医療現場の情報保護対策を強固にする「医療情報システム監査人認定制度」：医療ITにおけるセキュリティ確保への取り組み（前）

医療分野のIT化が進み、医療情報システムを安全に管理・運営できる人材が求められている。2011年、そうした人材の育成を支援する認定および試験制度が創設された。

[小野寺 正，三井物産セキュアディレクション]

　今後、IT活用が広まると予想される医療分野。医療現場では、医療情報システムの運用を定期的に確認し、改善活動へとつなげる監査能力を持つ人材が求められている。医療情報システム開発センター（以下、MEDIS）は2011年、そうした人材の育成支援を目的として「医療情報システム監査人認定制度」を創設し、その認定条件となる「医療情報システム監査人試験」の第1回試験を6月に実施した。今回から2回にわたり、担当者へのインタビューを交えて認定制度の設立背景や試験概要、認定メリットなどを紹介する（後編記事「今後の医療ITで求められるセキュリティレベルとは？」）【編集部】。

医療ITの環境変化

　医療現場を取り巻くIT環境は急激な変化を続けている。主に病床数400以上の大規模病院を中心に2000年前後からオーダリングが電子化され、その後は医事会計、電子カルテ、病院内の各部門システムとの連携が進み、今では医療機関の多くのシステムが電子化されてきた。以下の表は、電子カルテとオーダリングの導入医療機関の推移を比率で示したものである。

電子カルテ、オーダリングシステムの導入施設数の割合（件数ベース）：内閣官房IT担当室「新たなIT戦略における医療分野の取り組みについて」資料より

	病床数	2002年度	2005年度	2008年度
電子カルテ	20〜199	8.6％	4.6％	8.5％
	200〜399	12.5％	9.4％	18.3％
	400以上	30.0％	19.0％	35.3％
オーダリング	20〜199	7.6％	12.5％	19.1％
	200〜399	21.5％	34.3％	44.9％
	400以上	50.3％	65.0％	75.1％

　また、内閣官房IT担当室は、以下の目的で地域医療連携を推進している。

1. 全国どこでも過去の診療情報に基づいた医療を受けられるとともに、個人が健康管理に取り組める環境を実現するため
2. 国民が自らの医療・健康情報を電子的に管理・活用するための全国レベルの情報提供サービスを創出するため

　その結果、医療機関間における患者情報の連携が進み、官公庁や業界団体、医療機関などが協力した地域医療連携を推進してきた。2011年8月現在では23の都道府県で地域医療連携が実施されている（関連記事：地域医療の問題解決を支援する情報ネットワーク）。

地域医療連携の普及状況：内閣官房IT担当室「新たなIT戦略における医療分野の取り組みについて」より《クリックで拡大》

　さらに内閣官房IT戦略本部は2011年5月、「医療情報化に関するタスクフォース」の報告書を公表し、以下の4点について現在の推進状況と課題を整理した。

1. 「どこでもMY病院」（事故医療・健康情報活用サービス）構想の実現
2. シームレスな地域医療連携の実現
3. レセプト情報などの活用による医療の効率化
4. 医療情報データベースの活用による医薬品などの安全対策の推進

　今後も日本版EHRの実現、レセプトのオンライン請求への移行促進など、医療分野におけるIT化の流れは続きそうだ。

関連コンテンツ

• キーパーソンに聞く「日本版EHR」実現までのロードマップ
• 継続的な地域医療連携を進める上での課題
• 東京都医師会の理事に聞く「レセプトオンライン請求義務化の現状と課題」

　ITベンダーが提供する医療情報システムも変わってきた。2000年代前半の医療情報システムはクライアント／サーバ型の構成を取り、主に大学病院が提示する要望に合わせてカスタマイズする開発手法が一般化していた。2000年代後半から、Web画面をインタフェースとするシステムも普及し、ITベンダーが提供するパッケージ製品に汎用的な機能が含まれるようになった。また、2011年現在ではクラウド型の電子カルテも登場している関連記事：診療所向け電子カルテ製品紹介）。

医療現場に求められる患者情報保護ルール

　2005年には「個人情報の保護に関する法律」（以下、個人情報保護法）が施行され、病院内で保管する患者情報の保護にかかわる手続きや安全管理策が義務化された。

　厚生労働省は個人情報保護法の施行に先立ち、2004年12月に「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」（以下、厚労省ガイドライン）を公表し、医療・介護事業者を対象とした「患者情報の保護」に関するルールを策定した。

　また、経済産業省はレセプト業務などをアウトソースする場合に適用される「医療情報を受託管理する情報処理事業者向けガイドライン」（2008年）を、総務省は「ASP・SaaSにおける情報セキュリティ対策ガイドライン」（2008年）と「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」（2009年）を公表し、患者情報保護に関するルールを整備してきた（関連記事：安全に医療情報を保存するためのセキュアなクラウド基盤の現状と展望）。

医療情報システム監査人認定制度の背景

　厚労省ガイドラインなどでは「安全性の維持や向上のために、運用状況を定期的に確認し、問題があれば随時改善する」ことを求めている。これに対して、各医療機関は内部監査、外部機関に委託した外部監査、またはプライバシーマークの取得および更新を行うことで、その要求事項の達成に努めている。

MEDISの相澤氏

　本稿執筆に際し、MEDISの医療情報安全管理推進部部長であり、「医療情報安全管理監査人協会」（以下、iMISCA）の専務理事である相澤直行氏にインタビューを実施した。

　相澤氏は「医療福祉分野では、厚労省ガイドラインなどにのっとった運用が実施されているかどうかを必ずしも確認していない」とし、その原因について以下の3点を指摘している。

1. 厚労省ガイドラインなどの重要性が理解されていない
2. ガイドラインにのっとった運用を実施しようとしても具体的な対応方法が分からない
3. ガイドラインを普及・啓発するための制度や組織が整備されてこなかった

　医療情報システムの運用状況を定期的に確認し、問題があれば随時改善していくという監査の取り組みを普及させることが、結果的にガイドラインにのっとった運用を普及させることにつながる。こうした背景から医療情報システム監査人認定制度の策定が進められてきた。

医療情報システム監査人試験

　これまでMEDISでは、2006年から保健医療福祉分野における「プライバシーマーク制度」、2009年から「医療情報システム安全管理評価制度」（以下、PREMISs）などを運用してきた。2011年8月現在、保健医療福祉分野におけるプライバシーマーク取得事業者は350を超えており、この分野での個人情報保護に対する意識は高いようだ。

　相澤氏は「監査の取り組みを普及させること以外にも、試験制度によるMEDISの知名度向上も狙っている」という。また、医療情報システム監査人認定制度については、MEDISが「医療情報システム監査人試験」を実施し、iMISCAがその受験対策を踏まえた研修会の開催や監査人の認定および継続教育などを担当する。「試験と教育の実施主体を分けることで、資格制度の客観性を担保している」（相澤氏）

　医療情報システム監査人試験の主要な試験範囲は以下の通り。受験者が「医療情報技師資格」（日本医療情報学会）を保有している場合は第1科目が免除される。また、「システム監査技術者試験」（情報処理推進機構）の合格者、「公認システム監査人」（日本システム監査人協会）、「公認情報システム監査人」（ISACA）、「公認情報セキュリティ監査人」（日本セキュリティ監査人協会）などの資格を保有している場合は、第2科目が免除される。

医療情報システム監査人試験の主要な試験範囲（MEDIS）

試験科目	第1科目　医療情報システム （40問）	第2科目　監査（40問）	第3科目　法令・ガイドライン（40問）
内容	（1）医療情報の特性と医療情報システム （2）病院情報システムの構成と機能 （3）病院情報システムの導入と運用 （4）医療・福祉・保健を支えるさまざまな医療情報システム （5）広域の医療情報システム （6）医療情報の標準化 （7）医療支援のためのデータ分析・評価 （8）情報セキュリティとは （9）暗号化技術と認証技術 （10）情報セキュリティを確保する技術 （11）ネットワークの脅威に対する情報セキュリティ技術	（1）監査の目的、権限と責任 （2）独立性、客観性と職業倫理 （3）専門能力 （4）業務上の義務 （5）監査計画の立案 （6）監査の手順 （7）監査の実施 （8）監査業務の体制 （9）情報セキュリティ監査 （10）監査報告書の提出とレビュー （11）監査報告の根拠 （12）監査報告についての責任 （13）監査報告に基づく助言など	（1）個人情報の保護に関する法律 （2）個人情報の保護に関する法律施行令 （3）医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン （4）医療情報システムの安全管理に関するガイドライン （5）医療情報を受託管理する情報処理事業者向けガイドライン （6）ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン （7）個人情報保護マネジメントシステム―要求事項（JIS Q 15001）

　医療情報システム監査人試験は2011年6月19日に第一回の試験が実施され、同年7月11日に合格発表があった。308人が受験して142人が合格、合格率は46.1％となった。

　iMISCAのWebサイトには「今後の医療ITの普及と参入企業の増大を考慮すると、将来的には5000人以上の資格者が求められる」と記載されている。相澤氏は「今後、病診連携が進むと病院内に閉ざされていた患者情報が診療所などと共有できるようになる。診療所での管理がずさんであった場合には、そこがセキュリティホールになるだろう。この点について問題意識を持っている病院もあり、今後診療所向けの監査が増える可能性がある」と説明する。さらに監査人へのニーズが高まることを想定し、東日本と西日本で2カ所での試験実施を検討しているという。今後は受験者数および合格者数の増加が見込まれる。

　医療情報システム監査人試験に合格すると、iMISCAに公認医療情報システム監査人としての認定を申請することになる。iMISCAでは以下の要件によって、「公認医療情報システム監査人補」（MISCA補）と「公認医療情報システム監査人」（MISCA）を認定している。

• 「MISCA補」：試験への合格、倫理基準の順守、監査技術の研さん
• 「MISCA」：MISCA補の要件に加え、保健医療福祉分野での実務経験や監査実績

　MISCAの認定はハードルが高いが、相澤氏は「同時申請も可能なので、第一回の合格者からMISCA認定者が数人は出るようにしたい。また、保険医療福祉分野の実務経験は難しいかもしれないので、医療情報技師資格の維持などで代替することを検討していきたい」と説明する。

　次回は、医療情報システム監査人の認定を受けるメリットや今後の医療ITに望まれるセキュリティ対策などを紹介する。

著者紹介

小野寺 正（おのでら ただし）　三井物産セキュアディレクション 調査研究部 ディレクター

アプリケーション開発、データベースなどの基盤系SEを経て、IT・情報セキュリティ、リスクマネジメントに関するコンサルティング、官公庁の受託調査案件に従事し、情報セキュリティ分野における8年の経験を持つ。前職では海外事業向けの情報セキュリティ推進、IT投資や情報セキュリティ強化にかかわるコンサルティングに従事するなど、制度面および技術面の双方で豊富な経験を持つ。

関連ホワイトペーパー

電子カルテ | 運用管理 | セキュリティ対策