医療機関等のサイバーセキュリティ義務化
医療法施行規則の改正により、4月から、病院、診療所または助産所の管理者に対し、サイバーセキュリティ対策が義務付けられています。規模を問わず、すべての診療所等が対象です。どのような対応が求められるのでしょうか?
何をすればよいの?
具体的には、次の義務や責任を果たせる体制を整えることが求められます。
① 医療情報の取扱いやシステムの安全管理に関する法令上の遵守事項や義務など
② 安全管理上の説明責任や管理責任など、通常時や非常時における責任
③ 医療情報や医療情報システムに関して委託や第三者提供を行う場合の責任
順に見ていきましょう。
① 法令上の遵守事項や義務
個人情報保護法の他、医師法等の医療関係法令を遵守する必要があります。
秘密漏洩については刑法等、診療契約等については民法上の責任も生じます。
さらに、文書等の電子保存や電子署名等について規定する法律にも留意しなければなりません。
② 通常時や非常時における責任
通常時は、説明責任や管理責任、定期的な見直し、改善を行う必要があります。
情報漏洩やシステム障害等の非常時には、説明責任や善後策を講じます。
③ 委託や第三者提供における責任
利用する医療情報システム・サービスの導入や保守などについて、委託先事業者との契約にて、委託する内容や非常時の役割分担、責任の所在を明確にし、適切な協働体制を構築することが求められます。
大きな組織においては、これらの責任を組織内で分担することとなりますが、診療所や歯科診療所、薬局などでは、情報管理の専任スタッフを置かず、院長や事務長等がその役割の大半を担っていることが少なくありません。この場合は、緊急時には誰が代行するのかなど、属人的な対策も必要となります。
2023年4月現在、ガイドライン※の策定が進められています。
※当執筆時点では、ガイドライン(案)が公開されています。厚生労働省 WG のホームページでご覧いただけます。
https://www.mhlw.go.jp/stf/newpage_32083.html
この記事を書いた人
代表 林 正人
会社員時代に出向にて子会社の社長を歴任するも、人事労務関係の苦労を実体験した経験から「社会保険労務士」に。独立後は介護業界をはじめとする福祉と医療分野での人事労務支援と人材育成を専門に活動中。セミナーや講演会は、全国の医療・福祉団体にて年間50 回を超える。「人を大切にする経営学会」会員。趣味は年に一回、家族で行く海外または国内温泉旅行を楽しむ。
