電子認証、電子署名関連情報提供
医療情報システムの安全管理に関するガイドライン第5.2版
「医療情報システムの安全管理に関するガイドライン第5.2版」
電⼦署名を中⼼に改訂概要を解説
背景
2022年3月31日に厚⽣労働省より『医療情報システムの安全管理に関するガイドライン(以下、安全管理ガイドラインと称す)第5.2版』が公表されましたので、今回はその改訂概要について、簡単にご紹介いたします。
海外では数年前から医療機関に対するサイバー攻撃による被害の報告がされていましたが、昨年秋には国内でもランサムウェアによるサイバー攻撃で診療システムが停⽌し、⻑期間に渡り診療業務が停⽌するという事態が発⽣しました。改めて、医療機関における情報セキュリティ対策の必要性が認識され、厚⽣労働省などから必要な対策の実施が喚起されています。
また、昨年6月に閣議決定された「規制改⾰実施計画」では、医療分野におけるDX化の促進に関連して、医療分野における電⼦認証⼿段として従来から利⽤が推奨されているHPKIに加えて、これ以外の電⼦署名の利⽤に資するよう、当該資格の確認⽅法や確認する際の考え⽅について明らかにすることなっていました。
これらの喫緊の課題に対応できるよう安全管理ガイドライン第5.1版の公表から1年ですが第5.2版への改定となりました。
今回は電⼦署名を中⼼に改訂概要を解説します。
電⼦署名に関する改訂について
安全管理ガイドライン第5.2版では電⼦署名に関して、下記の通り内容が明記されました。
記名・押印に代わる電⼦署名とは
以下の「A 項の要件(制度上の要求事項)」を満たすものについては、ローカル署名(本⼈が管理する鍵で署名するもの)、リモート署名(クラウド上のサーバに利⽤者⾃⾝の署名鍵を格納し、利⽤者が当該サーバにリモートでログインした上で⾏う電⼦署名)、クラウド技術を活⽤した⽴会⼈型電⼦署名(利⽤者の指⽰に基づき電⼦署名サービス提供事業者⾃⾝の署名鍵による暗号化等を⾏う電⼦署名)でも、電⼦署名法における電⼦署名に該当する。
A.制度上の要求事項
「電⼦署名」とは、電磁的記録(電⼦的⽅式、磁気的⽅式その他⼈の知覚によっては認識することができない⽅式で作られる記録であって、電⼦計算機による情報処理の⽤に供されるものをいう。以下同じ。)に記録することができる情報について⾏われる措置であって、次の要件のいずれにも該当するものをいう。
⼀ 当該情報が当該措置を⾏った者の作成に係るものであることを⽰すためのものであること。
⼆ 当該情報について改変が⾏われていないかどうかを確認することができるものであること。
(電⼦署名及び認証業務に関する法律(平成 12 年法律第 102 号)第 2 条第 1 項)
ポイント
5.1版では「保健医療福祉分野 PKI 認証局の発⾏する電⼦署名を活⽤することが推奨される。」と明記されていましたが、5.2版では「法的に保存義務のある⽂書等を電⼦的に保存するために必要な事項を満たす電⼦署名を施すこと」となり、「保健医療福祉分野 PKI 認証局の発⾏する電⼦署名」は選択肢のひとつと位置付けられ「推奨」という表現はなくなりました。
3つの電⼦署名の違い
ローカル署名、リモート署名、⽴会⼈型電⼦署名では、電⼦署名に使⽤する鍵(電⼦証明書)の保管場所や鍵の所有者が異なります。また、リモート署名、⽴会⼈型電⼦署名では、電⼦署名する⽂書を外部の署名システムと安全に授受する仕組みや鍵を安全に管理する仕組みも必要となります。

法令で医師等の国家資格を有する者による作成が求められる⽂書に必要な事項
- 医師等の国家資格の確認が電⼦的に検証できる電⼦署名等を⽤いること。
- 法定保存期間等の必要な期間、電⼦署名の検証を継続して⾏うことができるよう、必要に応じて電⼦署名を含む⽂書全体にタイムスタンプを付与すること。
ポイント
上記の要求事項は下記のように整理できます。
(1)改ざんがなく、作成責任の所在が明確であること(本⼈確認、否認防⽌、改ざん検知)
(2)有資格者としての当該⾏為の確認できること(有資格確認)
(3)法定保存期間等の⼀定期間、電⼦署名が検証ができること(タイムスタンプ、⻑期署名)
- 保健医療福祉分野PKI認証局の発⾏する電⼦証明書(HPKI)は、電⼦証明書内に医師等の保健医療福祉に係る資格を格納しているので、電⼦的な本⼈確認に加え、同時に医師等の国家資格を電⼦的に確認することができます。
- それ以外の証明書を使⽤する場合でも電⼦署名を施された⽂書を受け取る者が医師等の国家資格を電⼦的に確認できることが求められています。
法的に保存義務のある⽂書等について
「法的に保存義務のある⽂書等」を電磁的記録の保存、作成及び交付等を⾏うことができる医療分野の⽂書として、平成28年3月31日発の厚労省施⾏通知「⺠間事業者等が⾏う書⾯の保存等における情報通信の技術の利⽤に関する法律等の施⾏等について」の⼀部改正について」にて、25の⽂書が⽰されています。以下のその⼀部をご紹介します。
文書等 | 根拠条文 | 備考 |
---|---|---|
診療録 | 医師法第24条 | |
診療録 | 歯科医師法第23条 | |
助産録 | 保健師助産師看護師法第42条 | |
救急救命処置録 | 救急救命士法第46条 | |
処方せん | 医師法第22条 | 医師の記名押印又は署名が必要 |
調剤済み処方せん | 薬剤師法第27条 | 薬剤師の記名押印又は署名が必要 |
調剤録 | 薬剤師法第28条 |
出典:厚労省施行通知「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」の一部改正について」
(平成28年3月31日)より
その他改定全般について
- 安全管理ガイドラインについて利⽤⽤途に応じて閲覧しやすいように本編と別冊とに分冊化されました。本編では医療機関等において実施すべき内容を⽰し、別冊でその考え⽅の背景や具体的な対応例などが⽰されています。
また、今回の改定に合わせてQ&Aの内容も⼀部追加、修正が⾏われています。 - 制度的な動向、技術的な動向、「規制改⾰実施計画(令和3年6月18日閣議決定)」等への対応として下記事項を中⼼に改定が⾏われています。
(1)外部アプリケーションとの連携における利用者の認証・認可に関する記述を示す
(2)ランサムウェアによる攻撃への対応としてのバックアップのあり方等の対策を示す
(3)電子署名に関する 6.12 章の記載を整理する
医療情報システムの安全管理に関するガイドライン第5.2版の詳細については、下記サイトを参照下さい。
データヘルス改革に関する工程表によると2023年1月に電子処方箋が開始され、リアルタイムに処方・調剤情報が医療機関等で閲覧できるようになる計画です。処方箋、調剤記録は法的に保存義務のある文書ですので、電子署名も必須の要件になります。現在、電子証明書の配布とともに電子カルテシステムや調剤薬局システムなど電子処方箋に関連するシステムの開発が進めらています。
今後も医療・介護分野での医療情報利活用の推進に関連する情報をご提供していく予定です。