ホーム
言語切替

ヘルプ情報

「言語切替」サービスについて

このホームページを、英語・中国語・韓国語へ機械的に自動翻訳します。以下の内容をご理解のうえ、ご利用いただきますようお願いします。

  • 1.
    翻訳対象はページ内に記載されている文字情報となります。画像等で表現する内容は翻訳されません。
  • 2.
    機械による自動翻訳のため、必ずしも正確な翻訳であるとは限りません。
  • 3.
    翻訳前の日本語ページに比べ、画面の表示に若干時間がかかる場合があります。
文字サイズの変更
標準
特大
  1. ホーム >
  2. 政策について >
  3. 審議会・研究会等 >
  4. 医政局が実施する検討会等 >
  5. 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ >
  6. 2022年9月5日 第12回 健康・医療・介護情報利活用検討会医療等情報利活用WG 議事録

2022年9月5日 第12回 健康・医療・介護情報利活用検討会医療等情報利活用WG 議事録

日時

令和4年9月5日(金)15:00~17:00

場所

WEB開催
AP新橋 ROOM J(事務局、報道関係者のみ)

出席者

構成員(五十音順、敬称略)
  • 印南 一路
  • 宇佐美 伸治
  • 大山 永昭
  • 近藤 則子
  • 澤 智博  
  • 田宮 菜奈子
  • 利光 久美子
  • 長島 公之
  • 樋口 範雄
  • 松川 紀代
  • 三原 直樹
  • 宮田 裕章
  • 森田 朗(座長)
  • 山本 隆一
  • 吉川 久美子 
  • 渡邊 大記
オブザーバー(五十音順、敬称略)
  • 大原 通宏
  • 笠松 信幸
  • 喜多 紘一
  • 小泉 立志
  • 小出 顕生
  • 高野 博明
  • 高橋 肇
  • 田河 慶太
  • 堤 康博
  • 橋本 敬史
  • 増井 英紀

議題

  1. (1)医療情報システムの安全管理に関するガイドライン について
  2. (2)医療機関におけるサイバーセキュリティ対策 について
  3. (3)その他

議事

議事内容

【島井室長補佐】  お待たせいたしました。事務局でございます。定刻を過ぎましたので、ただいまより、第12回健康・医療・介護情報利活用検討会医療等情報利活用ワーキンググループを開催いたします。皆様におかれましては、御多用のところ本ワーキンググループに御出席くださいまして、誠にありがとうございます。
 本日は、新型コロナウイルス感染症対策の観点からオンラインによる開催といたしまして、会場での傍聴は報道関係者のみとしております。また、その他、傍聴の希望者の方々はYouTubeから傍聴としております。
 また、正確な議事録作成や御意見を賜ったときの御意見等の整理を、我々事務局のほうで正確に行うために録音させていただきますことも、御承知おきいただければ幸いです。
 会議中、御発言の際は、「手を挙げるボタン」をクリックいただきまして、森田主査の御指名を受けてから、マイクのミュートを解除し、御発言をお願いいたします。御発言賜りました後には、再度、マイクをミュートにしてくださいますようお願い申し上げます。
 次に、本日の委員の御出欠状況について申し上げます。本日は、秋山委員、宍戸委員、高倉委員から御欠席との御連絡を頂いております。また、近藤委員からは途中参加、なお、樋口委員、宮田委員からは、途中まで御参加されるとの御連絡を頂いております。
 また、本日は、議事2に当たりまして、一般社団法人保健医療福祉情報システム工業会、JAHIS様に御参加いただいております。
 次に、資料の確認をさせていただきます。議事次第、資料1、資料2-1並びに資料の2-2、及び、参考資料1から3の計7点を事前にメールでお送りさせていただいております。ウェブ会議上、画面上で見えにくいなどがございましたら、お手元の資料を御覧いただければ幸いです。
 なお、事前にメールで送付させていただきました際には、メールの添付ファイル等を考慮いたしまして、画像等、一部圧縮されております。もし画面の画質数等の最新のものを必要な方がございましたら、ワーキンググループの資料掲載のページよりダウンロードいただければ幸いです。
 事務局からは以上となります。
 それでは、森田主査、議事進行につきまして、よろしくお願い申し上げます。
【森田主査】  主査の森田でございます。本日はよろしくお願いいたします。
 それでは、早速ですが、本日の議題は2つございまして、議題1が、医療情報システムの安全管理に関するガイドラインについての報告、そして議題2、医療機関におけるサイバーセキュリティ対策でございまして、こちらは御了承いただく案件となっております。
 それでは、まず議題1、医療情報システムの安全管理に関するガイドラインにつきまして、事務局から御報告をお願いいたします。よろしくお願いいたします。
【島井室長補佐】  ありがとうございます。それでは、まず議事1、医療情報システムの安全管理に関するガイドラインについて、事務局から御報告申し上げます。資料1を御参照いただければ幸いです。このたびのこのガイドラインにつきまして、本日の資料では大きく3つのパートに分かれております。
 まず、1つ目になります。ガイドラインの5.2版につきまして御報告申し上げます。従前より、本ガイドラインはe-文書法、並びに個人情報保護法等への対応を行うために、情報セキュリティ管理のガイドラインとして第1版が策定され、その後も、順次、各種制度や技術の動向等を踏まえましてアップデートしております。直近では、昨年度末、3月に5.2版を策定いたしました。こちらに関しまして、5.1版のときの改定と同様に、概要をまとめさせていただきました。
 大きく4テーマございます。まず、左上ですけれども、5.2版におきましては、様々な多くの方々が御参照いただくガイドラインの読みやすさの工夫といたしまして、本編と別冊編の分冊化を取り組ませていただきました。
 右上ですけれども、幾つかの御要望や御指摘等を踏まえ、5.2版への改定の際に、医療機関の内部と外部において、内部と外部ネットワークとの接続、また、既にオンライン資格確認等システムへの接続や電子処方箋の導入等のことを考え、外部アプリケーションとのセキュアな連携、そして、Bring Your Own Device、言わば御自身が管理される端末をセキュアに管理し、セキュアな運用下において利用することにも言及し、絵でまとめさせていただきました。
 左下ですけれども、法令で署名または記名・押印が義務づけられた文書に対する電子署名に関しましても御指摘等を踏まえ、各種調整の上、HPKI認証局が発行いたします電子証明証に加えて、適切な外部からの評価を受けた事業者によるサービス、また、公的個人認証サービスを用いることなどの考え方を示させていただきました。
 右下でございましては、不正ソフトウエア対策を含むサイバー攻撃の対策の強化と題しまして、先ほどの右上にございますとおり、外部ネットワーク接続等を行うとなりますと、様々なサイバーセキュリティ対策をより強化する必要性が出てきます。
 その辺りに関しまして、平時のうちからの事業継続計画などの策定、並びにシステム構成図等を整備、そして、システム障害、サイバー攻撃等を受けました際の体制、連絡先などをまとめておくというようなところに関しまして、まとめさせていただきました。
 以上、5.2版の改定に関する概要をまとめさせていただきました。
 続きまして、5.2版に改定させていただいた際、次のセクションにも関係いたしますけれども、5.2版は昨年度末までで検討できる範囲で、改定いたしました。その際に、中長期的な検討が必要という形で論点を整理したものがございます。概要としまして4テーマございます。クラウドサービス利用の拡大、多様化するサイバー攻撃への対応、並びに、昨今、様々な新技術が出てきておりますし、制度・規格等に関しましても、常時アップデートされるというようなことがございます。これらに関しましては、引き続き中長期的な論点として検討を継続するといたしておりました。
 これらを踏まえ、このたびガイドラインの改定を御報告させていただきます。ガイドラインの改定に関しましては、5.2版への改定の際の作業班と同様に作業班を構成させていただいております。こちらに関しまして、6.0版への改定におきまして、構成員の先生方に2点、御変更等がございます。国立がん研究センターの田中勝弥先生には、このガイドラインでも参照させていただいております、政府機関等のサイバーセキュリティ対策のための統一基準群という、まさに国の行政機関及び独立行政法人等の情報セキュリティ向上への統一的な枠組みに基づき、実際に様々な情報セキュリティ対策に関わられているという観点もございまして、御参画を新たにいただくことになりました。
 また、保健医療福祉情報システム工業会の電子カルテ委員会より、担当者の方の御変更ということで、新しく新垣様に御参画いただいております。このような構成員で、このたび6.0版への改定作業を始めさせていただき、約6回程度の班会議の開催を予定しております。
 この5.2版から第6.0版への改定の大きな方針といたしまして、2023年4月からの保険医療機関並びに保険薬局におけるオンライン資格確認導入の原則義務化ということも受けまして、概ねすべての医療機関等において、本ガイドラインのネットワーク管理のセキュリティ対策などに関して、必要となるだろうと。
 また、これらを踏まえまして、先ほど申し上げました5.2版への改定時に中長期的に検討を継続するといたしました論点、並びにこれらを中心に全体構成の見直しといったことも検討してはどうかと考えております。
 詳細に関しましては、次ページ以降で御説明させていただきますが、先ほど申しました5.2版への改定時の中長期課題といったものを、今一度、丸ぽつ3つにまとめさせていただいております。クラウドサービスの特徴等を踏まえ、また医療機関のシステムの類型別に応じた整理として、外部委託、外部サービスの利用に関する整理をしようと思っております。
 全体的な情報セキュリティに関する考え方に関しましても、ネットワーク境界防御型の考え方から、ゼロトラストネットワーク型思考といったものへも発展させていき、考え方を改めていこうと考えております。
 また、先ほど申しました新技術や制度・規格の変更への対応といたしましては、オンライン資格確認の導入に向けたネットワーク機器等の安全管理措置などもより急務になってまいりますし、その他、様々な技術やこの情報化に関する制度等への動向も踏まえました改定といったものを予定しております。
 概ねすべての医療機関の皆様に御参照いただくことがより重要となってくるのに際しまして、全体の構成の見直しに関しても検討しようと考えてございます。
 先ほど申しました様々な検討の詳細になってございます。まず、クラウドサービスの特徴を踏まえたリスクや対策の考え方に関しまして、一番右端の列に今後の対応方針案を記載させていただいております。クラウドサービスを支える様々なクラウド技術を、それぞれのサービス固有のリスクや対策についても整理させていただき、また、クラウドサービスに対する対策の特殊性に関しましても、整理しようと考えております。
 下半分のところですけれども、医療機関におきましては様々なシステムの類型がございます。こちら、例えばですけれども、オンプレミスという形で医療機関の内部だけでのシステム構築の医療機関もございますれば、クラウドサービスとの併用、または完全にクラウドサービスのみという形で、システムを利用されているというような、医療機関によって様々なシステムの類型がございます。こういうふうなことを考えまして、利用形態等に応じて整理をするというようなことも考えてございます。
 また、非常に多くのベンダーさんがシステムの構成をサポートされるというようなことに関しましては、責任の取決めの仕方などに関しましての考え方を整理しようと思っております。また、様々な、先ほどの複数のベンダーさんと同様に、外部サービスとの連携などになった際のシステム間での責任分界の考え方なども整理する所存です。
 続きまして、先ほど申しました情報セキュリティに関する考え方の整理のところでございますが、従前のネットワーク境界防御型という思考から、ゼロトラストネットワークという考え方に、さらに考え方の視野を広げていこうと考えてございます。
 ネットワークの安全性といったものに関しましては、やはり従前の内部と外部を分離して整理をするだけではなく、先ほど申しました外部のネットワークと接続するという状況が、常時常態化するというのがあり得ます。そういうふうなことからも、ゼロトラストの考え方に即した対策の考え方を示そうと思っております。
 また、その際に先ほどクラウドサービスの利用等でも申し上げましたが、この本医療情報システムに関わる全ての利用者、保守事業者や患者様等も含めまして、想定した考え方を整理しようと考えております。
 続きまして、情報セキュリティの非常時でございますが、災害並びにサイバー攻撃、システム障害等のシステムの非常時に関する対応や対応策という観点からは、こちらもゼロトラストの議論と併せまして、平時のシステムの異常といったものの検知の考え方などについても整理いたしまして、実行力に伴った対応の在り方を整理しようと考えております。
 また、サイバー攻撃に関しましては、攻撃のルートも非常に多様化しております。こういったことから、各ルートにおいて想定されるリスクや対策の考え方などにおいても整理させていただこうと思っております。
 また、情報セキュリティに関する考え方におきましては、1点、追加点がございます。本人確認でございますけれども、こちら、昨年度の規制改革会議の中においても御意見等を頂いたところでございます。こちらにありますとおり、昨今の様々なオンラインでの申請という場面で出ております、electronic Know Your Customer、eKYCでございますが、このオンラインで完結可能な本人確認といった手法運用が、医療の場において、どのような場面で使えるのかといったことに関しましても、そもそものeKYCの技術的な特徴や役割を整理し、この医療情報システムの利用という場面において、eKYCの利用可能性等を検討し、利用できるという範囲におきましては、想定されるリスク等についても整理させていただこうと考えております。
 続きまして、新技術、制度・規格等への変更に関してです。こちら、先ほども申しましたとおり、オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置といったものも必要になるかと思っております。つきましては、オンライン資格確認の導入に必要なネットワーク機器等に対する安全管理措置などをまとめ、Q&A等にもまとめて簡潔に記載をし、支援できるようにしてはどうかと考えております。
 また、新たな技術の1例といたしまして、PHSサービス、病院の医療機関の中では頻繁に使われておりますが、こちらに関しましては、昨今の5G、またはそれを院内に展開する、ローカルに展開するというローカル5Gという技術が出てきております。こちらに関しまして、実際にローカル5Gを導入する際、無線局免許取得などに関して必要なセキュリティ対応なども求められるのですけれども、こういった部分に関する指摘事項との整合性を踏まえて検討しまして、その検討に応じて、記載すべきか等の判断をさせていただこうと思っております。
 また、最下段でございますが、医療情報の共有や提供といった部分に関しましての法令等の規定や、技術・規格等の動向を踏まえまして、随時アップデートさせていただく点に関しましては、検討を進め、更新を進めようと思っております。
 これらに加えまして、このたび改定方針に基づいた中で全体構成の見直しというようなところを考えております。先ほど申しました医療機関等の様々な規模と多様なシステム構成、サービス提供形態というのを踏まえまして、安全な情報資産管理といったものをベースとしまして、まずは方針策定、戦略立案と言われますセキュリティの中でガバナンスと言われるレイヤー、そして、次に運営管理、システム運用というマネジメントの層の考え方、また、それらの下で管理手法、運用手段と、実際にセキュリティをコントロールするという、この3つレイヤーでの視点で整理してはどうかと考えてございます。
 こちらに関しまして、下の絵のところで先ほどの3つの視点が、緑の帯と、黄色の帯と、水色の帯になっています。これらの3点で、実際に全体構成を見直してはどうかと考えております。ただし、その際にですけれども、この各編にわたる前提といたしまして、概説というオーバービューをきちんと、まず「はじめに」という形でまとめさせていただき、本ガイドラインそのものの目的、また、ガイドラインが対象としている情報や文書、システムといったものを、今一度整理させていただこうかと思っております。
 また、このガイドラインですけれども、様々な法令等の規定と関連がございます。これらの法令等の規定との関係性を、今一度、経緯を含めまして整理させていただき、本ガイドラインを読んでいただくことによって、どのような法令等の規定との関連を、どのような形で距離感を持てているのかなども御理解いただけるような構成にしようと思っております。
 そして、まさに先ほど申しました、経営管理編、運用管理編、管理実装編と、それぞれの編の位置づけや、それぞれの目次構成に関しましても、基本的な概要を「はじめに」のオーバービューでまとめさせていただきまして、手に取られた方、全ての方がこの「はじめに」のところを概観いただけるようにと考えております。
 このように、全体の構成を見直すとともに、従前のとおり、ガイドラインに様々な別添の資料といったものがございます。Q&Aや用語集といったものに関しましてもアップデートさせていただきます。また、5.2版までの改定経緯や、関連法令等の規定などに関しましても、引き続き整理させていただきまして、このたび、特に5.2版から構成を見直すに際し、5.2版までの各項目や各文章といったものが、6.0版でどこに移っているのか、どのように解釈されたのかに関しまして、混乱や困惑を起こさないよう、遷移を丁寧にまとめさせていただこうと考えております。
 また、情報システムのセキュリティのところに関しましても、セキュリティ対策のチェックリストや、システム障害発生時の対応フローチャートなどに関して、経営管理層やマネジメント層のそれぞれの方々にとっての観点から、チェックリストやフローチャートなども意識して改定させていただこうと思っております。
 また、先ほど申しました医療機関の規模や医療機関のシステム構成によりまして、また、医療機関がどのようなシステムを、どのようなベンダーさんと、どういう責任分界で契約されているかによりましては、先ほどのこの左側の緑や黄色、水色の部分のどこにベンダーさんとの責任分解が切られているかなどもあるかと思います。そういったところも、読み手の皆様にとって、このガイドラインのどこを読めばいいのかなども考えられるような、ガイドラインの中の項目をまとめるというものを適切に整理させていただこうと考えております。
 このように全体の構成を見直すことにより、今後、ガイドラインの改定の中で、例えば法令等が変更した際には、経営管理編が変更に対応する、また、技術の新しい動向が出た際には、管理実装編のコントロール層のところからアップデートを図るなどと、昨今の様々な状況の変化に対しても柔軟に対応できるような構成となります。
 また、医療機関における組織の中での経営管理層の方々はじめ、皆様が自分はどのレイヤーを特に熟読せねばならないのかなどの、組織の構成や組織における役割にも応じた編の構成という形でアップデートできればと考えてございます。
 このような中で、6.0版への改定のスケジュール、現時点での予定でございますが、11月中をめどに改定案を作成いたしまして、12月中をめどにパブリックコメントを開始できればと考えております。
 そして、本年度中に6.0版を発出いたしまして、関連いたしますQ&A及びチェックリスト、フローチャート等も改定を予定しております。
 これらが6.0版への改定の概要でございます。
 最後に、3部目になりますけれども、関連いたします事項といたしまして、先ほど5.2版の概要でもお示しいたしました、保健医療福祉分野での外部からの適正な評価を受けた電子署名等の事業者に関しての専門家会議でございます。こちら、5.2版におきまして、適切な外部からの評価を受けた事業者による電子署名を用いる方法を整理させていただいております。
 電子署名サービスを提供される事業者による、この利用者の実在性、本人性、及び利用者個人の申請意思の確認、並びに当人認証、そして、保健医療福祉分野で重要な医師等の国家資格保有の確認の適切な実施を確保する仕組みが必要となります。
 これらに関しまして、公正に評価するための方針や基準、規則等の策定、評価体制等の検討を行う専門家会議を設置いたします。
 概要に関しましては、最後のページでございます。詳細に関しましては、参考資料で開催概要を添えさせていただきましたので、御参照いただければと思います。構成員は、電子署名等に関する技術面・法律面の専門家の先生方、そして、保健医療福祉分野における情報セキュリティにたけている先生方に御参画いただき、事務局は、デジタル庁と厚生労働省で本会議を運営させていただこうと考えております。
 予定に関しましては、左下のとおり、9月より開催し、策定等させていただく所存でございます。
 以上、長くなりましたけれども、議事1に関しまして御報告は以上です。
【森田主査】  詳細な御報告、ありがとうございました。それでは、ただいま御報告のございました議事1、医療情報システムの安全管理に関するガイドラインについて、この内容に御意見等ございましたら、御発言いただきたいと思います。事務局からの回答につきましては、まとめて回答いただくようにしたいと思いますので、御発言のある方は順次、手を挙げて御発言いただきたいと思います。いかがでしょうか。
日本医師会の長島先生、お願いいたします。
【長島構成員】  ありがとうございます。長島でございます。8ページの一番上に書いてありますように、来年4月からオンライン資格確認、これが原則義務化されるということで、これは医療DXの基盤となるシステムです。これがほぼ全ての医療機関、薬局に導入される。さらに、来年1月からは電子処方箋の運用が始まるということで、医療情報システムに関して全く新しい、大きくレベルが上がった段階に進むと考えられます。
 このときに重要なことが、1つは、もしもこの医療DXの基盤にトラブルが起こると、医療提供そのものに支障が出てしまう。資格確認ができない、あるいは処方箋が出せないということで、今までとは全く違うトラブルが起こるので、この安全性、継続性というのは極めて重要になると思っています。
 もう一つが、今までは外部に全くつながっていなかった、例えばオンライン請求もしていなかった施設、これがオンライン請求及びオンライン資格確認ということで外につながるということになりますが、これらの施設は、おそらく医療情報システムに関する知識や経験が極めて乏しいと思われます。そこに導入するということなので、このガイドラインに関しても、そういうところでも理解できるような、あるいは実践できるような、分かりやすい内容、あるいは実践しやすいものと、これを準備する必要があるのではないかなと思っています。
 さらに、医療機関、薬局では知識、人材、財源が極めて乏しいということで、特に知識、人材に関しては、やはり業界、業者の御協力がないと、とても実現不可能で、これは業界、業者と医療現場が一緒になって、このガイドラインを守るということを進めなければいけないと思っていますので、そのような内容が想定されているようですけど、ぜひそのように進めていただく必要があるかと。
 それから、今後、職員に対して、やはり個人情報保護、この新しいシステムを使うと、今までは閲覧できなかったような情報が場合によっては閲覧可能になるので、個人情報保護に関する院内の規則等をもう一度更新して、しっかりと徹底する必要がある。その見本になるようなもの、これも準備する必要があるのではないかと思っております。
 最後に、やはり電子処方箋が始まるということで、電子署名が、言わば初めて現実的に広く使われるということで、ここが安全性を保ちつつも、できるだけ使いやすいもの、医療現場の負担が少ないものにしていくということも、極めて重要かと思っております。
 私からは以上です。
【森田主査】  ありがとうございました。
 それでは、続きまして、吉川先生、お願いいたします。
【吉川構成員】  ありがとうございます。日本看護協会の吉川です。8ページにもありますように、来年からオンラインの資格確認導入が義務化されるにあたり、ネットワーク関連、特にセキュリティ対策はますます求められるということから、今回お示しいただきました第6.0版、この全体構成とか、見直しの検討をしていくことは非常に重要と考えております。
 ただ、今回の対応方法を様々示していただきましたけれども、看護の視点から申しますと、例えばオンライン資格確認ですと、今後、訪問看護事業所などにも入ってきます。非常に小規模の事業所がたくさんあるということと、病院のようにシステム担当者はおりませんし、やはりシステムには、どうしても精通していないというところがあります。第6.0版のこの改定の際は、医療情報の取扱いの経験が少ない現場での対応者であっても、理解しやすい内容にしていただければと思っております。
 5.2版に、分かりやすくというところで分冊していただいて、別冊という形で作っていただいたんですけども、やはり別冊を見ても、専門用語などもたくさんありますので、分かりにくいという状況があります。未経験者に向けた工夫の検討も、ぜひしていただければと思いますので、よろしくお願いいたします。
 以上です。
【森田主査】  ありがとうございました。
 それでは、続きまして、三原構成員、お願いいたします。
【三原構成員】  ありがとうございます。日本病院会の代表としてもしゃべらせていただきます。先ほど御紹介いただきました資料の13ページですが、経営管理の観点、運用管理の観点、管理実装の観点というところでまとめ直すという御紹介もあったのですが、ガイドラインとしてすごく精緻になってくるのは喜ばしいことだと思っていますし、各施策等を見ていると、そういう人材を育てようという、あるいは加算をつけていって、人を雇いやすいようにというふうにしていただいているのは見えてくるのですが、ちょっと現場の人間から言いますと、まだまだ人が足りなくて、両先生方がおっしゃったように、その領域の人材がやっぱり乏しい状況です。
 ただ、実装していかないといけないことは確かなので、そういうところに人を増やしていく。特に病院の中に、医療のワークフローも分かって、病院の中にどういうシステムが導入されているかというのを熟知した上で、施策を実装していく、そういう人材育成のところを、ぜひ厚生労働省としても、施策として実現性がある施策をお願いしたいと切に思っています。
 私が所属している施設ですらも人材不足になっていますので、これを全国に広げていくにはどうしたらいいかというのを、いま一度改めて御検討いただけると、ありがたいと思っています。
 以上です。
【森田主査】  ありがとうございました。それでは、手を挙げられた方は一通り御発言いただきましたので、事務局のほうから、コメントをお願いいたします。
【田中参事官】  御意見ありがとうございました。オンライン資格確認の義務化に伴って、分かりやすいガイドラインの作成ということで御意見を頂いたと承知をしております。そのような視点を忘れずに、6.0版の作成に当たっては、頂いた視点をきちっと分かりやすい形でお示しできればというふうに思っています。
 それから、ベンダーの協力についても御意見がございました。三原先生からもお話がございましたが、まさに病院内の人材が足りないと。すぐに人材が育成できるわけではないので、まさにベンダーと医療機関が同じ認識を持って、協力して、このセキュリティ対策を実施できる環境づくりというのは非常に重要だと思っています。
 ただ、それだけではなく、医療機関にしっかりと人材育成をという御意見だったと思っておりますので、厚生労働省だけでできる話ではなく、学会や現状の人材がどれぐらいいるのか、そういったことも確認をしながら、より効率的にこの医療機関の人材を確保する方法について、まずは、いろいろな先生方からも御意見を頂くようにしたいと思っております。頂いた御意見踏まえて、しっかりと取組をさせていただきたいと思います。
 事務局からは以上でございます。
【森田主査】  ありがとうございました。
 それでは、ほかに御発言いかがでしょうか。今日、欠席の先生方からもコメントが出ておりますので、それを御紹介いただけますか。
【島井室長補佐】  事務局より、本日御欠席の宍戸構成員、高倉構成員からコメントを賜っておりますので、代読させていただきます。
 まず、宍戸構成員からは、このガイドラインにおきまして、情報セキュリティに関する考え方がネットワーク境界防御型から、当該型も含むゼロトラストネットワーク型に思考を広げていくというふうに認識をしましたので、引き続き改定に関して期待していますというコメントを頂いております。
 また、高倉構成員からは、同じくこのガイドラインにおきまして、1点御意見と、同じくコメントを頂いております。法令等で定められた長期保管の文書、例えば血液製剤に関する記録といったものは、少なくとも使用日から20年を下回らない期間、保管というふうに言われているものがございます。こういったものをデジタルで実現する際の長期保管の方法を示していただきたい。今の医療機関で頻繁に使われていますデジタルメディアでは20年ももたないだろう。また、長期保管できる製品といったものもあるのですが、医療機関で購入されているようには思えず、20年もたたないうちに、そもそもその製品も廃盤になる可能性も否めない。また、これら長期保管におきまして、電子署名書の有効期間のほうが短くなる場合、電子署名や暗号で使用される技術といったものが危殆化するという場合を想定しなければなりません。また、その際の対応手順等もあらかじめ定めておくことが望ましいのではないかという御意見も賜りました。
【森田主査】  ありがとうございます。これについて、特に、高倉構成員のコメントについては、よろしいですか。
【島井室長補佐】  はい、こちら作業班等でも随時検討させていただこうと思います。
【森田主査】  ありがとうございました。それでは、さらに御発言ということで、薬剤師会の渡邊構成員から、どうぞ。
【渡邊構成員】  失礼いたします、渡邊です。少し細かい点のお願いですけれども、スライドの11ページのところに、6.0版に向けてeKYCに触れられるような記載がなされていますけれども、これに関しましては、本人確認のみの部分であり、署名等をするものではないので、しっかり整理したうえでの記載をお願いしておきたいと思います。
 また、併せてですけれども、保健医療福祉分野における電子署名等環境整備専門家会議を別途立てられるという部分ですので、ここに関しましては、5.2版で載せられた部分の立会人型署名においても、資格の検証等が担保できるように、しっかりとした議論をお願いしたいと思いますので、2点よろしくお願い申し上げます。
 以上です。
【森田主査】  ありがとうございました。この点については、事務局いかがですか。
【島井室長補佐】  ありがとうございます。まさに、先ほど御指摘いただきましたeKYCの件に関しましては、eKYCはそもそも電子申請のときのオンラインでの本人確認のためのサービスと認識しておりますので、eKYCのサービスの目的なども整理した上で、まとめさせていただきます。
 また、もう一点御指摘いただきました専門家会議におきましても、様々な電子署名のサービスが世にあるというのも承知しておりますので、その中でこの保健医療福祉分野というような領域において、きちっと適切に使えるものは何なのかといったところの基準等を策定させていただこうと思っております。
 御指摘ありがとうございます。
【森田主査】  ありがとうございました。この議題1につきましては、さらに御発言はいかがでしょうか。
 宇佐美構成員、どうぞ。
【宇佐美構成員】  歯科医師会の宇佐美でございます。先ほど、長島委員からもございましたが、来年からオンライン資格確認システム、並びに電子処方箋もスタートする。我々、歯科の業界も、紙レセプトを出していた医療機関から、またネット環境のない医療機関も、原則義務化ということで参加することになります。大変そのシステムに疎い医療機関も数多くが参加して、その医療DXの基盤の中に入っていくということになりますので、その辺をぜひ対応できるようなガイドラインの検討をしていただきたいと思います。
 あと、今、渡邊委員のほうからもeKYCが出ていました。併せまして、電子署名等の環境整備につきましては、以前から申し上げるように、歯科医師会のほうでまだHPKI等の認証局も設けてございません。MEDISにお願いして、電子処方箋のHPKIに対応していくという、今現状になっております。HPKIの発行手数料がかかるということで、歯科医師会のほうは喧々諤諤の状態で動いておりますので、この辺も対応できるようなガイドラインの方向をぜひ見定めていただければと思います。よろしくお願いします。
 以上です。
【森田主査】  ありがとうございました。
【島井室長補佐】  御意見、頂きましてありがとうございました。またよろしくお願いいたします。
【森田主査】  それでは、長島構成員。
【長島構成員】  再度お願いします。電子署名に関しまして、先ほど安全性を保ちながら利便性を高めると申しましたけれども、まさにその目的のために、日本医師会、日本薬剤師会、医療情報システム開発センターにおきまして、HPKIのセカンド電子証明書というもので、カードは持っていただきますが、そのカードから上乗せの形でクラウド型の、カードがなくても使える電子証明書というのを提供する予定になっております。そのような形でしっかり貢献してまいりたいと思っております。
 以上、御報告でした。
【森田主査】  ありがとうございます。これは、コメントはよろしいでしょうか。
 それでは、この件はよろしいでしょうか。大山先生、お願いいたします。
【大山構成員】  今回のガイドラインの改定に関して、皆さんからの御意見も含めて、私も思うところがいっぱいございます。1つだけ、ぜひこういう場で、方向性が分かればいいなと思っていることがあります。
 というのは、先ほど、医師会の方をはじめとして、皆様方から、これから新たにネットワーク化をすることによって、オンラインを使うようになるという人たちが、事業所を含めて出てくるという話がございました。そうなりますと、経験があまりないので、いわゆる知識を持っていただいて、そして、セキュリティレベルを最低限のものを確保していただくと。よく言葉はあまりよくないですけど、いわゆる底上げをするという言い方になるかと思います。
 それと、一方で、ガイドラインの中の案では、ゼロトラストセキュリティの話のようなものが出てきていたり、eKYCも出ていますが、これらは、あまりまだ正直言って、なじみが薄い方も多くいらっしゃる、新しい技術に近いものが出てきていると。この2つというのは、一緒に書いていくと、読む人によっては、どっちを主眼にしているのかと分かりにくくなってしまう。
 この辺のところについて、やっぱり2つ分けたほうがいいというお考えかどうかというのを、お聞きしたいと思います。特に考えたほうがいいかなというのが私の意見です。特に、ゼロトラストは、1つの万能の技術があって、これを導入すれば全部できるという簡単なものじゃないです。コンセプトになっていますから、1つでも、逆に言えば、穴があれば足らなくなってしまう。すなわち、底上げをしようとしているところに、ゼロトラストを使えば大丈夫だと言って、1個でも何かやっているから安心されては困るという、分かりにくい状態が起こってしまうことが懸念されます。
 このようなところについて、厚生労働省はじめ、作業班の人たちにも、ぜひそこはしっかり認識した上で作業を進めていただきたいと思うのですが、現場の先生方の御意見というのを、ぜひこういう場で聞かせていただけるとありがたいなと思うところであります。
 以上です。
【森田主査】  ありがとうございました。どなたか、現場を御存じの構成員の方、御発言いただけますでしょうか。
 では、長島先生、お願いいたします。
【長島構成員】  長島です。今の御指摘、本当にそのとおりかと思います。やはり現場が混乱してしまうというのが非常に困ります。そういう意味で、さっき申しましたけれども、このガイドラインもそういう知識が乏しい人にとっても分かりやすいもの、あるいは実践しやすいものというのを目指していただきたいと思います。
 と同時に、やはりそれぞれの医療機関、あるいは調剤薬局等で御自分のところの情報システムはどうなっているかという現状把握というのは極めて重要かと思いますし、それを業者とともに、今後、より安全に、あるいは使いやすくするためにはどうしたらいいのかと、一緒に相談しながらやっていくということかと思います。個々のところでやるのは大変なので、やはり例えば、三師会と、業界と、あるいは専門の学会、あるいは専門の組織に協力いただいて、今後どうやっていくと、より実践しやすい安全対策ができるか。
 それを、あるいは、例えば医療機関のタイプ別に見て、こういう場は、こういう方法がいいだろうというような形でボトムダウンしていく。あるいは、こういう課題があるというようなボトムアップしていくと、この両方向で進めるのがいいのではないかなというふうに考えております。
 私からは以上です。
【森田主査】  ありがとうございます。今のは、御意見ということで、よろしゅうございますね。
 それでは、次、手が挙がっておりますので、山本構成員、どうぞ。
【山本構成員】  ありがとうございます。大山先生の御意見、ごもっともだと思います。ゼロトラストの概念を導入する必要があるというふうに言っているのですが、ゼロトラストというのは結構広い概念で、ほとんどバズワードに近いような言葉になってきているので、ゼロトラストを大幅に導入するという意味で書いているわけではないのですけれども、ただ、今、現状、例えば病院で問診システムをクラウド上に置いておいて、そのクラウドと医療情報システムをつなぐというふうな、非常に多彩なクラウドサービスの導入というのが行われています。
 また、FHIR規格でのドキュメントの交換というのを、データヘルスのほうで推奨していますけども、FHIRサーバーを置くと、ここはどうしてもそのアプリケーション連携で、アプリケーションを認証せずにつなぐというようなことがありますと、多層防御だけでは守り切れないというふうなところがあります。したがって、医療機関の様々なサービス拡張に伴って、加味したほうがよいセキュリティという意味で検討している最中でございます。
 ですから、両方、どちらか選べというふうなことを想定しているわけではなくて、多層防御だけではちょっと心もとなくなるようなサービスが存在するので、その際には、ゼロトラストセキュリティの中の幾つかの考えをプラスアルファで導入しないと、患者さんの情報は守れないかもしれませんよというふうなことで、追加をする。ですが、そういうサービスを導入しない医療機関には全く関係ない話です。
eKYCはやはりどう考えても、IAL、AALのレベルで考えると低いですので、少なくともその医療従事者が多数の患者さんの情報を扱うようなときの認証には使えない。
 一方で、患者さんへのサービスとして使うときに、患者さんに全てそのJPKIで署名しろというのもなかなか厳しいものがありますし、中身によってはeKYCでいいのがあるかもしれない。そういったことを少し緻密に検討して、ケースを提示できればというふうに考えております。
 以上、作業班の座長としての今の考えで、これはまた作業班での議論を踏まえて変わってくるかもしれませんけど、現状はそのように考えております。
 以上です。
【森田主査】  ありがとうございました。作業班のほうからの見解だということでございますので、ありがとうございました。
 それでは、ほかに御発言はよろしいでしょうか。
 ないようでございますので、次の議題に移らせていただきます。
 それでは、続きまして、一般社団法人保健医療福祉情報システム工業会、JAHIS様より御講演をお願いしたいと思いますので、よろしくお願いいたします。
【保健医療福祉情報システム工業会(茗原)】  一般社団法人保健医療福祉情報システム工業会、医療システム部会セキュリティ委員会で委員長をしております、茗原秀幸と申します。本日は、15分ほどお時間を頂戴いたしまして、JAHISの活動について御説明を申し上げたいと思います。よろしくお願いいたします。
 次のスライドをお願いします。まず、サイバーセキュリティに対するJAHISの対応ということで、近年は医療機関に対するランサムウエアによる重篤な被害が発生して、マスコミでも大きく報道されているということを受けて、JAHISセキュリティ委員会としても、厚生労働省様と協力して各種啓発活動というものを実施させていただいております。
 一番の大きなポイントとしては、セキュリティ関連のJAHIS標準類というものを発行して、会員各社に対する理解の促進と啓発を図っていっている。これは後ほど詳述させていただきます。
 また、会員向けの啓発活動や支援活動として、具体的なものとして、医療機関に対するリモート保守のリスクアセスメントを支援するためのISMS準拠リスクアセスメントテンプレートというものを公開して、リスクアセスメントを簡易にやりやすいようにという支援をしております。
 また、医療情報システムの安全管理に関するガイドラインの適合性を示す開示書、これも後ほど御説明しますが、こちらの書き方セミナーの開催による会員への啓発。それから、毎年6月に開催するセキュリティ標準化セミナーにてJAHIS標準類の啓発活動を実施しております。また、毎年3回、個別に開催しているんですけれども、こちらの新人教育セミナーのセキュリティ教材というもので60分の講座があるんですが、その中で特に5.2版で議論になりましたバックアップの考え方も含めて詳述させていただいております。
 それから、関係各所への協力や支援活動といたしましては、医療セプターオブザーバーとして重要インフラレターなどの会員各社へ情報発信ということで、医療機関に対して適切なアドバイスができるように、あらかじめ会員各社が同じ情報を共有していくということをやっております。
 また、社会保険診療報酬支払基金のオンライン資格確認等に対するリスクアセスメントの支援ということで、オンライン資格確認、電子処方箋等に関するリスクアセスメントのサポートをさせていただいております。
 また、日本薬剤師会による薬剤師啓発用のeラーニングコンテンツ開発への協力もさせていただきまして、eラーニングのセキュリティパートについて担当させていただいております。
 また、医機連のサイバーセキュリティタスクフォースに対する委員派遣によって、医療機器のサイバーセキュリティ対応への協力、こちらは医薬局とかPMDAの対応になりますが、そちらのほうもやらせていただいているというところでございます。
 次、お願いします。次が、セキュリティ関連のJAHIS標準類の御紹介ということで、この番号が発行年度と、そこのシークエンシャルな番号ということで、セキリティー以外も出ているので番号は飛び飛びでございますが、御紹介します。
 一番新しいものが、保存が義務づけられた診療録等の電子保存ガイドライン、こちらの最新版の改定が行われたものです。これは、電子保存外部保存システムにおける技術的対策として、ベンダーが整備すべきものというものを規定しておりまして、安全管理ガイドラインに適合する情報システムというのはどうあるべきかということを、JAHIS会員に対して求める内容が記載されてございます。2022年6月改定の際に、ガイドラインの5.2版の内容を反映して、サイバーセキュリティ対策についても具体的に詳述してございます。
 次が、リモートサービスセキュリティガイドライン、こちらはリモート保守などのリモートサービスを実施する際のサービサーとして考慮すべき事項というものを規定してございまして、こちらも4月改定のときに、安全管理ガイドライン5.2版との整合を確認してございます。これも、後で別枠で詳述させていただきます。
 続いて、ヘルスケア分野における監査証跡のメッセージ標準規約、これは医療情報システムにおける証跡としての監査ログのメッセージを規定しております。
 続いて、製造業者/サービス事業者による医療情報セキュリティ開示書ガイド、これは先ほど、冒頭でもありました開示書というものでございまして、医療情報システム/サービスの安全管理ガイドライン対応状況を自ら説明するためのフォーマットを規定しておりまして、これを利用することにより、医療機関からすると、統一フォーマットで各システムの対応状況を一覧整理することができるということを狙っております。
 これにつきましては、安全管理ガイドライン5.2版対応に向けて改定作業実施中と、また、HELICS申請を実施いたしまして、つい先日、承認されたという情報を頂きました。
 次に、ヘルスケアPKIを利用した医療文書に対する電子署名規格ということで、HPKIを利用して否認防止のための電子署名、今回も話題になっておりますが、これを行う際の手続を規定してございます。長期保存のお話も高倉先生からコメントがあったということでございますけれども、長期署名フォーマットを規定しておりまして、現在はFHIR対応に向けて、XMLと、CMSと、PDFに加えて、JSONという新しいフォーマットがあるんですが、こちらの長期署名フォーマット対応の改定作業を実施しているところでございます。
 次、お願いいたします。続いて、シングルサインオンにおけるセキュリティガイドラインということで、これは病院内の複数システムにおいてシングルサインオンを実現するための要求事項と、リスクアセスメントの考え方を記載と、実は、地域連携のセンターサーバーとか、認証センターとか、そういったものと連携するというところも含めた記載をさせていただいております。現在は、FHIR対応を意識してOpen ID connectとか、OAuth2.0への対応を含めた改定作業を実施しているところでございます。
 続いて、HPKI対応ICカードガイドラインですが、こちらはHPKI証明書をICカードに格納した場合のHPKI認証のアクセスメソッドを規定してございまして、現在発行されているHPKIカードにつきましては、こちらのガイドラインと同じ内容になっていると理解してございます。
 続きまして、HPKI電子認証ガイドラインですが、こちらはHPKIを利用して本人確認などの認証を行う際の考慮すべき事項を規定してございます。いわゆるいいかげんな検証方法で、誤ったとか、偽の証明書などを信じてしまわないようにするために、何をしたらいいかということが書いてございます。
 続いて、JAHIS技術文書、こちらはJAHIS標準ほどの強制力はないんですけれども、技術紹介に当たるものになります。セキュアトークン実装ガイド・機器認証編、こちらは、医療機関内における無線接続機器の機器認証のためのクルデンシャル、これをセキュアに格納・利用するための考慮事項を記載しております。内容としては、主にIEEE802.1Xなどのことが書かれてございます。
 次が、セキュアトークン実装ガイド・ノード認証編ということで、医療機関内、施設間におけるノード認証のためのクルデンシャルをセキュアに格納・利用するための考慮事項を記載しております。こちらは、どちらかというと、TLSクライアント認証などを意識した記載となっております。
 次、お願いいたします。そして、セキュリティ委員会のJAHIS標準類策定における考え方と対応例ということでございますが、レギュレーションにおいては厚生労働省の安全管理ガイドラインを遵守することを念頭に置き、安全管理ガイドラインと整合性をとった規約、ガイドラインを制定していく。スタンダードにおいては、ISOとの整合性を確保するため、JAHIS標準類のISOへの提案や、ISO規格のJAHIS標準類への取り込みを実施するという考え方でやっております。
 工業会組織であるために、視点はあくまでベンダーの視点であって、医療サービサーや情報システムサービサーの視点ではないという課題がありました。そうなってくると、最近はJAHIS会員が情報システムサービサーとなる事例が多くなってきております。そういうことで、クラウドに関する安全管理ガイドラインへの準拠性を示す開示書の策定要望とか、リモート保守における適正な対応が求められてきているということでございます。
 それに対応いたしまして、前者につきましては、JAHIS標準「製造業者による医療情報セキュリティ開示書ガイド」を「製造業者/サービス事業者による医療情報セキュリティ開示書ガイド」に改定して、HELICS申請を実施いたしました。後者につきましては、JAHIS標準「リモートサービスセキュリティガイドライン」に基づくリスクアセスメントの普及啓発活動を実施して、リモート保守のみならず、様々なサービスのリスクアセスメントに活用いただくということをしております。
 次、お願いいたします。その中身、具体的なものですが、先ほどから後述すると言っていた開示書につきましてですけれども、こちらが製造業者/サービス事業者の医療情報システムのセキュリティ機能に関する説明を標準的記載方法、書式を定めて、各社、これに従って書いていただくということになってございます。
 構成としては、チェックリストに「はい」と「いいえ」と「対象外」を書くようになっておりまして、説明を必要とする場合には、備考欄というところに飛ばすと、そこのところの欄にこれに関する詳細説明を書けるというような構造になってございます。
 チェック項目に関する記入方法というのをガイドの中で解説しておりまして、これとは別に、セミナー等を行って、出てきたQ&Aを集積したものをQ&A集として出しておりまして、こちらも用意してございます。
 製造事業者向けのMDS(Manufacturer Disclosure Statement)は、安全管理ガイドラインの各章の最低限のガイドラインの技術的対策項目について、サービス事業者向けのSDS(Servicer Disclosure Statement)は、運用も含めた対策項目について、対応状況を記載するようになってございます。
 この策定に当たっては、JAHIS/JIRAの合同ワーキングというところでやっているんですけれども、さらにオブザーバーとしてJEITAとASPICのメンバーを加えて、医療情報システム関連の業界団体が結集して検討を実施しているという形になってございます。
 次のページをお願いいたします。適用イメージでございますけれども、医療機関等が新規システムやサービスを導入する際に、安全管理ガイドライン準拠のために必要な事項をMDSやSDSを用いて確認することで、ベンダー側がやっている技術的対策はここまでよ、サービサーがやっている運用的対策、技術対策はここまでよ、なので、医療機関は追加でこういうことをやってくださいとか、ここができているので、医療機関の追加対策は要りませんと、そういったことが一覧で分かるようにするということを目指しているということでございます。
 次をお願いいたします。続いて、リモートサービスセキュリティガイドラインでございますが、こちらは医療機関内の情報機器・システムを遠隔保守するケースのモデル化を行って、そのモデルに対してISMS(Information Security Management System)の手法に従ったリスクマネジメントの実施例を示しています。それによって、医療機関の管理者、及び遠隔保守を行うベンダーが、実施例を参考にリスクアセスメントを実施することによって、情報資産を安全かつ効率的に保護することができるようになることを期待してございます。
 策定に当たっては、JIPDECさん(一般財団法人日本情報経済社会推進協会)と連携いたしまして、JAHIS標準改定作業の際には、ISMSの最新動向とか規格の内容とかの確認をJIPDEC様と連携してやらせていただいておりまして、最新のISMSの記載と合うような形で出させていただいてございます。
 ポイントとしては、標準的なリモート保守モデルというものを定義しておりまして、予防保守、ソフトウエア改定、故障対応、監視といったようなもののモデルを規定してございます。そして、JISQ27001:2014並びにJISQ27002:2014という、ISMSの日本の国内の標準、もちろんISOにもなっているもののJIS版です。こちらに基づいたリスクアセスメントを実施してございます。
 汎用的なリモートサービスのリスクアセスメントに利用可能なテンプレートを作成いたしまして、自由に使っていただくことで、いわゆる保守以外のリモートサービスに対しても活用いただけるということになってございます。
 実際の利活用例といたしましては、医療情報システムベンダー各社のリモート保守のリスクアセスメントに活用したり、オンライン資格確認のリスクアセスメントのベースに活用いただいたり、電子処方箋のリスクアセスメントのベースに活用いただいたりということをしております。
 また、ISO/TS11633-1:2019、ISO/TR1633-2:2021として2分冊されて、本内容がそのままISOになっております。
 次をお願いいたします。私ども、JAHISとしての会員各社へのサイバーセキュリティの啓発ポイントということで、まず、サイバー攻撃とは何ぞやという話から説明をしております。これは、あくまで引き金事象で、それによって起こるのは医療情報システムの異常であるよと。そして、医療情報システムの異常というのは、医療事故そのものではないです。通常の情報セキュリティ対策で対処可能であれば、インシデントとして事態は収束します。
 異常が生じたシステムを起因とする医療安全問題が発生した場合には、アクシデントとなるよということを正しく理解して、それに応じた対応が必要ですねと。すなわち、医療情報システムの異常に対する対策というものと、引き金事象の予防の両方の対策が必要だということになります。
 引き金事象の予防については、サイバーセキュリティを意識した対策、これはサイバーセキュリティとしてアタックをかけてくるので、それに対する対策が必要になります。ただし、セキュリティに100%はないというのが定説でございまして、予防はあくまで発生確率を下げるということが目的で、幾つかの攻撃というのは擦り抜けてくるということは当然ございますので、事象が起きてしまうことはあるでしょう。なので、事象が起きた後というのは、きちっと対応しなきゃいけない。
 ただし、その事象が起きたときに起こるのは、情報システムの異常でございますので、従来、サイバー攻撃があろうと、なかろうと、起こっていたことと対応することとしてはさほど変わらないということで、サイバー攻撃に特化したものはないですよということになります。
 例えば電子カルテデータの破壊というのは、ハードウエアの故障もあれば、従業員によるミスとか、悪意による削除でも発生する。サイバー攻撃だけで起こることではないよということでございます。
 行うべき対策は、サイバーセキュリティに特化したものではなく、常日頃から様々なセキュリティのリスクを踏まえた対応をしていくということが必要だということでございまして、それを踏まえた会員各社への依頼事項ということで、自社が提供するシステムやサービスに対する脆弱性の把握と、可及的速やかな対応をしてくださいと。
 また、医療機関等からの問合せや、相談に対する適切な対応と情報開示、これは、言われたから答えるというレベルも当然必要なんですが、それだけじゃなくて、積極的にベンダー側から、こうなっています、ああなっています、いかがしますかということを、情報を示しながら医療機関と相談して、適切な関係の中でよいセキュリティをつくっていくということをやっていただきたいと思っています。
 また、昨今の情報セキュリティ事故を踏まえた適切なシステム・サービス設計ということで、日々様々な攻撃方法が出てきますので、そういったものに対して耐えられるようなシステム・サービスに関する開発アップデートを日夜行っていただきたいということで、御説明を申し上げております。
 以上でございます。御清聴ありがとうございました。
【森田主査】  ありがとうございました。それでは、ただいまの講演につきまして、御意見、コメント等ございましたら、御発言をお願いいたします。いかがでしょうか。
それでは、長島先生、お願いいたします。
【長島構成員】  先ほど申しましたけれども、医療機関、調剤薬局だと、なかなか知識とか人材が非常に乏しいところが多いので、やはりここは業界、あるいは業者と連携して、一体となってしっかり対応するということが重要かと思います。そういう意味で、こういうふうに、まず工業会のほうである程度基礎をしっかりつくっていただいたことはありがたいのですが、それを個々の業者が、個々の医療機関とどのように連携するかということが非常に重要なので、そのようなところを、例えばこういうような契約を結ぶといいとか、こういうようなチェックポイントがありますよとか、あるいは好事例とかがあれば、そういうようなものの紹介も、今後していただけるとありがたいと思います。
 以上です。
【森田主査】  ありがとうございました。これはよろしいですね。
 それでは、ほかに御発言いかがでしょうか。
 利光構成員、どうぞ。
【利光構成員】  愛媛大学の利光です。よろしくお願いします。先ほど引き金事象の予防と、事象が起きたときにやることが、従来と一緒でサイバー攻撃に特化したものはないという御説明があったかと思います。実際に電子カルテがこのサイバー攻撃じゃなくても、止まることもあります。当然あるわけです。
 実際に止まったときに、ただ止まっただけだったら報告義務もないと思うのですが、やはりサイバーセキュリティの問題で、何かが起きた場合は報告することも必要になりますし、やはりその連絡とか対処方法というのは、専門家がいない病院ほどすごく大変な思いをし、悩まれることが多いかと思います。そういう面についてはガイドラインにも記載ということにはなるのかもしれませんけれども、私のような大学病院だと常駐しているし、実際専門家もいるしというところなんですけど、多くのところがいらっしゃらなくて、常にそういうことで悩まれているという現状がございます。
 ぜひそこのサポートもいただければと考えます。よろしくお願いいたします。
【森田主査】  ありがとうございました。これについては、よろしいでしょうか。そのようにしていただければと思います。
 ほかにいかがでしょうか。よろしいでしょうか。せっかくの機会ですが、特に御発言がないようですので、続きまして、資料の2-2、医療機関におけるサイバーセキュリティ対策のさらなる強化策につきまして、事務局から御説明をお願いいたします。
【田中参事官】  事務局でございます。5月27日の本ワーキンググループにおいて、医療機関におけるサイバーセキュリティの徹底ということで、皆様からいろいろ御意見を頂きました。その御議論をいただいた内容をまとめたものが、本資料でございます。
 1枚おめくりをいただきまして、短期的な医療機関におけるサイバーセキュリティ対策ということで、その議論のときにも、なかなかサイバー攻撃をゼロにすることは難しい中で、やはり国民への影響を最小限にするということで、長期に診療が停止することがないようにするというのに、まずは軸足を置いて、この短期的なサイバーセキュリティ対策をまとめていきますというお話をさせていただきました。
 その中で、まず1、2、3として、平時の予防対応、インシデント発生時の初動対応、日常診療を取り戻すための復旧対応と、大きく3つの柱を立てた上で、それぞれに必要な対策を記載させていただいております。
 予防対応としては、医療機関向けサイバーセキュリティ対策研修の充実、脆弱性が指摘されている機器の確実なアップデートの実施、医療分野におけるサイバーセキュリティに関する情報共有体制の構築、検知機能の強化、G-MISを用いた医療機関への調査実施。初動対応としては、インシデント発生時の駆けつけ機能の確保、行政機関等への報告の徹底。日常診療を取り戻すための復旧対応として、バックアップの作成管理の徹底、緊急対応手順の作成と訓練の実施ということで記載をしております。
 また、その際、中長期的な課題というのも幾つか御意見を頂いたところでございまして、その中にまずバックアップデータの暗号化、秘匿化、それから保健医療分野におけるSOCの構築ということでまとめをしております。
 1枚おめくりをいただきまして、文字が大変多いのですが、1枚にまとめました。それぞれの対応について、取組事項を具体的に記載しております。まず、セキュリティ対策の研修の充実ということで、具体的に、医療情報セキュリティ研修及びサイバーセキュリティンシデント発生時初動対応支援・調査事業一式というものを、8月19日に公示を開始しました。
 この事業によりまして、医療従事者や経営層等へ階層別のサイバーセキュリティ対策に関する研修の実施や、ポータルサイトを通じた研修資材の提供、これは前回の会議でもお話をさせていただいておりますが、400床以上の保険医療機関においては、年に1回研修をすることが加算の要件になるということで、そういったところで、活用できるような資材を提供することも、こちらの事業の中で念頭に置いております。
 それに加えて、②として、脆弱性が指摘されている機器・ソフトウエアの確実なアップデートの実施につきましては、医療法第25条第1項の規定に基づく立入検査の実施により確認を行うこととしたいと思います。例年発出しておりますこの「立入検査の実施について」という通知で、令和4年度はサイバーセキュリティ対策の強化に関する事項について、新たに記載いたしました。
 加えて、今年度中に医療機関等の管理者が遵守すべき事項に位置づけるための省令改正を行う予定でございます。
 また、NISCより情報提供のあった脆弱性情報について、医療セプターを通じた情報提供を引き続き確実に行うということもさせていただきます。
 それから、ISACの構築ですが、他分野のISAC関係者の協力を得つつ、医療関係者数名のコアメンバーによる検討グループを年内に立ち上げる予定でございます。そのISACですが、やはりこの医療分野におけるISACの中心は医療機関であるということを明確にしながら、まさにコロナ対応などで皆様、非常にお忙しい中でも、そういった医療機関がまず自分たちの情報を共有していくことが重要なのだということで、まずは第一歩ということで考えているところでございます。
 それから、検知機能の強化。これは、前回の会議の中で御意見を頂いたところでございますが、不正侵入検知・防止システムの設置・活用を進めるよう、医療情報システムの安全管理に関するガイドライン改定の検討を行うというふうに記載しております。既にこのシステムについても言及はされてますが、なかなか設置や活用を進めるような表現にはなっていないので、そういったところも含めて、改めて検討させていただきたいと思います。
 それから、昨年秋に診療が止まった事例ということで、大きく報道などをされたサイバーの事案がございました。それらを含めて、今年の1月からG-MISを用いて医療機関への調査を、我々としても行いました。これを今年度も引き続き、定期調査を実施したいと考えています。
 例えば、この立入検査のお話を、留意事項について認識をしているか、前回聞いた内容をさらに認識しているところが増えたか、減ったかみたいなことも含めて、新たな質問事項なども加えつつ、調査を実施し、医療機関のサイバーセキュリティ対策の現状をしっかりと踏まえた上で、この対策に生かしていきたいと思っております。
 初動対応ですが、インシデント発生時の駆けつけ機能の確保。これは、前回サイバーセキュリティお助け隊のお話を経済産業省からもしていただきましたが、中小企業向けのサービスということもございまして、あまり大きな医療機関への対策というのは実は難しいと。その中で、やはり200床以下ぐらいの医療機関に対してはこのサービスが活用できるのではないかというお話がございましたので、そういった周知広報をさせていただきたいと思います。
 それ以上の大きさの医療機関については、先ほど申し上げた調査事業の一式の中で、サイバーセキュリティンシデントが発生した医療機関の初動対応の支援を行う予定にしております。これは予算の範囲内になりますので、20も、30もというわけにはいきませんが、まず何が初動対応で、医療機関の中で課題があるのか。それから、実際にセキュリティの攻撃を受けた場合に、その医療機関でどんなことが問題だったのかというようなことを少し明らかにすることで、今後の各医療機関の対策が進むような、そういうようなことを念頭に置いております。
 それから、行政機関等への報告の徹底ですが、既にガイドラインに基づいた厚生労働省への報告、それから、前回ちょっとお話のあった個人情報保護委員会への報告の義務化、これについては引き続きの周知を図ってまいります。
 また、このガイドラインに基づいて医療機関から報告のあったインシデントの事案については、今までは公表していませんでした。ところが、やはり攻撃先が同定されない程度に報告内容を適時情報提供することで、攻撃手法や脅威について分析を行い、全国の医療機関へ情報発信、注意喚起を行うことが、まさに「こういうことをしていただけるのなら、報告しよう」というところもあると思いますし、せっかく報告した内容を皆様と共有することで、より次の攻撃に備えるということで、このような形で情報共有を進めたいと考えております。
 また、復旧対応ですが、バックアップの作成・管理の徹底、こちらは、セキュリティ研修やG-MISの調査を通じて、バックアップの具体的な作成が明記された、このガイドライン、5.2版の周知を引き続き行ってまいります。
 それから、令和3年6月に「医療機関を標的としたランサムウエアによるサイバー攻撃について」というのが既に出されていますが、かなり細かく書いてありますので、これをしっかりと記載事項に留意していただいて、バックアップを行うことを周知します。
 それから、令和4年度診療報酬改定における診療録管理体制加算に係る報告書、これが7月の報告になりますが、まとまるのは年度末ぐらいになると聞いておりますが、バックアップ保管に係る体制等の確認を行って、まさに医療機関、現状がどうなのかということをしっかりと確認したいと思っています。
 それから、緊急対応手順の作成と訓練の実施。これは、まさにサイバーセキュリティンシデントが発生した際の対応手順というのを事前につくっておくことで、まさに復旧対応に差が大きく出るという認識でございまして、適切な対応フローの整理などを行います。その対応フローを基に、それぞれインシデントに備えたBCPの提案などを行っていきたいと思っています。
 次のページは、中長期的な医療機関におけるサイバーセキュリティ対策ということで、少し長い目で見て考えていくということで、今後の検討事項としてお示しをしています。バックアップデータの暗号化・秘匿化ですが、やはり最新技術を利用したバックアップの検討というのを、今後進める必要があるだろうと思っています。
 それから、保健医療分野におけるSOCの構築の検討ということで、今年度、3ポツ目になりますけれども、令和4年度事業として「保険医療機関等へのセキュリティ監視環境検証事業」を実施する予定です。医療機関へ情報資産の実地調査等を行い、セキュリティ監視システムの全体構成の検討や、保健医療分野において望ましいSOCの構築に向けた検討を行っていきます。
 ただ、このSOC、非常に費用がかかるということで、実際に対象になる医療機関を全医療機関とした場合のまさに費用や、その効果ということもしっかりと検討していく必要があるというふうな認識でございます。
 それから、その他のところですが、先ほどJAHISの茗原先生、長島先生からも御意見を頂きましたが、ベンダーと医療機関がきちっとこのセキュリティ対策について、漏れなくちゃんと自分の医療機関、どこまでベンダーがやっていて、自分たちはどこから何をしなきゃいけないのかということを、医療機関が認識していただくことというのは非常に重要だというふうに考えています。
 先ほども少し出ていましたが、医療情報を取り扱う情報システム・サービスの提供業者における安全管理ガイドライン、これは2省ガイドラインというふうに我々は呼んでいますが、この中には対象事業者と医療機関等の合意形成するべき項目というのが具体的に明記をされています。
 これをしっかりと、この項目についてうちは合意したとか、しないとかということを確認いただくことは非常に重要だと思っています。
 また、先ほどあったHELICS協議会において、医療情報化指針として採択した令和4年8月とありますが、9月です、申し訳ありません。MDS/SDSの遵守を業界団体及び医療機関に徹底するということを、その他として書かせていただきました。
 まさに、今までは各製造業者やサービス事業者の医療情報システムのセキュリティ機能に関する説明が標準的な記載じゃなかったと、記載レベルも様々だったということで、これを標準的な記載として、医療機関とまさに事業者が話をきちっとできるようにするというような目的のものでございます。
 それが、医療情報化指針として採択されたということでございますので、こちらをしっかりと皆様に認識していただいて、どちらも見ていなかったというようなことのないように、しっかりと周知をさせていただきたいというふうに思っております。
 前回の議論を踏まえて、こちらのまとめをさせていただきました。事務局のほうからは、説明については以上でございます。
【森田主査】  ありがとうございました。ただいまの御説明につきまして、意見、コメントを頂きたいと思いますけど、その前に、高倉構成員、宍戸構成員からのコメントを先に御披露いただきましょうか。お願いいたします。
【島井室長補佐】  それでは、先に失礼いたします。宍戸構成員並びに高倉構成員からコメントを頂いておりますので、先に読み上げさせていただきます。
 まず、宍戸委員からは、資料への修正を求める意見ではなく、あくまでコメントですということでコメントを頂いております。電気通信事業者等におけるICT-ISAC JAPANなどは、電気通信事業法に基づき、総務省により認定をされた協会として活動を実施されています。医療分野におけるこのISACに関しましても、ICT-ISAC JAPANのように厚生労働省が認定をし、機微な情報を取り扱う医療機関のネットワークやシステムに関する情報を調査等行うことができる、正当な活動を評価推進する体制を検討してみていただきたいというようなコメントを頂いております。
 続きまして、同じく高倉委員からも、資料の修正を求める御意見ではなく、あくまでコメントですということで、このISACやSOCといったものを民間事業者がビジネスとして様々なサービスを、様々な価格帯で提供するということに言及はしないですけれども、セキュリティ対策に必要なサービスや契約内容、かけるべき費用といったものが分からない医療機関も多く、過剰投資、あるいは投資不足になることも推察されるため、セキュリティ対策の相場感を示していく必要性があるというふうにおっしゃっております。
 また、国公立大学病院の医療情報部門の識者によりまして、人材確保を含め、とるべきセキュリティ対策と、その相場感のモデルケースを示そうと動かれているという話も耳にしますので、ぜひともその辺りの情報収集等も努めていただきたい。
 また、災害時やサイバー攻撃による被害発生時におきましても、医療サービスの維持を求められることを前提としまして、原因究明、被害極小化、再発防止を医療と並行して行う対策・指針を定めることが求められるだろうというふうにコメントを頂いております。
 事務局からの代読は以上です。
【森田主査】  ありがとうございました。お二人とも修正ではなくて、付加的なコメントだということでございます。
 それでは、これにつきまして、御発言いかがでしょうか。
 長島構成員、どうぞ。
【長島構成員】  長島です。このセキュリティ対策の必要性はよく分かりますけれども、これを実現しようとすると、医療機関に3つ足りないものがあります。知識、人材、財源です。特にこのセキュリティ対策を実現するのに、財源がかなり必要になります。これは医療機関の持ち出しになってしまいますので、とても負担できません。したがって、国による補助金、これは絶対に必要になります。この補助金についてどう考えているのかというのを、事務局から1つ教えていただければと思います。
 次に、例えば予防、初動、復旧対応というのが非常に重要ですけれども、ここに関わるステークホルダーとして、厚生労働省、内閣府のNISC、警察、あるいはIPA、あるいは業界などがあります。ここの間で、医療機関と一緒になってどのような連携、あるいはすみ分け、機能分担、役割分担をするのかということが非常に重要になりますので、これ、日本医師会からも協力させていただきますが、ぜひ、このステークホルダーの間で少し整理というのをしていただければと思っております。
 最後に、では、日本医師会として何をするかということですけれども、先ほど、利光先生からも御指摘があったように、中小規模の医療機関には専門家がいないということで、日本医師会では、会員に対してサイバーセキュリティ支援制度、これを6月から開始しました。その中核となるのが電話による相談窓口です。ささいなトラブルから重大なトラブルまで、全て電話で相談に対応させていただくということを返しております。
 それから、もう一つ、一時支援金ということで、例えばサイバー攻撃があった場合の一時支援金を出させていただきますが、その要件として、厚労省への届出、また、個人情報漏えいに対する一時支援金の要件として、個人情報委員会への報告というような形。このような形で、届出とか報告の動機づけにもなるような形で協力させていただきたいと思っております。
 私からは以上です。
【森田主査】  ありがとうございました。これにつきまして、お願いします。
【田中参事官】  御指摘ありがとうございます。3つ、知識、人材、財源が不足していると、前回も御意見をいただいたところでございます。財源、医療機関が、どれぐらい新たな負担をしなくてはならないのかというところは、先ほども申し上げましたが、バックアップをどのように現状、医療機関がとっていて、我々がガイドラインで求めるバックアップがどんなもので、その間にどれぐらいの差があるのか、そういったことをしっかりと一つ一つ確認をしていかないと、実際に必要なお金というのはなかなか計算できないなというのを感じているところです。
 まず、医療機関の実態をしっかりと把握をさせていただきたいと思っています。今年度の調査、それから診療報酬に関する届出などをきちっと確認をした上で、御指摘の点について補助金という形がいいのか、それ以外にどのような形があるのかということは事務局のほうで検討をさせていただきたいと思っております。
 それ以外の部分につきましては、まさにステークホルダー間での連携ということで、日本医師会で御協力をいただけるということで、関係省庁を含めて、この医療機関、医療分野のサイバーセキュリティ対策というのは国の中でも非常に重要と、皆様にご認識いただいているところでございますので、厚労省としても参加をさせていただいて、皆様と意見交換の場を設けて、よりよい施策をつくっていきたいと思っております。
 あと、日本医師会のほうのサイバーセキュリティの相談窓口、取組については感謝を申し上げたいと思います。
 事務局からは以上でございます。
【森田主査】  長島委員、よろしいでしょうか。
【長島構成員】  はい、結構です。ありがとうございました。
【森田主査】  長島構成員に確認をさせていただきたいんですけど、今回のこの強化策の基本方針について、特に修正とか、そういう御意見ではなくて、むしろこれを実現するためにすべきことについての御意見と理解してよろしゅうございますか。
【長島構成員】  はい、そのとおりでございます。
【森田主査】  ありがとうございました。
 それでは、続いてオブザーバーの喜多さま、お願いいたします。
【喜多オブザーバー】  どうもありがとうございます。オブザーバーのHISPRO((一社)保健医療福情報安全管理適合性評価協会)の喜多と申します。今の最後のその他のところの説明の中に、2省ガイドラインの合意形成項目、及びJAHISのMDS/SDSの開示文書遵守を業界団体及び医療機関に徹底するというのがありました。業界の提供するシステムがガイドラインを順守して合意形成をしているか等の安全管理に係る確認のために、HISPROではチェックシートを作成していまして、その適合性の第三者評価を行っています。
 これらのチェックシートや第三者評価は、各厚生労働省や2省ガイドラインでも取り上げていただいていますので、今回のこのその他のところでも、HISPROのチェックシートや第三者評価の活用というものを推奨するというようなことも入れていただければというふうに思っております。
 それから、今、合意形成が必要とか、人材が足りないとか、そういう話が出て、業界団体と医療機関ともに人材が不足しているということですけども、セキュリティに強い人材の教育として、iMISCA((一社)医療情報安全管理監査人協会)というところで、医療情報システム監査人の人材養成とか、それから日本医療情報学会では医療情報技師の育成を行っていて、皆さん御存じだと思うんですけども、そうした人材も活用していくというようなことも取り上げていただくのはいかがかなと思いましたので、ちょっと発言、追加させていただきました。よろしくお願いいたします。
【森田主査】  ありがとうございます。これはいかがでしょう。
【田中参事官】  ありがとうございます。その他のところのちょっと記載ぶりについては、具体的に御相談をさせていただければと思います。人材の活用については、学会などからも少しお話を頂いているところでございますので、また、皆様にお示しできるようになったところで情報提供させていただければと思います。
【森田主査】  ありがとうございました。ほかに御発言はいかがでしょうか。
 三原構成員、どうぞ。
【三原構成員】  ありがとうございます。サイバーセキュリティに関しまして、非常に分かりやすくおまとめいただきまして、ありがとうございます。非常に多岐にわたる必要性を、分かりやすくまとまっているなと感謝しているところですが、ちょっと1点、コメントというか、批判になってしまうようで恐縮なんですけど、これらの施策とか、進め方について、ぜひ皆さんが分かるようにロードマップも示されて、どういう手順で進めていくかというのを中長期的に示してほしいと思っています。
 というのは何を言っているかといいますと、例えば今年度の診療報酬改定で、診療録管理体制加算の見直しに伴って、専任の医療情報システム安全管理責任者を配置するというのがあったかと思います。ちょっと現場の人間、特に病院の情報システムを管理している私のような立場から見ると、唐突に出てきたように見えてしまっています。
 もちろん、サイバーセキュリティ事故が実際に病院であったので、必要性に関して否定するところではないですが、実際、これが唐突に出たことで、何が現場で起きたかというと、この辺の病院のワークフローが分かって、病院のシステムを分かっている人たちの奪い合いが発生してしまって、この業界の人材を確保するのがものすごく難しくなってしまっています。
 そういう、やらないといけないことは確かなんですけど、それを実装していく具体的な手法も、ぜひセットで情報提供なり、対策をしていただくとありがたいなと思っています。実際、病院情報システムの仕組みを理解して、この辺を対策しようとすると、電子カルテの中に存在している部門システム数十から、下手すると100を超えるサブシステムの企業さんと話をして、この辺の調整をしていかないといけないんですが、そういうことの分かる人材というのをどういうふうに充てていくか。
 あるいは充てるための財源、先ほどから先生方が本当に繰り返しおっしゃっていただいているようなところを、セットで施策として出していただきたいと切に思っております。ぜひよろしくお願いいたします。
【森田主査】  これも、田中さんにお願いします。
【田中参事官】  ありがとうございます。ロードマップをというお話は前回も御意見を頂いたところでございます。一方で、その例示として出された診療報酬の改定については、皆様、御存じのとおり議論される場が中医協ということで、きちっとした議論を踏まえて決まるものというふうに認識をしております。
 ただ、一方で、まさに昨年の秋、非常にいろいろな事例が大きく取り上げられて、診療が長期にわたって停止した事例などがあって、必要性については、皆様、御理解をいただいているところだと思っております。診療報酬については、我々としてロードマップを書くというのが非常に難しいということは、御理解をいただきたい点としてございます。
 また、予算も、今回、このように事業をやっていきますということで位置づけをしておりますが、来年度こういうことをやりますと言っても、予算がどれぐらい取れるかということがなかなか分からないようなところも実際にはあると。そのような中で、大きな方向性として、例えばバックアップを、皆さんにちゃんとやってもらうようにしましょうとか、こういうような人材を、例えば3年かけて少し増やしていきましょうとか、書けるものと、書けないものがあるかなというふうに、お話を伺って思いました。
 ただ、今回のこの対策については、スケジュール感というのが見にくいところはありますので、御指摘を踏まえて、今後、今回はまずは対策についてはこれで進めさせていただきたいと思いますが、時期的なものについては関係者の皆様と少し意見交換させていただいて、どういうような書きぶりができるかということは、引き続きの検討とさせていただければと思います。
【森田主査】  三原構成員、よろしいでしょうか。
【三原構成員】  はい。ぜひ分かりやすく示していただけるとありがたいなと思っています。
【森田主査】  それでは、長島構成員、手を挙げていらっしゃいますね。どうぞ。
【長島構成員】  ただいまの三原先生の御指摘にも関連するところですけれども、2ページのところの予防的対応の②で、令和4年度中に医療機関等の管理者が遵守すべき事項に位置づけるための省令改正を行うということですが、今御指摘があったように、現場では様々な制約があって、対応が極めて難しいというところがあるということですので、その現状と大きく乖離したような内容がこの遵守すべき事項に位置づけられてしまうと、現場は恐らく大変困ったことになると思いますので、きちんと現状を把握した上で、あまり大きな違いがないような、現場に混乱が起こらないような形の順守事項にぜひしていただきたいと思いますが、その辺り大丈夫でしょうか。
【田中参事官】  ありがとうございます。前回も、まさにこれを遵守していないから罰則なのだという話ではなくて、遵守するためにこういうことをしたほうがいいというようなことを明確に示すような場にしてほしいという御意見もあったと承知をしております。おっしゃるとおりだと思っております。これをもって、何か医療機関に新しくこれをやりなさい、あれをやりなさいと言うつもりはなく、まさにガイドラインの中で、これだけは最低限、診療が停止しない、そのためにきちっとやっておきましょうということを、最低限のラインをお示しするということが必要だという認識でございます。
 今までも、重ねてガイドラインに記載をされて特に周知を繰り返してきた内容などについては、こういったところにも位置づけて、特に立入検査の際にそういったマインドを持っていただいて、医療機関ごとに、ああ、こういうこともやらなきゃいけなかったんだとマインドを持っていただくことが、まさにこの立入検査に位置づけるというところの目的かなと思いますので、その点は皆様の御負担が過度にならないような記載ぶりについて、しっかりと確認をさせていただきたいと思います。
【長島構成員】  ぜひ応援、支援につながるようなものにお願いいたします。ありがとうございました。
【森田主査】  ありがとうございました。それでは、ほかにいかがでしょうか。よろしいでしょうか。手を挙げていらっしゃる、山本構成員と大原オブザーバーですか、順番にお願いいたします。どうぞ。
【山本構成員】  三原先生がおっしゃるように、きちっとしたロードマップをつくることも、これ非常に大事だと思います。その中で、予防対応のところで、私、最も重要なのは、対策研修の充実ということだと。ここに書かれていることを見ると、何となくセキュリティ責任者に対する研修みたいに書かれているようなところはあるのですけども、やっぱり現状、どういう事故が起こっているかというと、1つは医療機関として把握していない機器がある。よく我々の言葉で野良ルーターとか呼んでいるのですけども、そういったものがあるのに気づいていないというふうなことがあります。
 それから、もう一つは、やはり今でも多分一番多いのは電子メールを通じた標的型メール攻撃でありますとか、あるいは、不用意にUSBメモリなどの媒体を医療情報システムにつながったシステムに差し込んでしまう、放射線科の診療システム、診断システムに連れ込んでしまう、そういったことから感染が広がると。
 こういうのって、やっぱりそういったことの重要性といいますか、リスクの大きさを多くの方が理解していないということが重要だと思うのです。もちろん、御自身が普通に使っているとPCであれば、別にそれでいいのですけれども、たくさんの患者さんの情報が入っているシステムの中でそういうことをすると、最悪の場合はかなり大きな被害を起こすと。
 そういったことを含めて、やっぱり本来必要のないようなことを多分されていることが非常に多いということがあって、これをしっかり教育していくということが多分一番重要ですので、この対策研修の充実というのは、特段何か物すごく莫大なお金がかかるわけでもなし、物すごく大きな人手が要るわけでもありませんので、医療安全の研修の中に含めていただいても結構ですし、そういったことで、しっかりとやっぱり一般の医療従事者まで及ぶような研修を、比較的早めにセットアップをする、教材をつくるとか、履修すべき項目のリストをきちっと上げるとか、そういったことというのはそんなに難しくないと思いますので、ぜひ早めに取り組んでいただければと思います。
 以上です。
【森田主査】  ありがとうございました。
 それでは、大原さん、どうぞ。
【大原オブザーバー】  今回、オブザーバーで参加させていただいております、JAHISの大原でございます。ちょっと総括的なコメントになって申し訳ございませんが、先ほど三原先生や山本先生がおっしゃっていた部分も関係しますが、今回のガイドラインの改定全般においては納得感があり、異論はございません。
 ただ、1点、先生方や事務局の皆様から、病院の中にはセキュリティの人材がいないというふうなところの話がございました。そのためにベンダー等に協力をというニュアンスの話だったんですが、これは我々JAHISとしてもこの点について異論はございません。
 ただ、一方で、ベンダー自身もセキュリティ人材が大きく不足している事実がありまして、その部分の教育活動等もやっているのが今、実態でございます。ですので、先ほどの山本先生も最後におっしゃられていましたが、やはりどこか、例えばベンダーにという話だけではなく、病院、あるいは厚労省、そしてベンダー、あるいは、そのほかにも内閣府やその他というところで支える方向になっていければなというような形で考えております。
 ちょっとコメントになりましたが、よろしくお願いいたします。
【森田主査】  ありがとうございました。これ、よろしいですね、そういう意見ですので。
 それでは、ほかにいかがでございましょうか。よろしいでしょうか。
【大山構成員】  すみません、大山です。
【森田主査】  ごめんなさい、大山先生、どうぞ。
【大山構成員】  今日出していただいた資料は、全体的には結構な話だと思っているんですけども、ただ、先ほど来、現場の人たちから言われている話を聞くと、サイバーセキュリティと書いてあるときに、オンラインのネットワーク化されている状態が前提になっているかどうかというのを勘違いされるといけないなと、ちょっと思うことがございます。
 山本先生が、その話にちょっと触れていましたが、USBをはじめ、オフラインで使っているシステムでも、メモリを使って、可搬媒体から入ってくることもあるし、いろんな道があるんです。その意味では、将来像として、全部ネットワークでつなぐということを前提にした知識としての話をしているわけじゃないと。そこまでじゃなくて、現実に、ICTを使っている以上は、もう今でも関係するんだということを分かるようにしておくほうがいいんじゃないかという気がします。
 何となくサイバーセキュリティと言われると、SOCもそうですが、うちはまだそこまでやってないからいいよと勘違いなさることがあるとまずいかなと思いました。これは私のコメントです。
 以上です。
【森田主査】  大変重要な御指摘かと思いますが、よろしいですね。ありがとうございました。
 それでは、ほかにいかがでしょうか。よろしいでしょうか。では、こちらの対策を進めることでございますけども、これはこういう形で決めたいということでございますので、御承認をいただきたいと思います。これまでのところ、文章の訂正とか、反対という御意見はなかったと理解しておりますけれども、御承認いただいてよろしいでしょうか。
 特に異論がないようでございますので、御承認いただいたものとさせていただきます。
 さて、一応以上で本日の議題は終了いたしましたが、最後に、そのほか、何か関連して御発言、御意見ございましたら、お願いいたします。こちらのほうも特に手が挙がらないようですが、よろしいでしょうか。もう既に議題の中で御発言いただいたと理解したいと思いますが。
 それでは、こちらのほうも御意見ないようでございますので、本日の議事そのものは、これで終了し、以後は事務局のほうにお返ししたいと思いますので、よろしくお願いいたします。
【島井室長補佐】  本日も活発な御議論くださいまして、誠にありがとうございました。引き続き、またどうぞよろしくお願い申し上げます。
 なお、本日の議事録につきましては、作成次第、御発言賜りました先生方、皆様には御確認いただきまして、その後、公開させていただきますので、御協力のほどよろしくお願い申し上げます。
 事務局からは以上となります。
 それでは、本日はこちらにて閉会とさせていただきます。活発な御議論、御意見等ありがとうございました。
【森田主査】  ありがとうございました。これで閉会といたします。
―― 了 ――

PDFファイルを見るためには、Adobe Readerというソフトが必要です。Adobe Readerは無料で配布されていますので、こちらからダウンロードしてください。

関連リンク

携帯ホームページ