- ホーム >
- 政策について >
- 審議会・研究会等 >
- 医政局が実施する検討会等 >
- 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ >
- 2025年3月13日 第24回 健康・医療・介護情報利活用検討会医療等情報利活用WG 議事録
2025年3月13日 第24回 健康・医療・介護情報利活用検討会医療等情報利活用WG 議事録
日時
令和7年3月13日(木)15:00~16:00
場所
WEB会議
AP虎ノ門 Bルーム(事務局、報道関係者のみ
AP虎ノ門 Bルーム(事務局、報道関係者のみ
出席者
- 構成員(五十音順、敬称略)
-
- 秋山 祐治
- 小野寺 哲夫
- 小尾 高史
- 近藤 則子
- 澤 智博
- 高倉 弘喜
- 武田 理宏
- 田宮 菜奈子
- 長島 公之
- 山口 育子
- 吉川 久美子
- 渡邊 大記
- オブザーバー(五十音順、敬称略)
-
- 岩津 聖二
- 植松 賢
- 内山 晃治
- 喜多 紘一
- 小泉 立志
- 高野 博明
- 高橋 肇
- 田河 慶太
- 牧野 和子
- 三好 圭
議題
(1) 電子カルテ情報共有サービスに関する検討事項について
(2) サイバーセキュリティ対策チェックリストの改訂について
(3) その他
(2) サイバーセキュリティ対策チェックリストの改訂について
(3) その他
議事
- 議事内容
- 開会
次に、資料の確認をさせていただきます。議事次第、資料1-1、資料1-2、資料2-1、資料2-2、資料2-3、資料2-4、参考資料1の計6点を事前にメールで送付しております。資料1-1、資料1-2につきましては、直前で差し替えがございましたので最新のものをご覧ください。投影資料では最新の資料を共有いたします。またWEB会議の画面上見えにくいときがございましたら、当該資料をお手元でご覧ください。
次に、本日の委員の出欠状況について申し上げます。本日は、印南構成員、笠木構成員、山田構成員、利光構成員から欠席されるとのご連絡、小尾構成員から途中で退席される旨ご連絡をいただいております。会議中、ご発言の際は、「手を挙げる」ボタンをクリックし、澤主査の指名を受けてから、マイクのミュートを解除しご発言をお願いいたします。ご発言終了後は、再度マイクをミュートにしてくださいますようお願いいたします。事務局からは、以上となります。それでは、澤主査、議事進行につきましてよろしくお願いいたします。
- 議事
【澤主査】 それでは、本日の議題は3つ、
(1)電子カルテ情報共有サービスに関する検討事項ついて
(2)サイバーセキュリティ対策チェックリストの改訂について
(3)その他
(1)は審議事項および報告事項、(2)は審議事項となっております。まず、議題(1)「電子カルテ情報共有サービスに関する検討事項について」として資料1について事務局から説明をお願いします。
【脊古室長補佐】 事務局より説明いたします。議事次第(1)として、電子カルテ情報共有サービスの検討事項について説明させていただきます。資料1-1と資料1-2がございまして、二点の報告事項と、一点審議事項がございます。よろしくお願いします。まず資料1-1から説明させていただきます。
資料2頁目をお願いします。モデル事業参加医療機関については第22回のワーキンググループで一度お示ししておりましたが、更新がありましたのでご報告させていただきます。前回は各地域や、地域の中核医療機関についてお示ししておりましたが、参加医療機関をさらに詳細にお示しできる地域について更新しました。また、令和7年2月から愛知県の藤田医科大学及び関連の三医療機関でモデル事業を開始しましたので、その記載を追加しております。その他の地域については現在準備中ですが、今後準備でき次第開始していく予定です。モデル事業内では全国展開を見据え、システムのみならず現場の運用等について検証を行う予定です。
続いて資料3頁をお願いします。電子カルテ情報共有サービスのモデル事業期間中の医療情報提供の方法についてです。6情報等の医療情報の受け渡しについては、資料右下に例の図を示していますが、医療機関Aから社会保険診療報酬支払基金(以下、支払基金)への提供、支払基金から医療機関Bへの提供については、それぞれ個人情報保護の観点から第三者提供にあたります。今後、法改正を予定しており、医療機関から支払基金への情報提供については、効率的な医療の提供や、医療機関における負担軽減を目指す観点から、法令に根拠を設けることにより、個人情報保護法第27条第1項第1号の第三者提供にかかる本人同意取得の例外として、同意の取得を不要とする予定です。まだ法改正が行われていない段階でのモデル事業で、どのように医療情報の提供を行っていくのかということについて、今後質問が増加すると考えられるため、ご報告させていただきます。モデル事業においては、個人情報保護法第27条第5項第1号の規定に基づき、医療機関は支払基金と委託契約を締結し、医療機関から支払基金に対して電子カルテ情報の共有について委託を行うことによって情報登録に関する本人同意を不要としております。また、情報の取り扱いに関する周知を、院内あるいはホームページで掲示いただいております。支払基金から医療機関へ情報提供する際は、今回のモデル事業にかかわらず顔認証付きカードリーダーで本人同意を取得します。
続きまして資料4頁をお願いします。こちらは今回審議事項です。これまで医療等情報利活用ワーキンググループで、電子カルテ情報共有サービスの大きな方針について議論いただいてきました。今後モデル事業を行う中で、様々な医療機関の運用に関わる課題が出てくると考えています。そういった課題の中で、運用の詳細なルール等については、医療機関の運用をより熟知されている有識者の方々で集中的に議論いただく必要があると考えています。そのため、この医療等情報利活用ワーキンググループの下に、医療機関における運用に関する技術作業班を設置したく、今回審議いただきたいと考えています。会議の趣旨としては、モデル事業実施医療機関において、電子カルテ情報共有サービスの導入に係る医療現場の運用及びベンダーのシステムに関する課題や標準規格に関する課題等に関する検討を行うことを目的としております。構成員としては、医療等情報利活用ワーキンググループに参画いただいている中で、医療機関での電子カルテ入力に主として関わっている医療従事者の団体の方々を中心に、5名の構成員の先生方を記載しております。開催頻度は、電子カルテ情報共有サービスの本格稼働までに、必要に応じて適宜開催予定と考えております。
続きまして、資料5頁目をお願いします。こちらに検討内容の詳細を記載させていただいています。モデル事業医療機関で、モデル事業で生じた運用上の課題等を明らかにし、解決方法を検討したいと考えています。また、モデル事業や厚生労働科学研究の成果等をもとにして、各情報を登録していく上での詳細な運用ルール等を検討したいと考えています。現在厚生労働科学研究ではアレルギー情報について現在検討いただいておりますが、それらの成果等をもとに各情報を登録するための詳細な運用ルール等を検討することとしたいと考えております。より具体な例としては病名については、長期保存フラグや未告知フラグ、提供フラグを設定できるようにしていますが、どういった条件で各フラグを設定するのかという検討を行っていきたいと考えています。また、アレルギー情報についてはJFAGYコードを使用できることとしていますが、アレルギー情報としてどういった情報をどのような粒度で入力すべきか、その中でJFAGYコードをどのように活用するのかといった検討が必要と考えているところです。その他、出てくる課題についても検討していきたいと考えているところです。
続いて資料1-2では、この技術作業班の開催要綱の案を付けています。構成員・オブザーバーについては別紙の通りですが、要点をいくつか申し上げます。作業班は、本番稼働までを想定しており、任期を1年間としていますが、今後出てくる課題の状況に応じて変更は考慮するという形にしたいと考えています。また、検討内容によっては、構成員以外にも専門的な有識者等が必要な場面も考えられるため、必要に応じて出席いただけることとしています。運営については、各医療機関のシステムの使用や設計に関わる可能性があるため、機密性の保持を考慮し、非公開にさせていただきますが、検討過程や検討結果については、医療等情報利活用ワーキンググループで報告させていただく形にしたいと考えています。資料の説明は以上となります。ご審議の程よろしくお願いします。
【澤主査】 ありがとうございます。それでは今のご説明について、ご意見、コメント等、ございますか。事務局からの回答については、ある程度まとめてご回答いただくようにお願いします。長島構成員、お願いします。
《意見交換》
【長島構成員】 日本医師会の長島です。まずモデル事業に関しては医療現場においても、また患者さんにおいても、電子カルテ情報共有サービスがどのようなものかというご理解がまだまだ不十分だと思います。色々な仕組みもこれから整理していくため、現場の負担や混乱は非常に大きくなると思います。したがって、そこを国としてしっかり支援していただきたいと思います。また、医療現場が患者さんからの様々なご質問を受けますと非常に大変になるため、例えば相談窓口を設置するなど、医療現場の負担をできるだけ少なくする取組みをお願いしたいと思っています。次に、技術作業班に関してです。大きな検討内容として病名の問題があります。病名は今後患者さん本人にもマイナポータル等を使って共有が可能となるため、これに関して混乱や誤解が起こって医療提供に支障が生じるのではないかと現場から多くの強い不安の声も聞いています。フラグを立てる場合にも、医師の負担が大きくなるのではないかと心配の声も聞いています。ここは最大の課題になるのではないかと思っています。ここについても、できるだけ丁寧にきめ細かく進めていくことが極めて重要です。スピード感は重要ですが、拙速に進めることで医療提供の現場に混乱や支障が生じますと、結果として国民や医療者の不信・不安を招き、これが最大のブレーキとなります。このことは、これまでよく見てきたところです。したがって、スピード感は重要ですが絶対に拙速にならないよう、丁寧に国民や医療現場の理解を得ながら、できるだけ混乱が起こらないように進めることが、極めて重要と思っています。私からは以上です。
【澤主査】 続きまして、渡邊構成員お願いします。
【渡邊構成員】 日本薬剤師会の渡邊です。この作業班の設置には賛成します。また、丁寧にこの作業班での協議を進めていただきたいと思っています。現在、医療機関内では薬局からFAX等紙で共有された文書情報等の院内共有をそのまま紙で行っていたり、事務の方が改めて手で入力している現状があります。ぜひこの作業班の中でこれら医療機関・薬局間でやり取りされる情報についても標準化・電子化し、データとして利活用が可能となるように協議いただきたいと思います。電子処方箋等の基盤の中でも少し話が出ていますが、どういった基盤でどのようにデータを標準化し、どのように利活用するのか、今後の部分を視野に入れてご協議をお願いしたいと思います。私からは以上です。
【澤主査】 山口構成員お願いします。
【山口構成員】モデル事業と作業班については特に依存ございませんので、引き続き進めていただきたいと思います。長島構成員にお尋ねしたいのですが、先ほど病名を患者さんに共有することについて非常に危惧されているという話がありました。今患者さんに病名が伝えられていないということはあまりないと思いますが、先ほどのお話はどのような領域についてお話されていたのでしょうか。精神科の領域等は考えられると思いますが、具体的にどういった疾患に対しての危惧される声が上がっているのかを教えていただければと思います。以上です。
【澤主査】 長島構成員お願いします。
【長島構成員】 電子カルテ等に登録している病名をそのまま患者さんに伝えるということはむしろ少ないと思います。例えば、糖尿病の中には様々な糖尿病があり、色々な疾患名がありますが、そのままだと逆にわかりにくいとため、わかりやすいような形で伝えていることもあると思います。そのため患者さんに病名を共有した際に、「今までと聞いていたのと違っているのではないか」と思われることを心配されるということです。また、様々な症状から肝臓の病気や心臓の病気等が疑われる場合に様々な検査等を行いますが、結果としてそうでなかったとしても、電子カルテ上はどのような病気を疑ったかが記載されています。これも恐らく患者さんとしては「そういうことは聞いていない」と、非常に心配されることがあると思います。もう一つ、癌等の悪性疾患等に関しても現在は本人に伝えることが多いですが、伝え方は現場や患者さんの状況によって異なるだろうと思われます。「患者さんに対してこのような形でちゃんと伝えてあります」という共通理解がなければ、色々と誤解や不安が生じるかと思います。したがって、電子カルテに登録してある病名はそのまま患者さんに伝わっていない方がむしろ多いのではないか。その結果、患者さん自身が思っていたものと違う病名が共有されることで不安や誤解が生じるのではないか。病名については、そもそもどう伝えて理解されているのかを踏まえて丁寧な議論が必要と思います。一方、そのために色々なフラグを立てなければいけない等で医療現場に負担が生じると、これはこれでいけない。モデル事業を通じて非常に丁寧な議論が必要と考えているとご理解いただければと思います。
【山口構成員】 ありがとうございます。電子カルテ等に登録している病名はレセプト病名的なことを指していますか。
【長島構成員】 俗に病名と言われているものとしてはそういうものも含まれると思っています。
【山口構成員】 今回レセプト病名も同じように表示されるという前提なのですね。
【長島構成員】 そこでどのようなフラグを立てるかについて、「この部分はもう伝えてありますよ」というフラグを立てるのか等、まさにこれから考えなければならない課題だと思っています。
【山口構成員】 わかりました。ありがとうございます。
【澤主査】 それでは事務局より回答をお願いいたします。
【新畑室長】 医療情報室長でございます。ご質問ありがとうございます。長島構成員からいただきました、モデル事業の患者様のご理解や、現場の負担等につきましては大変重要な課題と考えております。モデル事業に参加いただいている医療機関におかれましては、負担を軽減すべく十分に打ち合わせ等でどのようなやり方が良いか相談させていただいております。また患者さんに対する広報資料等につきましては、厚労省からも資料を提供し、現場の負担を軽減してまいりたいと考えています。また技術作業班につきまして、拙速に進めては現場に混乱が生じるという点も、大変重要だと思っております。技術作業班において、先ほどいただいたような課題につきましても、丁寧に議論いただくべく、事務局でも努力してまいりたいと思っております。渡邊構成員からいただきました、薬局情報の利活用につきましては、前回の12月のワーキングでも少し議論させていただきましたが、技術作業班の中ではこれまでご議論いただいた中でさらに詳細な技術的な課題をご議論いただく予定です。薬局との情報連携はより広い課題だと思っておりますので、このワーキング等でも議論いただきながら、検討を進めてまいりたいと思っております。以上になります。
【澤主査】 作業班の設置につきましては審議事項となっておりました。それでは審議に入りたいと思います。こちらの施策を進めることにご承認をいただきたいと思いますが、よろしいでしょうか。
はい、ご承認をいただきました。続きまして、議題(2)「サイバーセキュリティ対策チェックリストの改訂について」として、資料2について事務局より説明をお願いします。
(2) サイバーセキュリティ対策チェックリストの改訂について
【橋本室長補佐】 医政局参事官室の橋本です。医療機関におけるサイバーセキュリティ対策チェックリストの改訂について案をご説明いたします。厚生労働省は令和5年4月から医療法に基づく医療機関に対する立ち入り検査に、サイバーセキュリティ対策の項目を位置づけています。そして、安全管理ガイドラインから特に取り組むべき重要な項目をチェックリストとして示している状況です。
昨今のサイバー攻撃事案を受け、一部内容を改訂し、「令和7年度版 医療機関等におけるサイバーセキュリティ対策チェックリスト」および「サイバーセキュリティ対策チェックリストマニュアル」を発出する予定ですので、ご報告いたします。主な修正点の案です。追加項目として、パスワードの桁数の規定や使い回しの禁止、またUSBストレージ等の外部接続機器に対しての接続制限、二要素認証の実装もしくはそれに向けた予定の対応、運用管理規程等の整備を追加項目として挙げています。
その他細かな修正になりますが、アクセス利用権限の設定について、管理者権限の対象者を明確化しているかという注記を記載したり、一部セキュリティパッチ等の項目が複数の項目に分かれていたところを「医療情報システム全般」として統合しております。
資料3頁をお願いします。こちらは実際のサイバーセキュリティ対策チェックリストの案になります。
赤字で示した部分が修正点となっております。一つずつ見てまいります。
資料4頁をお願いします。まず、パスワードの適切な管理設定についてです。昨今、実際にサイバー攻撃の被害を受けた事例においても、ネットワーク機器やサーバーのパスワードについて推測が非常に容易なものであったり、文字列が短かった例等が繰り返し確認されております。このため、システム、ネットワーク機器、サーバー等のパスワードが使い回しにされていないこと、また、適切なパスワードが設定されていることを項目として含める予定としています。強固なパスワードの規定についてはガイドラインに記載がある項目から抽出しております。
資料5頁をお願いします。USBストレージ等の外部接続機器に対しての接続制限です。こちらも昨今のサイバー事案を受けての追加になります。実際にあった事例としては、部門システム等のPCにUSBストレージ経由でマルウェアが侵入しており、その状態で長期間診療を続けていた事例が確認されています。さらには、医療従事者が臨床研究等のために患者の診療データを保存したUSBストレージ等を紛失したというような事故も後を絶たない状況となっております。IPAの「情報セキュリティ白書2024」によりますと、情報漏えいの原因としては、外部からの不正アクセス、操作ミス等の過失、内部者の故意による持ち出し等の内部不正など、半数程度が職員の過失に起因しているという報告もございます。これらを受けましてUSBストレージ等の外部接続機器に対する接続制限に関する確認をこのサイバーセキュリティチェックリストの中で求めていくという方針にしております。
資料6頁をお願いします。二要素認証の実装規程類の整備についてです。医療情報システムの安全管理に関するガイドラインは当室で所管しておりますが、このガイドラインで令和9年度時点に稼働していることが想定される医療情報システムを新規導入または更新する際には、二要素認証を採用することを求めております。こちらは医療機関にとって負担が大きなものとなるかと存じますが、ガイドラインで令和3年から示しているもので、この間にシステム交換のタイミングがあったのではと考えております。二要素認証がどのようなものかといいますと、端末等への実装を促してきたものとして、例えばパスワードのような利用者の記憶に頼ったものが一要素です。さらに指紋や静脈、虹彩のような利用者の生体的特徴を利用した生体情報によるもの、ICカードのような物理媒体によるものを組み合わせることを二要素認証としています。そして最後になりますが、一番下の規程類の整備です。医療情報システムの安全管理が適切に行われるためには、組織内において明文化されたルールを定めることが重要と考えています。現在の立ち入り検査においては、担当者が検査に同行することが想定されます。この対応について担当者に属人化している可能性を危惧しており、医療機関としてガバナンスを利かせ、担当者が変更になった際にも同様の管理が遂行できるよう運用管理規程を整備していくことが重要であると考えております。この規定類については、実際に立入検査でチェックすることを想定しております。ご提案については以上になります。審議のほどよろしくお願いいたします。
【澤主査】 ありがとうございます。それでは今のご説明について、ご意見、コメント等、ございますか。事務局からの回答については、ある程度まとめてご回答いただくようにお願いします。長島構成員、お願いします。
《意見交換》
【長島構成員】 今回は、実際に最近あったサイバー攻撃の被害で遭った弱点を基に作られたということで、対策としてもかなり実効的なものなのではないかと期待します。また、医療機関側にとっても、過去の被害が基になっているということで、より危機感を持って対応していただけるのではないかと思います。過去の被害を前提としていること、「これをやることで実効的な効果があります」ということを、説明の際に強調していただければと思います。実際のチェックリストの内容を見ても、かなり具体的にパスワードやUSBストレージのことが含まれています。チェックリストマニュアルでは、例えばパスワードを安易に変更して実際のシステムが動かなくなると困るため、システム事業者と連携していただく必要があるということで、マニュアルの中で事業者向けにも書かれていることは良いことかと思います。おそらく、このようなことを今まで出来ていなかった医療機関では、医療機関単独で進めることはとても無理かと思いますので、事業者としっかり連携して行う。そのためには、国から、事業者あるいは事業者団体に向けてもしっかりと協力するように働きかけをお願いしたい。また、その時に過大なコストがかからない、できればできるだけ小さいコストで対応いただくような働きかけをぜひお願いしたいと思います。私からは以上です。
【澤主査】 続きまして、山口構成員お願いします。
【山口構成員】 山口でございます。セキュリティ対策をきちんとできているかどうかの確認は、立ち入り検査の時にされるというお話がございました。立ち入り検査に行かれる方はこういったことの専門家ではないと思いますので、まずは立ち入り検査をする方たちが十分理解していないといけないと思いますが、立ち入り検査をする方たちに対しての研修はどのくらいされているのでしょうか。十分理解していないと、チェックリストがあったとしても効果的な質問をしないと十分な確認ができないこともあると思います。研修と、それによる理解の確認をどのようにされていくか教えていただければと思います。以上です。
【澤主査】 渡邊構成員、お願いします。
【渡邊構成員】 ありがとうございます。日本薬剤師会の渡邊です。この内容に関しては、薬局におけるチェックリストにも反映されますので、少しだけ確認と意見を言わせていただきたいと思います。資料の2-1ではまだ修正がかかっていなかったのかもしれませんが、資料の2-2では、2-⑤に「削除する」だけではなく、「削除または無効化している」と赤字で書きこまれていると思います。過去データのこともありますので、削除ができない状況の中で無効化という話は、前からQ&Aでも出ていたと思います。この点については、令和7年度版で見直していただき御礼申し上げます。もう1つ、二要素認証の部分ですが、2-⑩で医療機関等向けに「二要素認証を実装している」という書き方になっています。資料2-1の6頁目にも出ていますが、医療機関等にとっては、「二要素認証を採用しているシステムを導入していること」になってくるかと思います。ここに関しては、「二要素認証を採用しているシステムを導入している」でもいいのではないかと思います。意見です。私からは以上です。
【澤主査】 高倉構成員お願いします。
【高倉構成員】 セキュリティの観点からコメントさせていただきます。二要素認証もそうですが、パスワードの桁数を増やすことは、もちろんセキュリティの観点からすればぜひやっていただかなければいけないマストの要件ではあります。一方で、我々も普段そうですが、人命に関わる部分に関して言うと、この機構が機能しなくなった時の緊急回避モード、要はバイパスモードが必ず必要です。しかし、その点に関する規定が全くないこと、および緊急時のバイパスモードを作動させるための条件、「こうなった時にはやむを得ないから、二要素認証もしくは生体認証などをバイパスしますよ」という規定が全く書かれていない。結局、「何かあったらもうしょうがないからバイパスしちゃえ」と安易な方向に流れるのが少し危惧されます。それから、もしバイパスを認める話をするのであれば、「こういう事態が発生したのでバイパスしましたよ」という記録が残らないと、信用できないシステムになってしまうため、緊急時の対応をどうするのかというところが抜けているのが非常に気になります。以上です。
【澤主査】 もう1名いただきましてから事務局にお願いしたいと思います。小野寺構成員お願いします。
【小野寺構成員】 日本歯科医師会の小野寺でございます。今回初めて入った、4番の「規程類の整備」では、「運用管理規程等に定めている」とあります。我々歯科医師会の会員はほとんどが個人診療所ですので、このような運営管理規程を作るというと、「例を挙げてほしい」という形になります。今回私も初めて見て、どのようなものを作れば良いのか全く検討もつかないので、「このようなものを作ったら良い」という例を挙げていただければと思います。これは要望です。よろしくお願いします。
【澤主査】 それでは事務局よりお願いします。
【新畑室長】 医療情報室長でございます。コメント、ご質問いただきましてありがとうございます。順々にコメントさせていただきます。長島構成員からいただきました、説明の仕方について、ご指摘の通り、医療機関の皆様方に、今まであった事象を丁寧にご説明させていただきながら、きちんと納得感を持って進めていただけるように努めてまいりたいと思っております。また、事業者との連携について、コストの面は契約の段階でどのようになっているかにもよりますが、基本的には「医療情報システムの安全管理に関するガイドライン」に従いながら、医療機関とベンダーで連携していただいていると思います。今回このガイドラインの範疇の中で行っていることでございますので、文言が適切に設定してあれば、過大なコストはかからないと認識しております。一方で、契約等をきちんと定めていくことが重要であるというところは別途お示しさせていただきながら、ベンダーと医療機関の連携が円滑に図れるように、我々としても努力してまいりたいと思っております。山口構成員からいただきました、立入検査される方の意識・理解も重要な観点でございます。保健所の職員の方を中心に立ち入り検査に入っていただきますので、我々の研修事業の中でも、昨年度から保健所職員向けというコースを設定し、多くの保健所の職員の方にご参加いただいています。立ち入り検査全体の中で、地域医療計画課で保健所職員向けに全体の講習をしておりますが、我々の研修に参加していただきながら、立ち入り検査を実施していただく職員の方の理解を進めていくというところでございます。そういった取り組みを進めていきながら、ご指摘ありましたような立ち入り検査の際に効果的な質問がされて、きちんとチェック機構が働くように努めてまいりたいと思っております。渡邊構成員からいただきました、資料2-1について「削除または無効化」のほうが正しいのではないかという点、ご指摘通りです。資料の反映漏れで申し訳ありませんでした。資料2-2に記載がございます「アカウントを削除または無効化している」が正しい記載でございますので、こちらをベースにご理解いただければと思っております。二要素認証の実装についてですが、必ずしもシステムだけに限らない場合もございますし、医療機関の中でベンダーと連携しながら実装していただくところがありますので、大変恐縮でございますけども、記載につきましてはこのままでお分かりいただければと思っております。高倉構成員からございました緊急回避モードにつきましては、今回、ガイドラインの第6版の中で取り組みを進めさせていただいております。緊急回避モードの必要性につきましてはガイドラインの中でも言及がございませんので、一旦ここは第6版の中で取り組みを進めさせていただきます。医療情報システムをどのくらい使うかに関係しますので、こういったモードの必要性についてはガイドラインの次回改訂の際、必要に応じて検討させていただければと思っております。小野寺構成員からございました運用管理規程の具体例ということですが、例えばUSBの件では、システム上挿せないようになっているようであれば差し支えありませんが、実際挿せるようになっているようであれば、挿さないようにというような規程も必要であるかと思います。一方で、必要に応じて、学会等で資料が必要で挿さざるを得ないというところもあると思います。例えば、比較的大きな病院の運営になるかもしれませんが、医療情報部の方でUSBを貸し出しますのでその際は言ってくださいといった規程を整備していただくというところでございます。小規模医療機関ではどの程度どのような項目があり得るのか、できればマニュアル等で具体例を周知させていただきながら、ご理解をいただけるように進めてまいりたいと思っております。以上になります。
【澤主査】 ありがとうございます。審議に移りたいと思います。こちらの施策を進めることにご承認いただきたいと思いますが、よろしいでしょうか。長島構成員、お願いします。
【長島構成員】 二要素認証に関して、具体的な話とは違い、かなり大きな話になるかと思います。従いまして、この中に含めるのはよいですが、医療現場の理解も十分ではなく、ベンダーとの話し合いをしっかりしなければならないということで、これ単独で情報の周知をしていただくことは非常に重要かと思います。ここの中だけでおそらくできないことかと思いますので、しっかりやっていただくということが条件なのではないかと思っています。以上です。
【澤主査】 ご意見がたくさん出てきました。喜多オブザーバーお願いします。
【喜多オブザーバー】 ありがとうございます。喜多でございます。不勉強かもしれないですが、チェックリストや説明の各所に、契約していない場合は不要」との記述がありますが、この契約がどのような契約かということを明確にした方が関係者間の齟齬が防げてよいのではないかと思います。経産省・総務省が出しています「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の中で、「医療情報システム等の売買契約のみであり、運用又は管理・保守に関する契約等がない場合は契約に含まれない」という説明もあります。この場合、売買契約のみの場合は含まれないのかどうかを明確にした方が良いのではないかと思いました。それから、今すぐということではないですが、MDS/SDSは自己宣言みたいになっています。次のステップとして、「2省ガイドラインの4.3章」の「安全性管理に関わる評価」で、「関連事業に関与する担当者自身が評価を行うと信頼性、客観性が低下するので、対象事業者部門の独立した監査部門や、あるいは第三者評価機関の評価を行うことが望ましい」とありますので、ゆくゆくはそのような形でMDS/SDSの開示内容の信頼性、客観性を高めたほうが良いのではないかと思います。以上です。
【澤主査】 秋山構成員、お願いします。
【秋山構成員】 失礼いたします。今回の修正点ではないのですが、チェクリスト2-⑥にありますセキュリティパッチの適用について少しコメントをさせていただきたいと思います。先ほど長島構成員からの話にもありましたが、先日公表されました岡山県精神科医療センターのランサムウェア事案調査報告書も参考になっているかと思います。その中で、保守用のVPN装置の脆弱性の放置や、ID・パスワードの使い回しについて言及がございました。医療機関でもセキュリティパッチ適用の必要性は十分に理解していますが、一方で、報告書にもあった通り、アップデート後の動作補償を行わないベンダーや、当院でも苦慮していますが、適用作業ごとに保守費用を請求するといったベンダーも少なくありません。したがって、すべてを医療機関の責任で対応することが難しい場合があるということもご理解いただけたらと思っております。そこで、先ほど喜多オブザーバーの発言もありましたが、病院情報システムに接続するすべてのベンダーに対して、改めて2省ガイドライン遵守の徹底とセキュリティパッチ更新への対応を、企業努力において義務化するようにお願いしたいと思います。厚生労働省あるいは本日オブザーバー参加のJAHISの関係者の方からコメント等いただけたらありがたいと思っております。どうぞよろしくお願いいたします。
【澤主査】 では、小尾構成員お願いします。
【小尾構成員】 武田先生の方が先に手を挙げられていたと思いますが、私からでよろしいですか。
【澤主査】 はい、すみません、こちらから見ている順番がそのようになっていまして。
【小尾構成員】 はい、わかりました。ご説明ありがとうございました。チェックリストの2-⑦のパスワードの話と、2-⑩の二要素認証の部分についてコメントさせていただきたいと思います。今のガイドラインの書き方で少し理解をしにくい部分があると思いますが、基本的に2-⑦で求めているパスワードの長さは、パスワードを単体で使う場合のことを想定したものと認識しています。一方で、2-⑩で書かれている二要素認証の場合、特にICカードとパスワードとの組み合わせについては、必ずしもパスワードの長さを8桁以上にしなければいけないとか、13桁以上にしなければいけないということが求められているわけではありません。SP800-63でも、少なくとも6桁を求めているという記載になっています。また、二要素認証については、例えばHPKIカードを二要素認証の要素として使いたい場合、HPKIカードは4桁のPINと、いわゆるハードウェアセキュリティであるICカードという組み合わせになりますが、その際に8桁以上のパスワードまたは13桁以上のパスワードを求めるわけではありません。その点について誤解がないような記載をしていただきたいと思います。パスワードのところだけを見て、「HPKIカードが4桁のPINなのでこれは使えない」と誤解をされてしまうと、HPKIカードの普及についても悪影響を及ぼす可能性があると考えます。ぜひその部分については、分かりやすい記載をお願いしたいと思います。以上です。
【澤主査】 近藤構成員、お願いします。
【近藤構成員】 近藤でございます。先程、二段階認証は医療現場の人はなかなか不慣れだというご発言がありましたが、今やオンラインショッピングでも、様々なウェブサービスでも、二段階認証は私たち一般利用者も経験しております。是非、医療現場の皆様は頑張っていただきたいと思います。以上です。
【澤主査】 武田構成員、お願いします。
【武田構成員】 武田です。本件ですが、サーバーのパスワードの案件とエンドユーザーのパスワードの案件がまとまって議論されているかと思います。まず、チェックリストはエンドユーザーに対するパスワードを求めているように読めてしまいますが、資料を見ると、サーバーの方も求められているので、混乱してしまわないかという懸念が少しございます。特に、サーバーのパスワード変更をするときは、一度システムをシャットダウンして再起動しなければいけないので、一度システムを止めて再設定が必要になることも懸念点としてあります。もうひとつ、二要素認証に関しては、私自身もガイドラインの改訂に関わっていた時は、エンドユーザーに対する二要素認証をかなり議論されていたと記憶しています。それに関しては、ガイドラインを改訂してから、システム更新のタイミングを含めて、令和9年度までにできるだろうと書きながら、強く求めていったという経緯があると思います。しかし、サーバーの認証に関しては、あまり意識されていなかったように思います。ですから、各医療機関ではエンドユーザーに対して二要素認証は普及しているかと思いますが、サーバーのパスワード管理に関しては、二要素認証はほとんど意識されていないのではないかと思います。技術的にもさまざまな問題があるかと思うので、サーバーの方も二要素認証を実装していることを求めているのか、あるいはエンドユーザーだけに二要素認証を求めているのかということを明確にしなければいけないかと思います。サーバーの方を求めるのであれば、少し影響が大きいのではないかと思いました。以上です。
【澤主査】 では事務局よりお願いできますでしょうか。
【新畑室長】 ご質問いただきましてありがとうございます。医療情報室長でございます。長島構成員からございました、二要素認証への理解は大変重要であると思っております。今回チェックリストに予定であるというところで、項目として入れさせていただきました。令和9年で実装されているシステムということで、令和9年まではまだ時間はありますが、早めに意識していただきたいというところで、項目に含めさせていただいております。一方で、これから令和9年に向けて現場のご理解をいただけるように、理解の促進は十分図っていく必要があると思っております。これだけにとどまらず、引き続き現場のご理解を得るべく、周知を行ってまいりたいと思っております。喜多オブザーバーからございました、契約がなければというところですが、基本的に機器だけを買っている場合におきましては保守契約等ございませんので、そこで事業者側から情報を提供してもらうというのは基本的には難しいのではないかと思っております。契約があれば事業者用のチェックリストをご提出いただくように医療機関から求めていただきたいという整理の中で行わせていただいております。秋山構成員からございましたセキュリティパッチの部分ですが、チェックリストに含める際にもご議論いただいた重要な課題であると思っております。チェックリストに含めてからは、時限的な措置でどのようなことができるかというところもQA等でお示しさせていただいているというところでございます。一方で、2省ガイドラインの遵守につきましては、他省のガイドラインでございますので、大変恐縮ですが、我々の方で遵守の義務化について現時点では明確にコメントすることはできないのですが、2省ガイドラインが実効的である必要があると思います。こちらにつきましては、作成主体でございます経産省・総務省と連携しながら、引き続き、事業者と医療機関の連携が円滑になるように取り組みを進めてまいりたいと思っております。小尾構成員からございました、誤解がない記載というのは大変ご指摘の通りだと思いますので、誤解のないように記載してまいりたいと思っております。武田構成員からございました、サーバーの部分かどうかというところですが、昨今のサイバー攻撃を踏まえましても、やはりサーバーへの対策が大変重要であると思っておりますので、基本的にサーバーの部分も考えていく必要があると思っております。一方で、どこまで実行可能かというところもご意見をいただきつつ、QA等でどのような対応ができるかについては引き続きご意見いただければと思いますので、よろしくお願いいたします。以上になります。
【澤主査】 他にご意見、ご質問等ございますでしょうか。それでは、委員の方々から多数ご意見をいただきましたので、いただきましたご意見を踏まえまして、事務局において対策案を修正していただきます。修正案につきましては、主査である私に一任いただくことでよろしいでしょうか。期限につきましては、別途事務局よりご連絡いたします。
(3)その他
【澤主査】 以上で本日の議題は終了となりますが、最後に、その他、また全体を通して何かご意見ありますでしょうか。田宮構成員、お願いします。
【田宮構成員】 ありがとうございます。最初の議題のモデル事業について、少し追加させていただければと思い、手を挙げました。長島構成員からお話がありましたように、今回、患者さんにも初めて病名が開示されるという、大きな動きが起きるところだと思います。医療の方向として、きちんと情報を得て判断するという方向になっていくことは非常にいい方向ですから、そちらに持っていくということは本当に重要です。しかし、日本はパターナリズムであった時代や病名を告知していない時代も長く、ヘルスリテラシーの国際比較のデータなどを見ても、日本はアジアの中でも最も低いほど、「自分のデータは特にわからないのでお任せです」という方が、減ってはいますがいらっしゃいます。そのような状況の中で良い方向に持っていくためには、丁寧に色々なケースを想定してきちんと説明ができるようにすることが必要かと思います。また、医師が「告知済み」「表示する」「表示しない」などをチェックするシステムになっていたかと思いますが、忙しい中できちんとチェックができるのか、患者さんへの話が変わった場合に、それを変更できるのかと思っておりました。成功させるためには、そのあたりをきちんと丁寧にしなければと思っております。それからもう一点、閲覧について、家族や高齢者で認知機能が低い場合について時々議論にも出ていましたが、いよいよこれが本格的になってきます。家族が閲覧するなど、情報が患者さんサイドに行った場合にどのようになるのか。これで歩みを止める必要は全くないと思っていますので、だからこそ丁寧にこのモデル事業で実施いただきたいと思っています。よろしくお願いします。これは意見になります。
【澤主査】 牧野オブザーバーお願いします。
【牧野オブザーバー】 日本介護支援専門員協会 常任理事の牧野と申します。貴重なご意見や、丁寧なご説明ありがとうございました。スピード感を上げて、様々な対応が求められる状況ではありますが、国民の方々や、対象者を支える支援者として家族を取り巻く方々にもしっかりとご理解をいただくことが重要だと思っておりますので、広報等についてもきちんと対応していただけたらありがたいと思います。そして、何より、医療現場の混乱を起こさない対応が必要だと思います。一つ目の議題についてですが、相談窓口等については、国民側の相談、医療現場の相談、双方に丁寧に対応いただく仕組みづくりをお願いしたいと存じます。どうぞよろしくお願い申し上げます。
【澤主査】 岩津オブザーバー、お願いします。
【岩津オブザーバー】 ありがとうございます。秋山先生の発言について、JAHISの方からコメントさせていただきます。セキュリティに関しましては、私共からJAHIS会員に向けて周知徹底はさせていただいております。今回の事態に関しましては、人災であるということを真摯に受け止めまして、やはり再度セキュリティに関する事象の共有や、ガイドラインの遵守に向けた努力についてもしっかりと周知したいと考えておりますので、今後とも何卒よろしくお願いいたします。私からは以上でございます。
【澤主査】 事務局からございますか。
【新畑室長】 田宮構成員、牧野オブザーバー、ありがとうございます。今のシステム上はかなり様々なことができるように設定しておりますけれども、これがどこまでできるのか、医療機関においてもどこまで負担なくできるのか。その上で患者さんにどれだけ情報提供できるのか、まさに技術作業班を設定する上でメインの課題だと思っておりますので、重要な課題として丁寧に議論をしてまいりたいと思っております。
【澤主査】 その他にございますでしょうか。それでは、議事を事務局にお返しします。
【橋本室長補佐】 本日も、活発なご議論いただきまして、ありがとうございました。引き続き、どうぞよろしくお願いいたします。また、本日の議事録につきましては、作成次第、ご発言者の皆様方にご確認いただき、その後、公開させていただきます。よろしくお願いいたします。事務局からは以上となります。
- 閉会
