2016年12月21日　第30回　医療情報ネットワーク基盤検討会　議事録

○三上補佐　定刻になりましたので、ただいまから第30回「医療情報ネットワーク基盤検討会」を開催させていただきます。

　構成員の皆様には、御多忙のところ、お集まりいただきまして、まことにありがとうございます。

　樋口構成員がまだお見えになっていませんが、もうすぐお見えになるかと思います。

　それでは、まず初めに、会議の開催に当たりまして、政策統括官の安藤より一言御挨拶を申し上げます。

○安藤統括官　皆様、おはようございます。政策統括官の安藤と申します。よろしくお願い申し上げます。

　本日は、年末の大変御多忙な中、お集まりをいただきまして、まことにありがとうございます。

　開会に当たりまして、一言御挨拶を申し上げます。

　近年、各地域におきまして、医療情報ネットワークの構築が進められておりますけれども、ネットワークの中では、医療機関のみならず、介護事業所も含めて医療情報を共有するという取り組みが行われているところでございます。また、モバイル端末を初め、医療機関の内外で医療情報を扱うデバイスの多様化や、IoTという新たな技術の普及が見られる一方で、標的型のサイバー攻撃が増加するといったようなことがございます。医療情報は機微性の高いものでございますので、それに応じた安全な取り扱いがより一層求められているところでございます。

　こうした状況を踏まえまして、今年度「医療情報システムの安全管理に関するガイドライン」につきまして、適切なセキュリティ要件を明確にするための改定を行うということにいたしまして、この検討会のもとに置かれた作業班におきまして、山本班長のもとで約半年間御議論をいただき、改定原案を取りまとめていただきました。

　本日は、この改定原案につきまして御検討いただくとともに、皆様方の専門的な見地から忌憚のない御意見を多面にわたりましていただきたいと思っております。本日、どうぞよろしくお願い申し上げます。

○三上補佐　ありがとうございます。

　では、冒頭の頭撮りはここまでとさせていただきます。

（報道関係者退室）

○三上補佐　続きまして、構成員の交代がございましたので、御紹介させていただきます。

　藤岡構成員にかわり下邨雅一構成員に御就任いただいております。よろしくお願いいたします。

　続きまして、資料の確認をさせていただきます。一番上に議事次第、次に座席表、次に基盤検討会の開催要綱、資料１と資料２、資料２に関連する付表になっています。過不足等がありましたら、お申しつけください。よろしいでしょうか。

　では、ここから先の議事進行につきましては、大山座長にお願いしたいと思います。よろしくお願いいたします。

○大山座長　それでは、検討に入りたいと思います。

　まずは、きょうの議事であります「医療情報システムの安全管理に関するガイドラインの改定について」ということでございます。これにつきましては、作業班のほうで時間をかけて大変な作業をしていただきました。作業班の皆様方及び関係した多くの方々に御礼申し上げたいと思います。本当にありがとうございます。

　今回、その検討のまとめとしての改定原案が資料として提示されております。本日の検討会では、その内容について御説明をいただきたいと考えております。

　それでは、作業班の班長であります山本構成員から資料について報告をいただきます。お願いいたします。

○山本構成員　それでは、私のほうから改定原案の説明をさせていただきます。説明は資料１に基づいて進めてまいりますけれども、改定原案そのものは資料２とその附属資料の付表でございます。資料１の中に参照ページも記載されておりますので、適宜御参照願えればと思います。

　それでは、資料１を１枚おめくりいただいて、３ページ目をごらんください。第4.4版という版数になっております。実は作業班のほうでは、５版にするか、4.4版にするかということで少し議論がありました。御承知のように改正個人情報保護法が５月30日実施ということに決まりましたが、医療分野に関しては指針等の整備がまだこれから先、少し期待できるところがありますので、その意味で、これから本当に改定が必要になるかどうかは別として、改正個人情報保護法に正式に対応した版を５版ということにして、今回はかなり大きな変更がございますけれども、版数としては4.4版ということで御提案申し上げます。

　改定の背景ですけれども、先ほど統括官からもお話がありましたが、サイバー攻撃の手法の多様化、巧妙化や、地域医療連携はかなり進んできておりますし、昨今、IoTと称される新技術が普及しておりますので、医療情報システムを取り巻くIT環境あるいはその周辺の環境の変化に対応するため、ガイドラインの中で関連する１章や６章の改定をするとともに、4.3版の公表以降に追加された標準規格等への対応等を行っております。

　その下に改定概要がございます。ざっと御説明申し上げます。

　まず、対象を明確化したということと、第３章では、e-文書法の対象範囲である介護事業者等の文書等を追記しております。

　第５章では、新たに加わった厚生労働省標準規格や、それ以外に海外の規格等でも既に改定されているものがございますので、JAHISの標準データ交換規約もそうでございますが、それを追記しております。

　第６章が全ての医療情報システムが遵守すべきガイドラインになりますけれども、6.1章の「ISMSの実践において」というところで規格が更新されておりますので、それに対応するところを改定いたしました。

6.2章では、「製造業者による医療情報セキュリティ開示書」ガイドが公表されておりますし、現実に運用が始まっていまして、これは情報システム等を導入するときにシステム側のセキュリティと運用側のセキュリティに関するそれぞれの条件をきちっと記載したもので、これをもとに運用規定を決めていくべきというところがございますので、これを追記しました。

6.5章の技術的安全対策においては、情報システムを使う際に利用者の認証を行うところですけれども、以前から、２要素認証といいますか、単にIDパスワードだけではなくて、それにICカードをつけ加える、あるいは指紋認証等の生体計測認証をつけ加える等が望ましいという記載をしておりました。昨今、そういった技術が非常にこなれてきて、ある程度廉価に導入が可能にもかかわらず、医療情報システムで積極的に導入する機運が余り見られていないということから、さはさりながら、ガイドラインを厳しくすることによって情報システムのコストが高騰するというのも望むところではありませんので、やや気の長い話ではありますけれども、10年程度先にはこれを必須の要件にする予定であるということを記載しております。

6.6章の人的安全対策において、あるいは6.10章のサイバー攻撃等の非常時の対応について、サイバー攻撃等の事前及び事後の対応や連絡先等についての記載をしております。

6.10章は、今までどちらかというと災害対策が主体だったのですけれども、章の名前を変えております。

6.9章は、昨今、御承知のように、医療機関等、薬局も含めての中で情報システムを使うことが多かったのですけれども、最近は在宅医療あるいは地域包括ケア等で患者の近くあるいは利用者の近くで情報システムを活用する、あるいは院内であっても病棟のナースステーションではなくて病棟そのもので情報を入出力するという用途がふえて、モバイル端末の利用が非常に多くなっています。それに際しまして、4.3版でもこれに対する対策はそれなりに記載はしてあったのですけれども、より注意喚起するということで遵守事項を明確にしております。

6.11章のネットワークのセキュリティですけれども、ことしの３月に公表いたしました電子処方箋の導入ガイドラインでネットワークとしてSSL/TLS接続における利用をある程度明確にしたところから、本ガイドラインにおいてもそこを明確にして留意点を示しております。

6.12章は、HPKIによる電子署名が中心ですが、これも一部記載を改めております。

　７章は、電子保存のところです。代行入力、それから、代行入力ではないのですけれども、例えばレントゲン写真の発生装置、そういったものは一定時間経過すると情報を改変することはないので、時間が経過すると確定できるということを運用上定めることができたわけですが、それと電子カルテ等の代行入力ができるというのも厚労省の通知等で認められているわけで、この２つを組み合わせて代行入力で自動確定という運用があるように聞いており、これはやはり診療録の記載に関して責任の所在を明確にするという意味では取り入れられないことですので、そのことを明確にしております。

10章は、運用ガイドラインの作成に関する規定ですけれども、これは今までの改定に際しての追記をしております。

　一応、各項目を簡単に御説明してまいります。

　５ページです。代行入力を時間経過で自動確定する。これは本来、診療録を記載すべき人間の責任の所在が不明確になるということで、ガイドラインの103ページの7.1章の「真正性の確保について」のＣ項において、代行入力を行う際は、作成責任者による確認を行わずに確定することは認められないという趣旨を記載しております。

　６ページ目の２番目の項目「製造業者による情報セキュリティ開示書」ガイドVer．2.0への言及です。JAHIS及びJIRAが、本検討会の構成員でもありますけれども、規格として出されている「製造業者による医療情報セキュリティ開示書（MDS）」、これは、システムとしてセキュリティ機能はこういうものが用意されている、したがって、運用上でここに注意しなければならないということに対する規格書ですが、これを提示していただくベンダーさんがふえてきております。それでこのガイドラインでも6.2章の医療機関等における情報セキュリティマネジメントシステムの実践のＢ項においてMDSチェックリストが情報のリストアップ、リスク分析・対策に役立つ旨の記載をしております。

　７ページのモバイルデバイスへの対応ですが、以前、4.2版、4.3版からＣ項に記載はされていましたけれども、より明確にするという意味で、一つは、Ｃ項、Ｄ項で規定されている項目をＢ項にも追記して強調しております。

　具体的には、必ず運用管理規程を設けて管理する。

　もしもモバイル端末に患者データ等が保存されている場合は必ず暗号化する。

　余分なソフトウエアをインストールしてはいけない。

　公衆無線LANは危険なことが多いので原則使用禁止としています。ただ、公衆無線LANしか使用できない場合は、6.11章のネットワークのセキュリティの基準にのっとり使用できるとしています。

　それから、BYOD（Bring Your Own Device）、つまり個人所有の端末を業務に用いることが他の業界では行われることがありますけれども、医療の場合、インストールしているソフトウエアによっていろんなリスクが生じることがありますので、原則としては行わない。あくまでも原則であり、どうしても必要な場合は、上の４つの項目あるいは下のＤ項等を管理端末と同様な対策をとればできるというようにしていますけれども、実質的にはそれは非常に難しいことだと考えております。

　それから、Ｂ項の説明のところに追記していますけれども、どうしても持っていく端末ですので、盗難のおそれがございます。したがって、盗難されることを決して想定外にしないために、端末をロックするとか、アプリケーションの起動自体にパスワードを設定するという対策を求めています。

　４の標的型電子メールによる攻撃への対応でございますけれども、6.6章の人的安全対策において具体的なサイバー攻撃を60ページに追加しております。

6.10章の「災害等の非常時の対応」は項を改めて「災害、サイバー攻撃等の非常時の対応」に変更していますけれども、そのところによって医療情報システムが被害をこうむる具体例にサイバー攻撃を追加しております。

BCP発動の際に所轄官庁等の関係機関に連絡する旨を追記しております。

　サイバー攻撃を受けた際の対策項目を追記しています。

6.10章のＣ項にサイバー攻撃を受けた際の対処項目を追加すると同時に、関係機関の連絡先として厚生労働省医療技術情報推進室、それから、標的型攻撃の対応支援を行っているIPAの連絡窓口を追記しております。

10ページ目です。ランサムウエア等の被害も出ておりますので、バックアップを数世代にわたってとることが望ましいということをＢ項に追記しております。

　同じくＢ項においてサイバー攻撃の中で、「標的型メールへの対処について」は日本医療情報学会と医療情報システム開発センターが共同で出しているものですけれども、それから、IPAの「対策のしおり」シリーズ等がございますので、これを活用して従業員の教育を行うことを求めております。

6.10章のＢ項において、6.5章、6.6章の内容を参照してサイバー攻撃への事前対策を行うように求めています。ランサムウエアにしても標的型メール攻撃にしても、一旦被害に遭ってしまうと最低限に被害をとどめるぐらいしかできないのですけれども、事前対策、予防的に対策することがかなり有効ですので、それを追記したということでございます。

11ページ目の個人情報保護法への対応です。平成27年９月に公布された改正個人情報保護法及びその関連法令に合わせて本ガイドラインの改定を検討しましたけれども、現在参照しています「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」が恐らく改正されるだろうということで、それを踏まえて今後検討することとしております。

12ページ目、6.11章のネットワークセキュリティのところですけれども、さきにお話ししましたように、電子処方箋導入ガイドラインにおいて、TLS1.2を一定の基準に従って運用する場合は使ってもよろしいということを明記いたしました。それに伴いまして、このガイドラインでも、電子処方箋以外でもTLS1.2をCRYPTRECが出しております「SSL/TLS暗号設定ガイドライン」における高セキュリティ型の要求設定を施した場合に利用可能というふうにしております。

　ただし、13ページにございますように、ルータータイプでない場合のVPNというのは、それがインストールされているコンピューター、PCの場合もございますし、あるいはいわゆるサーバーの場合もございますけれども、この機器の設定によってはVPNを張った安全な回線以外にも回り込んでくる可能性がございます。したがって、その対策が必須であるということを記載しております。これは主にTLS1.2を対象にしていますけれども、今まで書かれていましたIPsec、IKEでも、いわゆるソフトウエアタイプのVPNがございますので、その場合、例えばポートが２つあるようなサーバーを使う場合は反対側のポートに入ってくる可能性がゼロではないということで、その対策を十分するようにということを追記しております。

　それから、6.11章のＢ項に、セキュリティインシデントの報道や事業者からの情報提供、これに関して十分注意して認識しておくべき旨を追記しております。TLS1.2というのは非常にたくさん使われていますので、そういう意味では、何か問題があった場合にすぐ適切なところを見れば情報が得られますので、それを注意するように追記しております。

14ページ、小規模医療機関が遵守すべき項目では、非常に大規模な電子カルテを入れているところから従業者が少ない小規模医療機関までこのガイドラインは適用になるわけですけれども、付表１をわかりやすくすることが非常に重要だと考えまして、付表１に先ほどの本文で改定になった部分を主には追記しております。

15ページは、付表１が一部重複しているところがございましたので、この修正を行いました。

16ページ、８の医療情報システムの対象範囲の明確化ということで、今までは、いわゆる医療情報だけを対象にとは申しますけれども、例えば介護に用いる医師の書かれる意見書、そういった患者さんの機微情報が含まれている情報を扱う情報システムもございますし、他の総務省のガイドライン等では介護情報システムも対象に入っていますので、この医療情報システムの安全管理に関するガイドラインも対象範囲の検討を再度確認いたしました。

　３ページの１章の「はじめに」でガイドラインの対象を「病院、一般診療所、歯科診療所、薬局、助産所、訪問看護ステーション、介護事業者、医療情報連携ネットワーク運営事業者等（「医療機関等）における電子的な医療情報の取扱いに係る責任者」と明確にしております。

　介護事業者が作成、保存する文書につきましては、3.1章のところで「７章及び９章の対象となる文書について」というのがございますけれども、これに17ページにあります１から14までの文書を追記しております。

18ページ目、９のIoTセキュリティへの対応です。IoTという言い方は非常に幅の広い概念を含んでおります。したがって、例えばスマートフォンもIoTだという考え方もございますので、このガイドラインにおいてIoTについて6.5章のＢ項に記載しておりますけれども、まずはIoTの対象範囲を明確にするということで、IoT機器を「センサ等で自動的に情報を取得し、若しくは他の機器が自動的に取得した情報を中継し、ネットワークを通じて他の医療情報システムに送信する機器」としています。これによって医療に関する個人の情報を取得し、ネットワークを介して情報を収集する仕組み全体を対象としております。

IoTの実用例としては、医療機関等の内外で用いられる医療機器やバイタルを測定するウエアラブル端末等から患者のデータを収集して、医師の診療支援や経過観察等に活用すること、それから、医療機関等内における職員の位置情報や動線を分析し、病床や人員の配置等を改善すること、こういった利用が考えられるということです。

　具体的な改定案ですけれども、19ページ目をごらんください。6.5章の技術的安全対策のＢ項に「（６）医療等分野におけるIoT機器の利用」を新設し、IoTに関する考え方を下記のように規定しました。

　安全管理ガイドラインでは、医療情報の適切な保全を目的としてIoT機器の適切な取り扱いに関する要件を定めており、「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」において定める医療機器のサイバーセキュリティの保全については、厚生労働省医薬・生活衛生局が発出する「医療機器におけるサイバーセキュリティの確保について」等を踏まえ、医療機器の製造販売業者と必要な連携を図ると記載しております。ただ、これは新しい分野でして、これから先さまざまな動向が考えられます。したがって、これらの動向等を常に注意すべきであるということを記載しております。

　論点として、IoT機器の貸し出し時の患者のリスクの受容というのがございます。例えば医療機関が活動量計をふだんの運動量を見るために貸し出したときに、患者さんに生じるリスクがございます。横から本人の活動量をモニターされるとか、そういった危険性もございますので、これを事前に患者さんに対して十分説明を行った上で合意する必要がある旨を追記しております。

　引き続き、IoTですけれども、20ページ目をごらんください。IoTセキュリティガイドラインというのがございます。それを今回御議論いただく安全管理ガイドラインと比較して対策が十分でない規定はあるかということを検討しました。

IoT機器を含むシステムの接続状況や異常発生を把握するため、IoT機器システムがそれぞれの状態や他の機器と通信状態を収集・把握し、ログとして適切に記録する。これが欠けていましたので、追記しております。

　それから、IoT機器を含むシステムが単独でログ管理や暗号化等の対策を行うことが難しい場合、他にログ管理のための機器を用意する等、上位のシステムやサービス全体で対策を行うということを追記しております。

　それから、システム、サービスの特徴を踏まえ、ファームウエア等、IoT機器のセキュリティ上重要なアップデートを必要なタイミングで適切に実施する方法を検討し、適用するというのも追記しております。

21ページ目、改定案のところです。使用終了または使用停止したIoT機器がネットワークに接続されたままであると不正に接続されるリスクがあるため、電源を切る等の対策を講じること、それから、6.5章のＣ項に、IoT機器の利用に関するリスク分析の実施と運用管理規程の作成にかかわる規定を設けるべき旨を追記しております。

22ページ目が２要素認証でございます。２要素認証を原則実施すべきということを目指して検討してまいりましたけれども、余り急激にやりますと新たな追加の装置を導入しなければいけないとか、あるいは導入機器のコストが上がるということがあってはいけませんので、相当な猶予期間を設けて段階的に進めることもあわせて検討してまいりました。

　２要素認証を原則化するかということなのですけれども、今すぐはさすがに医療機関に対する負荷が大きいので、改定案にございますけれども、本来、システムにあらかじめ実装されているべきでありまして、今後、認証に係る技術の端末への実装状況等を考慮してできるだけ早期に対応することが求められるということで、期間は暫定的ですけれども、約10年を目途に、10年たった場合は１要素認証は不可ということをＣ項に組み入れることを想定しております。

23ページ目の改定案で、6.5章のＢ項において、現在のバイオメトリクス機器、いわゆる指紋認証とか静脈認証ですけれども、もちろん非常に精度の高いものも存在しますが、非常に高価になって、普通に医療情報システムで使うには余りにもコストが上がり過ぎる。安いものになるとそれなりに精度が落ちてきますので、そういう意味では、１対Ｎで識別することは十分でないということで書いておりますが、それが読み取りにくいという話がございましたので、採用例を紹介しております。

　それ以外、ICカードが破損した場合、そういったものもございますので、それも明確にするように記載しております。

　２要素認証が、いわゆる端末だけで実装するのではなくて、端末が存在する部屋に入るときの入室認証と端末認証を組み合わせて２要素認証とすることも可である。例えば、放射線管理区域の撮影装置の取り扱いとかで、撮影装置というのは結構長く使いますので、ひょっとすると10年たっても使っているかもしれないということで、その場合は、撮影は管理空間ですから、その管理空間に入るときの認証をつけ加えることによって２要素認証とすることもできるということを追記しております。

24ページ目でございます。シングルサインオンを用いる場合には、最初のログイン時に２要素認証をすればいいという記載を追記していますが、ただし、一度の認証で複数端末からログイン可能とすることや、ログインしたまま長時間放置することはできないということを追記しております。

25ページ目、電子署名ですが、論点としては、今まではHPKIを「活用することが望ましい」と記述があったのですけれども、「推奨される」に変更しております。それなりの普及を見せているところから、今回、４月の診療報酬改定でも認められたところですけれども、さらに一層の普及を目指すということで「推奨される」に変更しております。

26ページ目です。この改定に当たってさまざまなステークホルダーにヒアリングをしたのですけれども、わかりにくいという御意見がございました。わかりにくいというはかなり主観的なもので、これに対応するのは難しいのですけれども、できるだけわかりやすくするということで、言葉遣いや用語、表記等に平仄をとるとか、あるいは今回の改定で平仄をとったとか、ガイドラインが参照している他の資料に関しても記載を追加したという程度にとどまっています。これでわかりやすくなったかというのは、わかりにくいと思われた方に聞いてみないとわからないのですけれども、我々としてはこの辺が限界かなと考えております。

27ページ目の規格変更、これは比較的事務的な変更でありまして、厚生労働省標準規格が追加されていますし、データ交換のための国際的な標準規格への準拠も追加しています。そういったものに対応できるように第５章の変更、それから6.1章の方針の制定と公表に関しましては、先ほどもお伝えしましたけれども、ISMSのもととなる規格が変わっていますので、それに合わせて修正をしております。

　少し長くなりましたけれども、今回の改定原案に関しては以上でございます。

○大山座長　ありがとうございました。

　一気に説明いただいたので、わかりにくいと言われたらそれまでなのですけれども、ただ、いろんな観点がございます。どこからでも構いませんので、皆さん方から御意見をいただければと思います。現時点でのアップデートとしてはかなりよくできていると私自身は思っておりますが、皆さん方からの御意見があれば。

　どうぞ、石川先生、お願いします。

○石川構成員　新しい時代のガイドラインとして本当にすばらしいものをつくっていただきまして、大変ありがとうございます。

　幾つか教えていただきたいのですけれども、一つは、このガイドラインは多岐にわたっていまして、一つ一つ現場のほうもそしゃくしなければいけない内容があると思います。ですから、この議論のタイムテーブルといいますか、スケジュールを教えていただきたいということと、具体的には個人情報保護の問題について、今、4.4版でということで暫定的にするというお話ですけれども、それはそれでいいとしまして、では医療や介護における改正個人情報保護法の扱い方といいますか、対応の仕方について具体的に今後どういう道筋でやっていくおつもりなのか、これは事務局のほうに聞いて、それで4.5版をいつごろ出していただけるのかということについても言及していただきたいと思います。

　以上です。

○佐々木参事官　事務局のほうから、いただいた御質問についてお答え申し上げます。

　今、想定しておりますのは、本日御議論いただきまして、原案ということで御了解いただければ、年内中にパブコメをいたしまして、広く御意見を募りたいと思っております。１カ月程度パブコメをいたしまして、御意見を踏まえて、もう一度作業班のほうにいただいた御意見を検討していただいて、年度内にもう一度、１回か２回になるかもしれませんけれども、本検討委員会で御審議を賜って、バージョン4.4という形で確定して各都道府県等に通知するという流れを現時点では想定しております。

　もう一つ、改正個人情報保護法の関係でございますが、このガイドラインは、そもそも医療情報を扱うときの安全管理のガイドラインということでございます。例えば資料２の38ページをごらんいただきたいと思いますが、情報システムの基本的な安全管理といたしまして、個人情報保護法で安全管理措置というのが求められております。ここの部分の記述の改定は改正個人情報保護法ではないのですけれども、これを参照するところの「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」という現行のガイドラインがございます。改正個人情報保護法に基づきまして、個人情報保護委員会に各種業態別のガイドラインは作成権限を移管することになっておりまして、現在、医療・介護分野につきまして、基本的な考え方としては今のガイドラインを踏襲するという方向で、作成クレジットは個人情報保護委員会になりますけれども、そういう方向で調整をいたしております。年明けにそういう改定が予定されておりますので、その改定状況で仮にここの医療情報安全管理ガイドラインに反映させるべきものがあれば、今の時点では余りないと思っておりますけれども、仮にございましたら、パブコメの後に反映していくというスケジュール感で考えておるところでございます。

○大山座長　どうぞ。

○石川構成員　今の参事官のお話ですけれども、そうしますと個人情報については個人情報保護委員会のほうのいろんな作業を待っているということになるのですか。

○佐々木参事官　待っているといいますか、協議してということでございますけれども、例えば、38ページに「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」がございます。現行は各省別に医療・介護分野における個人情報のためのガイドラインを定めていますが、法的には個人情報保護委員会に各業種別のガイドラインは統合して定めるということになっております。医療分野あるいは介護分野は情報の特性がございますので、そこについては個人情報保護委員会のほうと協議いたしまして、医療・介護事業者における個人情報保護ガイドライン、名称はともかくといたしまして、基本的に現行の取り扱い、例えば黙示の同意ですとか、そういうものも運用を変えない方向で調整中でございます。改正個人情報保護法に基づくガイドラインの医療・介護分野における取り扱いというのは、時期は未定でございますけれども、年明け以降、別途お示しするという方向で個情委と調整中でございます。

○大山座長　どうぞ。

○石川構成員　これはここで述べることではないかもしれないのですけれども、学問研究の問題がつい先ごろ一応決着をつけたというようなことになっております。あの場合に、学問研究を担っている先生方の多数参加の上で会議が行われました。今度、医療・介護の個人情報の検討会については、やはり現場の意見を十分に反映した形で議論しないと難しいと思っていますが、これが今の段階で全然予告されていないというのは大変まずい。遅い。これは大きく変わることなので、ここで言ってもしようがないことなのですけれども、ぜひ厚労省のほうできちんと対応していただかないと現場が大変混乱することになりますので、よろしくお願いしたいということでございます。

　このガイドラインにつきましては、今後かなり細かな点を議論していただきたいと思うので、今回でガイドラインをパブリックコメントに投げるのはちょっと早過ぎます。今から議論に入って、代行入力の話もかなり長く話をしなければだめだと思いますし、とてもきょう一日でパブリックコメントに出せるなどということではないです。これは意見です。

　以上です。

○大山座長　今の状況ですと、最初の個人情報に関係するガイドラインについてはちょっと話がすれ違っている感じがするので、佐々木さんのほうでもう少しわかりやすく言っていただくといいかと思います。今あるガイドラインについて、それをベースに個人情報保護委員会と議論をこれからする。佐々木さんあるいは厚生労働省さんの現時点での判断では、追記するものは特にないと思っているということなのですね。

○佐々木参事官　医療情報の範囲。

○大山座長　医療情報の範囲についてはということなので、その意味で、相手方と交渉していて、今のものが了解されればそのまま、追記が必要だとすればそれについては当然皆さんにも御連絡いただけるというふうに私は理解したのですけれども、それでいいですか。

○佐々木参事官　そういうことです。

○大山座長　ということなのですが、石川先生、その点はいかがですか。

○石川構成員　それは全然納得がいきません。例えば、今度、患者さんの医療情報をどうやって学問研究に持っていくかというところでもさんざん議論したのです。そのフロントは私たち現場の医療従事者なのです。それは学問研究のところでも大きく関係してくるので、それが今までのガイドラインをそのまま準用するとか、ちょっと変えればいいなどというものではないのではないかと思います。まだ細かく私などは検討していないのでわからないのですけれども、この辺は樋口先生あたりにコメントをいただければと思います。

○大山座長　お声がかかりましたが、樋口先生、いかがですか。

○樋口構成員　ちゃんとしたお答えが石川先生に対してできないと思いますが、私が伺っている範囲では、個情委で、医療の分野では従来どおりのやり方を今度の改正法で大きく変更することはない。それはまさに石川先生が恐れておられるように、突然、改正が５月30日に行われると６月１日から現場が非常に混乱するような話にはしないようにする。それが法文上は、今度の改正法を文章だけ見ると相当大きな変更になっているのに、今までどおりのガイドラインで本当にいいのかと私なども思います。改正に参加したというか、責任者の人からも、医療の分野は、例えば黙示的同意みたいなことでやってもらうほかないので、このままでやれるのですという、説得力がどれだけあるのかどうかわからないですが、そういう話で一応来てはいる。

　もしそういうことであれば、それはそれでいいのではないかというふうに私も考えておりますけれども、ただ、もっとはっきり何らかの形で、今度の個人情報保護法改正に当たっても、法律上も政令上も、それからガイドライン上もこのままでいいのだということをみんながわかるような形で明らかになるというのが必要だと思っています。それは石川先生が懸念しておられるとおりかなと思っております。ある種の一部のところだけではきっとそういうことで何とかなるのではないかと思っているけれども、ほかの大多数のところでは懸念もし、心配もされているのではないかと考えております。

○大山座長　山本先生、何かあったら言っていただいたほうが。

○山本構成員　樋口先生に追加するようなことはございませんが、第三者提供のトレーサビリティーとかというのが法律に書いてあるのに、これまでのガイドラインと同じというのはちょっと違和感がないではないです。もっと明確に、本当に要らないとか宣言してもらったほうが医療機関は安心できるのではないかという気はいたします。

○佐々木参事官　いずれにしてもこの医療システム安全ガイドラインの話とちょっと違う次元で、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」の改正個人情報保護法に基づく取り扱いということについては、基本的なスタンスとして、診療の現場に支障がないように現行のガイドラインで記載されている事項を踏襲するという方向で調整しておりますけれども、改正個人情報保護法のガイドライン、それ自体につきましては、このシステム安全管理のガイドラインとは別に御相談をさせていただくということにさせていただきたいと思います。

○大山座長　今の件はよろしいですか。

○石川構成員　はい。

○大山座長　ということで、今回の安全管理に関するガイドラインは、今の時点では個人情報保護に関して先送りをさせてください、そういう説明だと理解しておりますが、その件について何かまだ御意見があればと思います。

　ほかの件につきましても、もちろん結構でございます。IoTやモバイルの話、結構重要なことが出ていますが、事前に議論させていただく中で、石川先生のほうは特に御関心がおありかと思うのですけれども、今、総務省さんと厚生労働省さんで協力いただいた上で、石川先生や皆さんにも御協力いただいて、いわゆるインターネットワーク・エクスチェンジをつくろうという話をしているかと思います。そちらは医療等分野における、ある意味、言い方を変えれば専用のネットワークシステムで、既存のネットワークをいかにうまくつないで全国をカバーするか、こういう話だと思います。こちらについての話とここでの話はちょっとまた違いがきっとあって、その辺については、きょう、明確にこのガイドライン上書いていませんが、まだあっちはできていないものですから、今からガイドラインを書くわけにはいかないので、その点については別の話だと御理解いただければと思います。

　いかがでしょうか。何かほかに御意見があればと思いますが、どうぞ。

○石川構成員　たびたび済みません。きょう、ここで議論するということは非常に大事なことが幾つもあると思っています。

　今般、夏に、Q&Aという形でSSL/TLSに関してのコメントを出していただいて、本当にこれは助かりました。しかし、基本的に現場のほうがかなり先んじていろんなことをやっていることに対して、私たち懸念する側が半年以上かけてあれを出していただいたといういきさつがございます。そうしますと、現場としてはどんどん広がっていくということがありますので、事務局といいますか、厚生労働省さんのほうには素早い現場への対応をこのガイドライン上もきちっとやっていただきたいということです。幾つもこれからこのガイドラインで現場をいろいろと見ていかなければいけないところがあるので、現場の進展というのは結構速いですから、すぐ反応していただきたいという要望があります。よろしくお願いします。

○大山座長　ありがとうございます。

　ほかにいかがでしょうか。

　印象なのですが、佐々木参事官もかつて一緒だったので、年金のほうの状況を見ると、私は本当にここが怖いのです。年金であそこまでしっかりやろうとしてもトラブった。それに対して今、業務とインターネットを切り分けるぐらいの状況でやっているのですね。医療の情報のほうがはるかに、漏れたときに、怖さ、危険性が高いと思いますが、今みたいなBYODの話もそうですけれども、自分で設定を変えてしまうなんてことをもしやってしまったら何が起こるかということが、やはり非常に不安があります。

　その意味では、業務でやるということに対するまずは危険性をしっかりと認識いただくということがすごく大事で、ガイドラインを出すのは我々の責務として大事なのですけれども、これを出したからといって我々は免責ではないと思うのです。そこについて、この先、厚生労働省さんにはぜひしっかりと対応いただいて、もちろんそれは三師会の皆さん方にもお願いしないといけないことだと思いますし、我々もできるだけのことは協力しなければいけないと思いますが、医療情報が漏れるような話、最近ほかの事例を見ていると危ないかなと思わざるを得ない面がございます。その意味では、4.4版という形ではありますが、できるだけ早くこれはこの形で出していくことが必要ではないか、まずそれが第一歩と思います。その点を踏まえて、何か皆さんのほうで御意見があればと思うのですが、いかがでしょうか。

○佐々木参事官　私ども事務局といたしましても、まさにサイバー攻撃とかいろいろふえていますので、御承認いただければ、パブコメも含めて出させていただいて、さらに年度内には確定させた形で、御了解いただければでございますけれども、もちろんシステムベンダーも含めてでございますが、医療関係者あるいは都道府県等行政機関等につきましても、このガイドライン改訂版の普及周知をできるだけ早くしたいと思っています。

　また、周知するだけではなくて、抽出の形になるかもしれませんけれども、実際の医療機関の適用状況などにつきましても来年度以降も継続的に調査を行いまして、実効性のある形で医療機関のセキュリティについて、ガイドラインの適用状況などについてもフォローアップ的に調査をしたいと考えております。御了解いただければでございますけれども、そういう意味でも、できるだけ早く案をお示しして、確定のガイドラインとして適用したいと考えておりますので、そういうことを御理解いただければと思います。

○大山座長　どうぞ。

○樋口構成員　質問ということで、今、佐々木さんがおっしゃったことに尽きているのかもしれないのですけれども、今回、6.10章に災害だけではなくてサイバー攻撃というのを入れたわけですね。民主党であれ、何であれというような話とか、私は大学に所属していますが、大学もほぼ毎日ということはないのだけれども、このところ標的型メールでこういうのがやってきます。本当にそのままあけそうなもので、どっちが本当なのかもわからないようなものがやってきています。

　その上での話なのですが、ここで災害とサイバー攻撃というのがあって、教えていただきたいのは、こういうものがやってきた場合には医療情報システムとしてこういう形で対応しましょうということを今度盛り込んだのですが、現実に医療機関を対象としたサイバー攻撃は既にあるものなのか、把握しておられるのかどうか、私、何も知りませんので、その上でこういう話なのか、今後あり得るという話ではなくて既に随分あって、教育機関だけではないという話なのかどうかが１つ目です。

　２つ目は災害の話なのですけれども、ことし１年だけを見ても、御存じのように、熊本であれ、どこであれ、地震だけでもなくて大きな災害がいっぱいあったわけですね。従来のガイドラインはあったわけで、そのときの対応として、それに学んで今度改定したようなものがあるのか、あるいは今までのところで一応対応はできていたのだということなのかどうか。サイバー攻撃の部分と災害の部分について、事実的なあるいは現実的な観点について補足して教えてくださるようだったらありがたいと思っております。

○山本構成員　医療機関が診療に使っているシステムでのサイバー攻撃ではないのですが、どちらかというと利用者の不注意によるウイルス感染等の事故は、それなりの頻度であります。例えば、医事課のシステムで不用意に自分たちの使っているUSBメモリーを挿して、そこから感染したような事故はございます。明らかな外部からの攻撃は、私が知る限りは医療情報システムではなくて、医療機関が開設しているホームページ等を書きかえられたようなことはございます。

○大山座長　インターネットに直接つないでいないということでしょう。

○山本構成員　恐らく半々ぐらいだと思いますね。インターネットに直接つないでいる医療機関も結構ございます。例えば、患者さんが外来に来て、自分の勤務先を言ったときに、どんな会社なのかを知るのが診療上重要な要素になることがあります。そういう場合は、インターネットをつないでいない医療機関では、診察室にインターネットにつないだ別の端末が置いてあるのですが、どっちが安全かは結構微妙な問題ですが、そういうことがございます。　あと、災害時の話ですが、系統的に調査をしたわけではありませんけれども、今回の熊本の場合は熊本大学附属病院に聞くと、建物外部の被害はそうなかったのですが、内部的には地震の揺れで相当な被害があったそうですが、一応BCPどおりに動いたということで、ここはほとんどとまらなかったと思います。

　東日本大震災のときには、一つは病院が潰れてしまいましたが、潰れていない東北大学附属病院等では、情報システム自体はとまらなかったのですが、サーバー室のエアコンのコントローラーがとまってしまって、サーバー室の温度がどんどん上がってしまい、停止寸前になったみたいなことはありました。エアコンのコントローラーのコンピューターが無停電電源につながっていなかったという、ある意味、初歩的ですが、なかなかそこまで頭が回らないのだろうと思います。中には非常にうまくいった病院もあって、病棟、外来、全てが無停電電源でつながっていて、なおかつ立派な免震の建物で、全くノンストップに非常用電源で無事に３日しのいだというところもありましたね。

　ですから、このガイドラインに従ってと言えるとうれしいのですけれども、このガイドラインに従っているだけではなくて、さらに追加の対策をしたところは成果もそれなりに上がっているということですね。そんなところだと思います。

○大山座長　ほか、いかがですか。

　昔のアメリカでカトリーナというでかいハリケーンが来たときに、やられたのは電源とかではなくて、水で湿度が上がって電子機器が全部だめになったという話はありましたね。その辺からも、ある意味、バックアップの持ち方といいますか、安全な回線を使った遠隔地におけるバックアップのやり方というのは、これからどうしても分散して持っているというのが必要になってくるのかなと思います。

　そのためにも、医療の中のネットワーク化をうまく広げていく必要がある。2000年のころにインターネット元年に近いような話があったのですけれども、医療のネットワーク化の元年がそろそろ来るかなと、そう思って期待しているところであります。そのためにも、このガイドラインは、それとまた別に実際使っている現場のところの話にも対応しますので、重要なことであろうと思います。

　いかがでしょうか。田尻先生、御意見ないですか。

○田尻構成員　今までの先生方のお話を聞いていて、なるほどそういう考えもあるなということを思いつつも、実は現場に近いサイドで、例えば、私、薬局ですので、薬剤師が介護の居宅に行ってモバイルを使ったときに、その居宅に出向いた薬剤師が何をし出すかわからない、それをガイドラインで縛ることは全く無理だし、今回は、いわゆる超簡単マニュアルみたいなのが、実は診療所の規模によってということで、Ａ、Ｂ、Ｃで分けて用意はしてくださっているのですけれども、使う側の人間のコントロールをどうしようかとさっきからずっと考えていました。

　悪さをするのは人間ですから、使う人の教育も含めて、先ほど医療情報のネットワーク元年というお話をされましたけれども、そういう意味で、現場の人間自体、医療関係者がそこまでなかなかついていっていない部分、そしてやはり情報が漏れたときのその後の厄介さ、大変さ、修復不可能なことがどれだけあるかということの認識を深めるような、今後は人の教育が必要なのだろうと思ってここに座っておりました。

○大山座長　ありがとうございます。

　ほかにもしあればですが、いかがでしょうか。よろしいですか。

　きょうは、この会の開催の趣旨がもともと、最初にもありましたように、ガイドラインの改定案について皆様から御了解をいただければ、この後、パブコメのほうへ進めていきたいということですが、石川先生の最初のお話でこのままではということがございました。改めて石川先生のほうから、きょう、まだ時間がございますので、もし議論すべきことがあれば、パブコメへ進む中でまたやるということもあるでしょうし、いろんな方法があるとは思いますが、御意見があればいただきたいと思います。いかがでしょうか。

○石川構成員　逐条的という言葉がありますけれども、逐項目的ぐらいにやっていただきたいと思っています。例えば、最初の電子カルテの代行入力ということ、これは本文のほうを読みますと、本文のほうでも訂正していただきたい箇所も随分ありますし、もっと違うことを私たち現場では想定しているので、そのことを頭の中に入れた書きぶりにしていただかないと全く使えないのではないかと考えております。ですから、そこから始まっても恐らく30分以上時間がかかるのではないかと思いますが、そんな感じです。

○山本構成員　具体的に103ページの４項、どこが問題でしょうか。

○石川構成員　103ページということで括弧してあるのですけれども、実はその前のところから問題はあると思うのですね。101ページをごらんになっていただきたいと思います。「記録の確定」の第２フレーズに「作成責任者」が出てくるわけです。この作成責任者の問題と、それから、作成責任者が例えば代行入力をどなたかにお願いしたというときに、この作成責任者が自分で確認したということがずっと103ページ目の間に書かれているのですけれども、ここで責任者というのが作成責任者と管理責任者、２つぐらい出てきます。

　ところが、101ページの一番下の２行目に「グループ診療及びグループ看護においても、作成責任者は個人となり、責任者が複数存在する場合は複数の個人を責任者として記録する」とあります。これは作成責任者のことを言っているので、作成という話が入らないとだめだと思います。この作成責任者が代行を置いたときに、その管理を代行したということで最後確認するのは作成責任者がしなければいけないのか、それとももっと上の管理責任者がしなければいけないのかということについて議論が必要だと思います。

　というのは、医療の現場だとか、恐らく薬剤の現場、それから歯科医師も大事なことだと思いますが、その作成責任者がいなくなってから変える作業というのは必ず出てきます。タイムスタンプだけでその確定作業が行われるというのは、それも間違いだと思いますので、代行入力は、作成責任者が管理するのか、その上の管理責任者が管理するのかということをきちんとやらないとだめだと思います。

　いろんな医療機関で代行を置くときに、ここには手術の例が書いてありますけれども、手術をやっている者が自分で記載したいということはほとんどないです。そう思う人はほとんどいないので、そのときに代行入力をするということは現場としてはほとんどありません。手術記録だとか、そういうのは全部終わってからやるので、現場で代行記録ということは、その人間がやるのではなくて麻酔科医がやったりするのが現状であります。

　手術というところが100ページに出てくるのですけれども、そういうことではなくて、現場で代行入力が一番されるのはどういうことかというと、そのカルテを書く人間が何らかの理由で電子カルテを打てないということです。そういうのが現場ではまだ、先ほどの御説明では10年間ぐらいはということなのですけれども、10年間はあると思います。

　それから、その先生がいなくなったときに、処方箋のオーダーが間違っていたりしたときに書きかえしなければいけない。そのときに代行入力は誰がするか、こういうケースが日常的に圧倒的に多いのです。作成責任者と管理責任者の２つが記録を確定したときにどういう関連性を持っているのかということをガイドラインに載せてくれないとだめだと思います。一つはそういうことです。

○山本構成員　今の御意見は、ちょっと誤解だと思います。管理責任者とここで書かれているのは、これは医療機関の管理責任者で、運用管理規則を定める人という意味で管理責任者を使っています。作成責任者というのは、例えば主治医が処方を行って、それに対して疑義照会が来て変更したという場合に、変更することがそもそも診療録の記載なのですね。したがって、そのときには、変更を法律上行える人、これが作成責任者になります。あくまでも処方医が作成責任者ではありません。

　それを外来クラーク等に代行させることが代行入力でありまして、例えば手術記録を書く人が執刀医なのか、手術の介助をする医師なのかというのは、状況によってその都度違うと思います。100ページの表現は少し修正してもいいかもしれませんが、本来、制度上の書くべき人間、例えば手術記録は手術に立ち会った医師であれば書いてもいいと思うのです。それは代行ではなく、本来の入力であり、それを絵の上手な学生に書かせたとなると代行入力になります。

　代行入力は、本来作成する人が確認しない限りは正当な電子カルテ入力とは認められないというのが今回の改定の趣旨であり、今回の改定でない部分まで議論が戻ると結構大変という気がしますが、最初に申し上げましたとおり、今回の改定は放射線の撮影装置等では一々確定するタイミングがなくて一定時間たつと変更の必要がないので、確定情報としてPACSのサーバーでやるとか、電子カルテシステムに送信されるということが現状起こっているわけです。それはそれで大きな問題ではなくて、撮影する技師さんの認証などが事前に行われていればいいと思うのですが、それと電子カルテの代行入力を組み合わせて曲解して、代行入力が一定時間たつと確定してしまうといったような運用だと困るので、それはできないということを今回の改定で追加したということです。

　そういう代行入力と作成、管理責任というのは、この場合、管理責任は運用管理規程で定めるところしか出てきていないと思うのです。作成責任というのは、制度上その記録を書かなければならない人、例えば先ほど例に挙げられたように、処方医がいなくなったので別の医師がそれに対して処方の変更を記載するのは、これは別の医師が作成責任者になりますので代行とは呼ばないです。

○大山座長　どうぞ。

○石川構成員　そういう御説明だと思うのですけれども、100ページから101ページにかけまして、作成責任者が恐らくカルテルを作成する方、医者だと思います。それを代行するというのはどういうケースが行われているかといいますと、基本的には先ほど言いましたように、電子カルテを打てない方、打ちたくない方というのがいて、事務系が代行入力したりするということがあります。現場にその方がいるので、現場にいる方が作成責任者として確認すればいいと思います。ですから、それはいいのです。

　しかし、処方箋の疑義が発生したときに、その作成責任者はいないわけで、その先生に電話して、ここは先生の間違いで書きかえましたと言ったときに、書きかえる人というのは、作成責任者はそこにはいないわけで、確定できないですね。後日やるということになるのかもしれないのですけれども、そこは誰が責任を持って確定するのかということと、現場で運用を定めるということが101ページの真ん中に書かれているのだと思いますが、「一定時間経過もしくは特定時刻通過により記録が確定するとみなして運用される場合においては、作成責任者を特定する方法とともに運用方法を定め、運用管理規程に明記する必要がある」。ここで一応、運用管理規程に明記するということでやるのだと思うのですけれども、先生はそのことを言っているのですね。

○山本構成員　ここは違います。ここは、あくまでも自動入力されるような機器からの話でして、人が入力するような電子カルテの記載に関してはその運用は認められないということです。

○石川構成員　認められないのですね。

○山本構成員　はい。

○石川構成員　そうすると、処方箋の疑義で、薬局に行ってからその医療機関にこれは違うのではないですかと疑義照会があった場合、その入力をもう一回改めるときはどういうふうにするのですか。

○山本構成員　例えば午前中で帰ってしまう先生がいらっしゃった場合、午後の疑義照会に関しては、その病院で体制を整えて、それに答える医師を決めていただければ、その人が作成責任者になります。

○石川構成員　今度は新しく作成責任者になるということですか。

○山本構成員　そうです。

○石川構成員　それは、そこの開設者が、管理責任者がやらなければいけないということにはならないのですか。

○山本構成員　そんなことはないです。ただ、その運用を決めるのは管理責任者の責務ですが、実際に例えば疑義照会があって、これは処方医の指示間違いなので変更するというのは、運用規則で決めた処方する資格のある医師が新たに変更に関する作成責任者になります。

○石川構成員　すごく悩みがあるのは、私がこうやってここで会議に参加しているときもパートの先生がいるわけですね。パートの先生が帰って、私も診療所には帰らない。疑義照会があったときにどうなるかといったら、医者がいないところで疑義照会があって、私のところに電話がかかってくるか、その先生のところに電話がかかって、変えてもいいですかとやって、電子カルテを変えたり、処方箋をまた再度発行したりという業務が実際には発生しているのです。運用規定を設けてということであれば、運用規定をその診療所の責任者が設けてやりなさいということになるのかもしれないですけれども、それは案内が別個必要だと思います。

○山本構成員　それはおっしゃるとおりです。ただ、これはあくまでも電子情報システムでやるための安全管理のガイドラインなので、代行入力や疑義照会に関しては、電子カルテでなくてもそういう問題は生じます。それに関しては、もし、現状ない場合は制度的手当てが要るのだろうと思いますが、多分、電子カルテシステムや電子情報システムに固有の問題ではないと思います。

○石川構成員　では、それはまた。

○大山座長　この資料については、ガイドラインの案ですが、十分読み込むのに時間が必要ということはもちろんよく理解できますので、その意味では、方法としては２つあります。きょう、この時点でこの案をパブコメにかける方向へ進むという判断をするか、もう一つは、一定期間、例えば１週間なら１週間の間お待ちして、皆さんから意見を上げていただき、それをもう一回反映した上で、会を開くのではなく、もちろん内容によりますが、重大な変更がない場合には皆さん方にそれに対する回答を返させていただいた上でパブコメに進む、こういうやり方かなと思うのですが、事務局的にはそこはどうですか。

　今のようなお話であれば、山本先生のお話もごもっともだし、石川先生のお話もごもっともなのですが、多分、書き込み方あるいは説明の仕方の丁寧さが不十分ということに起因しているのだと思います。したがって、そういう面がほかにも当然あり得るわけなので、その指摘に対して、このガイドラインはあくまでも、山本先生がおっしゃったように、現場の運用はもちろんありますが、紙ではない電子システムを使った場合のガイドラインになっていますから、そこのところを明確にするような話を改めて必要であれば書き込むということもあるでしょうし、その辺はもう一回判断するというのも方法かなと思うのですけれども、事務局はどうですか。

○佐々木参事官　今、大山座長からいただいたように、委員の方々のコンセンサスも必ずしもきょうこの場でということがどうもできないので、そういたしますと後者のほうで少しお時間をとらせていただいて、委員の方々から御意見、御質問を伺った上で、それを了した上でパブコメをやるような方向で考えたいと思います。

○大山座長　いかがでしょうか。今のような考え方に関する御意見、御質問があればと思います。

　幸いにして、今、山本班長のほうから年内に意見をもらえれば何とかなるかなと言っていただいたので、年内お休みにならないおつもりかなとも一瞬思いましたけれども、年明けにやるのか、わからないですが、いかがでしょうか。

　班長の山本先生は年内と言っていますけれども、事務局的には、受託業者はたまらないとか。

○受託事業者　もちろん班長に従って我々は作業をさせていただきますが、リモートの可能性は高いと思います。

○大山座長　ビジネスは普通に28日まで。

○受託事業者　そうですね。

○大山座長　29、30、31日に来たときにどうするかという話ですね。

○受託事業者　それはリモートで。

○大山座長　ありがとうございます。これは強要していいのかな。今はいけなかったですか。

○佐々木参事官　お時間が必要な場合は、場合によっては調整に年明けに少しかかった上で、パブコメを１カ月程度させていただいて、そういたしますと、冒頭ございましたけれども、改正個人情報保護法のガイドラインの関係も、そのタイミングの状況も変わってくるでしょうから、そういうことも反映させた上でまた改めてお諮りすることとさせていただければと思います。

○大山座長　もう21日なので、１週間といっても28日だから余り変わらない。

○佐々木参事官　さすがに厳しい。

○大山座長　そういう意味では、４日から始まるのであれば、年内にいただいて、４日の朝、仕事始めは、皆さんのメールを全部あわせて、どうかと意見をいただく。それに対する対応は、４日からでしたら私も対応できますので、ということでやりたいと思いますが、いかがでしょうか。

　では、皆さんの御了解をいただきたいと思いますが、今、申し上げたように、年内に御意見を事務局に出していただき、それを集めさせていただいた上で、山本班長、事務局と一緒に必要な修正をさせていただく、あるいは回答をつくらせていただく、それによって皆さんの了解を得た上で、その次のパブコメに進むという手順を踏みたいと思いますが、いかがでしょうか。御了承いただけますでしょうか。

(「はい」という声あり)

○大山座長　ありがとうございます。そのようにさせていただきます。

　それでは、今後のスケジュールについて、ここはもう言ってしまったからいいですね。

　最後に、その他でありますが、もし事務局から何かあればお願いします。どうぞ。

○石川構成員　極めて大事なことで、もう一点だけ、山本先生に御質問したいのですけれども、資料１の25ページ目の電子署名の採用のところで、先ほど御説明の中に「活用するのが望ましい」という記述を「推奨される」に変更というのがありました。これは、本文ですと95ページ目に詳しく載っています。私たちも電子処方箋を進めてきたとか、そういったこともありまして、現状の紙の処方箋のところでは絶対に印鑑は必要だということは療担規則できちんと書かれていて、そこは運用しているわけです。しかし、今度は推奨されるということになると。

○山本構成員　誤解があったかもしれませんので、説明申し上げますけれども、電子署名は必要です。要するに、省令で定められた規則によって電子署名が必要になるのですけれども、HPKIを使うのか、電子署名法に準拠した電子署名を使うのかということの選択肢が残ってしまうのです。法的に有効な電子署名ということになりますと、その２つの選択肢があると思いますが、その中で、ヘルスケアPKIを強く推奨すると書いているということでございます。

○石川構成員　そうすると、現実社会の中でHPKI以外に電子的に何かやるということは可能ですか。

○山本構成員　電子署名法がありますので、各民間の、いわゆるCAから政府に申請する場合の電子署名など、そういったものに使える電子署名の公開鍵証明書、秘密鍵というのは、もちろん有償で、販売されていますので、それを使うと法的には印鑑にかわる署名としての有効性はございます。それを否定することはできないわけです。ここのところは、電子署名法に適合した電子署名を使うという記載が元々あったのですけれども、ヘルスケアPKIを使うべきだというところを少しずつ強めていっているということです。署名をしなくていいということでは全くございません。

○石川構成員　言っている意味はわかったのですけれども、要するに、少し緩和されたような感じのニュアンスになっているので、いいのかなとは思いますが、わかりました。内容的にはそういうことですね。

○山本構成員　推奨です。より強く推しているということです。

○石川構成員　わかりました。

○大山座長　HPKIで署名したものは、今、e-Taxで受け付けますか。

○山本構成員　e-Taxは今のところ受け付けていません。

○大山座長　法的な効果と受け付けるかどうかの話は別になっているので、医療の中は、もちろんヘルスケアPKIでやってくださいという基本の考え方は変わらないと思います。その辺は、初めて読む方に勘違いされないようにどうするかというのもまた御意見をいただければ対応させていただきたいと思います。そういうことでよろしいですか。

　では、その他何かありますか。

○三上補佐　その他について特に事務局から用意しておりません。

○大山座長　構成員の皆様方から何か御意見ございますか。よろしいですか。

　それでは、先ほど御了解いただいたとおり、年内にメールで御意見等をいただきまして、それに対する対応を年明け、仕事始めにさせていただきたいと思いますので、よろしくお願いいたします。

　本日予定しておりました検討事項についてはこれで終了ということになります。

　事務局から最後に次回の話を含めてお伝えすることがございますか。よろしいですか。

　それでは、これで第30回「医療情報ネットワーク基盤検討会」を終了とさせていただきます。

　本日は、お忙しい中、熱心な御議論をいただきまして、ありがとうございました。御意見等を年内にということでよろしくお願いいたします。閉会いたします。