厚生労働省は、医療機関向けの「医療情報システムの安全管理に関するガイドライン」を第7.0版に改める案をまとめた。5月29日に開かれた専門の作業部会で示された。専門人材の不足を踏まえた「保守委託機関編」を新たに設け、二要素認証の適用対象も明確にする。現行の第6.0版以来、3年ぶりの大幅改定となる見通し。
改定案は、3月から4月にかけて第6.1版案として意見公募にかけられた後、5月の作業部会で第7.0版の案として示された。6月の正式公表を目指す。
柱の一つが「保守委託機関編」の新設だ。すべてのサーバのセキュリティ更新を外部の事業者に委ねている施設を対象とし、クラウドサービスの利用も含む。
専任のシステム担当者を置きにくい小規模な医療機関を想定し、確認すべき事項を実務レベルに落とし込んだ。対象となる施設は、概説編と保守委託機関編に対応すればガイドラインを満たすとみなす。
二要素認証は、適用の対象を明確にした。利用者が使うクライアント端末のアプリケーションへのログインと、サーバのOSへのログインで、いずれも対応を求める。
ガイドラインは、令和9年度(2027年度)時点で稼働するシステムを今後新たに導入したり更新したりする際、原則として二要素認証を採用するよう求めている。
クラウド型電子カルテの活用を後押しする立場から、外部サービスとの連携や認証、ログ管理に関する記述も整理した。
対象は病院にとどまらない。診療所や薬局、訪問看護ステーション、介護事業者なども含まれる。訪問・通所リハビリの事業所も該当し得るため、療法士が管理者を務める施設では、令和9年度に向けた認証や保守体制の確認が課題となり得る。
同ガイドラインは2005年の初版以降、技術や制度の進展に合わせて改定を重ねてきた。直近では2023年5月に第6.0版へ全面改定し、外部サービスの利用やクラウドへの対応に関する整理を盛り込んでいる。
参考資料:第32回 健康・医療・介護情報利活用検討会 医療等情報利活用ワーキンググループ資料(厚生労働省、2026年5月29日)/医療情報システムの安全管理に関するガイドライン 第6.0版(同省、2023年5月)
