
するガイドライン第4版」を本年3月に発出しました。総務省においては、ネ
ットワークを利用したソフトウェアで医療情報を処理する事業者が遵守すべき
事項を規定した「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関す
るガイドライン」を本年7月に発表しております。さらに経済産業省において
は、医療機関から情報処理業務を受託し、医療情報を管理する事業者が遵守す
べき事項を規定した「医療情報を受託管理する事業処理事業向けガイドライン」
を昨年3月に発表しております。
　これらの体制が整備されたことにより、医療機関と受託事業者の責任分界に
ついても明確化され、ガイドラインを遵守していれば情報の漏洩の危険性が減
少してきた現状を踏まえて、現在外部保存通知によって規定されている電子カ
ルテ等の診療情報の保存の場所について、その適切な在り方についてご議論い
ただけたらと考えております。医療機関等に過度な負担をかけず、安全に医療
情報の管理が可能となるために、外部保存通知がどうあるべきかについて、ご
提言をいただきたいと考えております。以上です。

○大山座長
　いまの説明にありました各省のガイドラインについては、昨年度の検討会の
際に総務省と経済産業省に説明いただいたことがありますが、新たに総務省で
「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライ
ン」というのが出てきておりますので、この内容について総務省から簡単にご
説明いただきたいと思います。

○オブザーバー（総務省）
　参考3に付けております「ASP・SaaS事業者が医療情報を取り扱う際の安全
管理に関するガイドライン」について説明したいと思います。先ほどご紹介が
ありましたとおり、本年4月14日に総務省がとりまとめたガイドラインで、医
療情報の重要性から見た高度な安全性確保の要求を踏まえ、医療情報がASP・
SaaSによって適正かつ安全に取り扱われ、医療情報におけるASP・SaaSの利
用の適切な促進を図るための検討を行ってまいりまして、その結果としてこの
ガイドラインを本年まとめたところです。
　こちらのガイドラインは130頁ぐらいの大部で、本日は時間も限られており
ますので、目的と構成についてご説明したいと思います。まず「ASP・SaaSと
は」というところから説明した方がよろしいかと思います。4頁の下5行目です。
1.4.1項として、ASP・SaaSの定義と記入しました。ASP(Application Service 
Provider)・SaaS software as a service、これらはほとんど同義と考えておりま
して、言ってみればネットワークを通じてアプリケーションサービスを提供す
るものです。
　こういった事業者が最近出てきているわけですが、これらの事業者が医療情
報を扱う際にどういうことが必要であるかをまとめたのが本ガイドラインでし
て、その目的を、1頁に戻り、下から4行目の「本ガイドラインの目的」に書い
ています。医療情報の重要性から見た高度な安全性要求を踏まえ、ASP・SaaS
事業者が医療情報を取り扱う際に求められる責任や合意の在り方、事業者への
要求事項などを規定したもので、ひいては医療情報におけるASP・SaaSの利用
の適切な促進を図ることを目的としています。
　次は、本ガイドラインの範囲です。厚生労働省で策定された2つのガイドラ
イン、具体的には「医療・介護事業者における個人情報の適切な取り扱いのた
めのガイドライン」、もう1つは、第4版がこの間できた「医療情報システムの
安全管理に関するガイドライン」、これらにおける定義されている対象範囲と同
一としております。
　本ガイドラインの構成を6頁の図を使って簡単にご説明したいと思います。
全部で4章からなっており、1章については、本ガイドラインの前提条件、読み
方、いま申し上げた目的や対象範囲、ほかのガイドラインとの関係などを示し
たものです。
　2章として、ASP・SaaS事業者が医療情報を処理する際の責任について規定
しております。ここについては、具体的には医療機関側の責任、ASP・SaaS事
業者からの責任分界などについて規定しております。
　3章が本体と言うべきものだと思っていますが、安全管理に対してASP・SaaS
事業者が対応すべき内容として、厚生労働省のガイドラインと1対1対応で逐
次まとめたところで、ここがいちばんボリューム的には大きくなっています。
すべては説明できませんが、イメージだけ23頁をご覧いただきたいと思います。
23頁から6頁ほど表3.1がありますが、左側に厚生労働省のガイドラインの記
述を書き、真ん中に今回定めたガイドラインで追記した事項を1対1対応です
べてについて規定したものです。
　最後に4章として、これらをまとめて実際に合意をするときに、何をどうい
った形で合意すべきかというサービスレベルの合意の在り方、契約書の書き方
などに関する注意点をまとめてあります。簡単ですが、報告書の目的と大体の
構成について、ご報告させていただきました。

○大山座長
　現実的にはASP・SaaSの形がさまざまな形で医療機関の情報システムにもこ
の先、安全かつ適正な価格でサービスを受けようという話が起こってくるので
はないかということもあって、総務省で作っていただいたと思います。これは
山本構成員が関係していたのではありませんか。何か補足がありますか。

○山本構成員
　特に構成等について補足はありませんが、基本的には医療情報を扱う以上は
サービスを安全に提供できることがまず第1点です。2点目は、医療機関の意図
に反した利用は絶対に行えないということを大原則として、このガイドライン
を作成しています。
　いま大山座長が言われましたが、現実にすでに外部保存を伴わないような情
報処理はASPで現実に行われていて、例えばASP型のレセプトコンピュータ
とか、ASP型の介護システムなどは現実にあります。現実にあるものも少し強
引な気はしたのですが、すでに動いているものもこれに従ってもらうという形
で、やや厳しめのガイドラインにしてあるように思います。

○大山座長
　その意味だと保存云々の話は別にしても、経済産業省が作ってきたガイドラ
インの中で、医療情報の取扱いの話があるわけですが、いま言われた話の今回
の例に従っていただくというところに該当するサービスを提供している所は経
済産業省のガイドラインにはすでに従っていると思っていいのですか。それは
大丈夫ですね。それから経済産業省と総務省のガイドラインの間の不整合はな
いと思っていいのですよね。お互いによくお話いただいていれば、「大丈夫です」
と言っていただければ安心するのですが、両方で違うことが書いてあると困る
と思うだけです。ちょっと確認だけさせていただきました。
　皆さん方、ご意見、ご質問があればお願いします。可能であれば先ほどもお
話しているとおり、厚生労働省、総務省、経済産業省のガイドラインが整備さ
れているということもありますので、「診療情報の保存場所の適切な在り方」に
ついては、構成員の皆様方から同じように2週間ぐらいご検討をお願いし、ご
意見をいただきたいと思っております。作業班におきましては、その意見を踏
まえて検討をさらに進めていただく。そして次回には本検討会の考え方の案の
ような形で考え方を整理していただいたものをこちらへ出していただければと
考えております。ですから、2週間ほどご検討いただいて、皆さん方からご意見
をいただき、そのご意見を踏まえて作業班側では整理をして、1カ月程度先にな
ると思いますが、ここに考え方の整理をした案を出していただきたいという形
をとりたいと思いますが、それも含めてご意見等があればと思いますが、いか
がでしょうか。
　それでは、確認をいたします。繰り返して恐縮ですが、3省のガイドライン、
ある意味では画期的だと思います。3省が連携して作ったというのはあまり普段
はなかったような気がするのですが、これができたということは非常にうれし
く思います。診療情報の保存場所の適切な在り方について、皆様方に2週間程
度でご検討をお願いし、ご意見をいただきたいと思います。意見は事務局側に
出していただければよろしいです。その意見を踏まえて作業班において本検討
会の考え方の案を作成していただき、次回の検討会でご提言いただくことをご
了承いただければと思いますが、いかがでしょうか。

　　　　　　　　　　　　　（了承）

○大山座長
　ありがとうございます。それではそのように、作業班にはまた恐縮ですが、
山本構成員、よろしくお願いします。予定している議事は以上ですが、何か皆
様方からございますか。

○三谷構成員
　いま総務省の方のASP・SaaSのガイドラインが出たのですが、経済産業省の
方でまとめている「医療情報を受託管理する情報処理事業者向けガイドライン」
というのがパーソナル情報研究会というのがありますが、ここの位置づけはい
かがなのでしょうか。

○山本構成員
　検討はパーソナル情報検討会で行ったのですが、4.1は告示ですから、経済産
業省としての正式な告示文になって、これの詳しい説明がパーソナル情報研究
会で作ったガイドラインという形になっております。位置づけはそう変わるも
のではないと思います。

○大山座長
　経済産業省はいまの説明でいいですか。

○オブザーバー（経済産業省）
　結構です。

○大山座長
　ほかにございますか。事務局側から何かありますか。それでは、今日は皆さ
ん方にいろいろお願いをしてしまって恐縮ですが、2週間の間に2つお願いした
件についてご意見等をいただければと思います。特にないようですので、これ
で会議を終了させていだきたいと思います。

○秋山補佐
　スケジュールについて連絡いたします。次回は10月中に開催したいと考えて
おりますので、別途日程調整を皆様方に連絡させていただきたいと思います。
いま座長からお話があったとおり、2週間程度の意見を募集する期間を設けます
ので、改めて事務局より連絡先のアドレス等をご報告させていただきます。

○大山座長
　それでは、第22回の「医療情報ネットワーク基盤検討会」を閉会いたします。
ありがとうございました。

（了）

照会先
医政局 政策医療課 医療技術情報推進室
企画開発係　山瀬
TEL　03-5253-1111（内 2682）
FAX　03-3501-5712