JAHIS保存が義務付けられた診療録等の電子保存ガイドラインVer.3.3 | 一般社団法人保健医療福祉情報システム工業会

JAHIS標準17-008

JAHIS保存が義務付けられた診療録等の電子保存ガイドラインVer.3.3
注意：この標準類は旧版です。最新版はこちらをご覧ください。

ＪＡＨＩＳ
保存が義務付けられた診療録等の電子保存ガイドラインVer.3.3
厚生労働省「医療情報システムの安全管理に関するガイドライン第5版」対応

ま　え　が　き

　「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」（平成11年4月22日付け健政発第517 号・医薬発第587 号・保発第82 号厚生省健康政策局長・医薬安全局長・保険局長連名通知に添付。）により、それまで紙でしか保存が許されなかった「法令に保存義務が規定されている診療録及び診療諸記録」の大半を電子的に保存できることとなった。その後「診療録等の外部保存に関するガイドライン」（平成14年5月31日付け医政発第0531005 号厚生労働省医政局長通知）により外部保存が可能になった。そして「民間事業者等が行う書面の保存等における情報通信の技術の利用に関する法律等の施行等について」（平成17 年3 月31 日付け医政発第0331009 号・薬食発第0331020号・保発第0331005 号厚生労働省医政局長・医薬食品局長・保険局長連名通知。以下「施行通知」という）ならびに2005年3月31日通知「『診療録等の保存を行う場所について』の一部改正について」を受けて、2005年3月に厚生労働省より「医療情報システムの安全管理に関するガイドライン」（以下「安全管理ガイドライン」とする）として個人情報保護、電子保存、外部保存、e文書法対応を統合したガイドラインが発行された。「安全管理ガイドライン」ではB項の「考え方」において最新の技術動向を配慮した詳しい説明が行われているが、個別のベンダーが具体的に自社のシステムに実装するにおいては、実際にどのようなシステム製品がその要件を満たすのか、どのような仕様で開発したらよいのかが分かりにくかった。JAHISとしては電子保存を促進するためには、各要件を実際のシステムの機能を反映した「機能要件」や、その機能を補完する内容を含む「運用要件」を整理した、より具体的で実装寄りのガイドラインが必要と考え、同ガイドラインに対して、「技術的にどの範囲まで担保することが望ましいか、また技術的に対応しにくい要件を運用でどのように担保することが期待されるか」を具体的に示すことにより、診療録等の電子保存およびネットワークを介した送受信を適切に行うための基準を示すことを目的として、2007年5月に本ガイドライン（初版）をまとめた。
　「安全管理ガイドライン」は技術の進歩や周辺環境の変化を受けて改定が実施され、2007年3月には第2版、2008年3月には第3版が発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、「安全管理ガイドライン」の改定を受けて検討を実施、同ガイドライン第3版までの内容を反映し、2009年10月に第2版として発行した。
　「安全管理ガイドライン」は2009年3月に第4版、2010年2月に第4.1版が発行された。また、総務省の「ASP･SaaS事業者が医療情報を取り扱う際の安全管理ガイドライン」（2009年7月）及び、経済産業省の｢医療情報を受託管理する情報処理事業者向けガイドライン」（2008年7月）も発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、上記の3つのガイドライン（更新版を含めると4つ。以降「3省ガイドライン」と呼ぶ。）の内容を反映し、2011年4月に第3版として発行した。
　上記の後、総務省の「ASP･SaaS事業者が医療情報を取り扱う際の安全管理ガイドライン」は2010年12月に第1.1版、及び、経済産業省の｢医療情報を受託管理する情報処理事業者向けガイドライン」は2012年10月に第2版が発行された。JAHISの本ガイドラインについても、継続検討を行うこととしていたため、上記に発行された2つのガイドラインの内容を反映し、第3.1版として発行することとなった。
　上記の後、「安全管理ガイドライン」は2013年10月に第4.2版が発行された。JAHISの本ガイドラインについても関係する内容が有るので内容を反映することとしたが、作業範囲の検討の中で、本ガイドラインをより理解しやすい書き方に整理するという提案にも対応することとし、合わせて第3.2版として発行することとした。
　上記の後、「安全管理ガイドライン」は2016年3月に第4.3版、2017年5月に第5版が発行された。第4.3版は本ガイドラインに関係する変更が無かったので本ガイドラインの改訂はしていない。第5版では本ガイドラインに関係する内容が有るので内容を反映し、Ver.3.3として発行することとなった。
　本ガイドラインは、JAHIS会員各社の意見を集約し、「JAHIS標準」の一つとして発行したものである。従って、会員各社がシステムの開発・更新に当たって、本ガイドラインに基づいた開発・改良を行い、本ガイドラインに準拠していることをその製品のカタログ・仕様書等に示し、さらにその製品のユーザに運用で担保すべきことを説明する場合などに使われることを期待している。
また、本ガイドラインを、診療録及び診療諸記録の電子保存機能を持つシステムを導入しようとしている施設が参照し利用することは歓迎するところであるが、当該システムが厚生労働省通知及び総務省通知及び経済産業省通知に合致しているか否かの判断は、自己責任の下で自ら判断する必要があること、及び、上記の関係通知は今後も改定が行われることが予想されるため、本ガイドラインにおいても必要に応じて改版を行う予定であるので、常に最新版を参照することにご留意いただきたい。
　なお、本ガイドラインで扱うセキュリティ要件は、社会状況にあわせて常に変化するものであり、利用いただく時点で必ずしも適当ではない内容である可能性もある。我々としても継続的に検討を重ねてゆく所存であるが、本ガイドラインの利用者はその点もご留意頂くとともに、お気づきの点をフィードバックして頂けるとありがたい。
　本ガイドラインが「法令に保存義務が規定されている診療録及び診療諸記録」を扱うシステムの、また関連する医療情報システムの開発に多少とも貢献できれば幸いである。

２０１７年１２月
一般社団法人保健医療福祉情報システム工業会
医療システム部会セキュリティ委員会
電子保存WG

目　次

1.    はじめに... 1
2.    概要... 2
3.    主な用語... 4
4.    適用範囲... 6
　4.1.        医療情報システムの安全管理に関するガイドラインとの関係... 6
　4.2.        本ガイドラインの対象システム及び対象情報... 7
　4.3.        総務省のガイドライン及び、経済産業省のガイドラインとの関係... 7
　4.4.        他のJAHIS標準・技術文書との関係... 7
　4.5.        引用規格・引用文献... 8
5.    ベンダーの責任のあり方... 9
　5.1.        医療機関等の責任とベンダーの提供する医療情報システムの関係... 9
　5.2.        ベンダーの責任... 9
6.    情報システムの基本的な安全管理... 10
　6.1.        医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践... 10
　　6.1.1.     ISMS構築の手順... 11
　　6.1.2.     取扱い情報の把握... 12
　　6.1.3.     リスク分析... 13
　6.2.        技術的安全対策... 14
　6.3.        情報の破棄... 26
　6.4.        情報システムの改造と保守... 28
　6.5.        情報および情報機器の持ち出しについて... 33
　6.6.        災害、サイバー攻撃等の非常時の対応... 35
　6.7.        外部と個人情報を含む医療情報を交換する場合の安全管理... 39
　6.8.        法令で定められた記名・押印を電子署名で行うことについて... 49
7.    電子保存の要求事項について... 56
　7.1.        真正性の確保について... 57
　　7.1.1.     入力者及び確定者の識別及び認証... 58
　　7.1.2.     記録の確定手順の確立と、識別情報の記録... 61
　　7.1.3.     更新履歴の保存... 64
　　7.1.4.     代行入力の承認機能... 65
　　7.1.5.     機器・ソフトウェアの品質管理... 68
　7.2.        見読性の確保について... 70
　　7.2.1.     情報の所在管理... 71
　　7.2.2.     見読化手段の管理... 71
　　7.2.3.     見読目的に応じた応答時間... 72
　　7.2.4.     システム障害対策としての冗長性の確保... 72
　7.3.        保存性の確保について... 74
　　7.3.1.     不適切な保管・取扱いによる情報の滅失、破壊の防止... 75
　　7.3.2.     媒体・機器・ソフトウェアの不整合による情報の復元不能の防止... 77
8.    診療録及び診療諸記録を外部に保存する際の基準... 79
　8.1.        厚生労働省の医療情報システムの安全管理に関するガイドラインに関する事項... 80
　　8.1.1.     ネットワークを通じて医療機関等の外部に保存する場合の真正性の確保... 81
　　8.1.2.     ネットワークを通じて医療機関等の外部に保存する場合の見読性の確保... 82
　　8.1.3.     ネットワークを通じて医療機関等の外部に保存する場合の保存性の確保... 83
　8.2.        経済産業省の医療情報を受託管理する情報処理事業者向けガイドラインに関する事項... 85
　　8.2.1.     情報資産管理... 86
　　8.2.2.     技術的安全対策... 87
　8.3.        総務省のASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドラインに関する事項    103
　　8.3.1.     真正性の確保におけるASP・SaaS事業者への要求事項... 104
　　8.3.2.     外部保存におけるASP・SaaS事業者への要求事項... 104
　　8.3.3.     ASP・SaaSの提供終了におけるASP・SaaS事業者への要求事項... 105
9.    診療録等をスキャナ等により電子化して保存する場合について... 106
　9.1.        共通の要件... 107
　9.2.        診療等の都度スキャナ等で電子化して保存する場合... 110
　9.3.        過去に蓄積された紙媒体等をスキャナ等で電子化保存する場合... 111
　9.4.        調剤済み処方せんをスキャナ等で電子化し保存する場合について... 113　
付録―１．リスクアセスメントの実施例... 115
　１－１　リスクアセスメントの手法... 115　
　１－２　情報セキュリティ基本方針... 115
　１－３　リスクアセスメントの実施例... 115
付録―２．参考文献... 128
　２－１　ヘルスケアPKI関連文書... 128
　２－２　タイムスタンプ及び長期保存に関する標準やガイドライン... 128
付録―３．要求項目／技術的対策／運用的対策の記述方針まとめ表... 131
付録―４．作成者名簿... 132