ヘルスケア分野における監査証跡のメッセージ標準規約

概要

監査証跡とは、監査対象システムの入力から出力に至る過程を追跡できる一連の仕組みと記録のことをさします。監査証跡は、医療機関が個人情報の取扱いに関する「説明責任」を果たすために非常に重要であり、監査証跡を残す機能の実装は医療情報システムにとって必須とされています。
ただし、現状では、システム開発ベンダ各社が独自の実装を行っているため、内容や形式が統一されておらず、医療機関にとって監査証跡の統合的な運用管理を行うことが困難です。このことが医療機関の運用に余計な負担をかけると考えられ、監査証跡の普及の阻害要因のひとつとなっています。
そこでセキュリティ委員会において作業グループを設置し、日本の現状および国際的な監査証跡の標準化の動向を踏まえ、「RFC 3881：Security Audit & Access Accountability XML Data Definitions for Healthcare Applications」をベースとした標準的な監査証跡のメッセージ規約を策定しました。
本規約において監査証跡は以下の目的で利用されることを想定しています。
（１） 個人情報へのアクセス履歴の確認
（２） 医療機関が説明責任を果たすために利用
（３） 副次的効果としての目的外アクセスの抑止
また、監査証跡を収集すべき最低限のイベントを以下の２点とし、それぞれの監査メッセージ内容を規程しています。
（１） 個人情報へのアクセスイベント
（２） 個人情報への検索イベント
監査証跡の普及のために、医療情報システムベンダの皆様に対し本規約に則った実装を行って頂くことをお願い致します。

目　次