ICT導入 -地域包括ケアシステムでのICT導入で押さえて頂きたいプロセスについて-
地域包括ケアシステムにおけるICT利活用の現状と課題(第4回)
2015年7月

執筆者:公認情報セキュリティ監査人
    プライバシーマーク主任審査員
    審査員研修主任講師
    小川 敏治(おがわ としはる)氏

はじめに

今回は、最終回として、ICT導入で押さえて頂きたいプロセスを、個人情報の適切な取扱いに関するマネジメントシステムのフレームワークで、お話しします。

個人情報の適切な取扱いに関するマネジメント

前回、お話した厚労省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」では、単に情報システムの安全管理措置だけではなく、個人情報の取扱いのプロセス(取得・提供・委託・利用・保管・返却・廃棄)単位の手続きも示されています。

それに基づいた以下のような事項をPDCAサイクルにてマネジメントすることが重要なポイントです。

  1. 運用規程類の整備
  2. 連携する医療機関・介護事業者への教育
  3. 利用状況のモニタリング及び適正化
  4. 在宅療養者本人及びその家族への対応及び手続き
  5. 委託先であるクラウドサービス提供事業者の管理監督
  6. 内部監査
  7. マネジメントレビュー

現場の医療・介護職の方々に負担をかけず、マネジメント業務を行う事務局(仮称)及び管理し意思決定を行う委員会(仮称)を設けることなど、組織体制や役割分担が必要であると考えます。

それでは、地域の実情にあったクラウドサービスを選定導入し運用維持するためにはどのようなプロセスで進めればいいのでしょうか?

ICT導入・運用のためのマネジメントシステム

クラウドサービスを導入・運用する標準化されたプロセスとして、ISO/IEC27001「情報セキュリティマネジメントシステム」を参照した経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」や厚生労働省「医療情報システムの安全管理に関するガイドライン」などがあり、また、個人情報を適切に取り扱う標準化されたプロセスとして、JIS Q 15001個人情報保護マネジメントシステムがあります。

各ITベンダーのクラウドサービスを評価選定するだけではうまく使いこなせず、関係する医療機関及び介護事業者などの多数の異なる事業者を当該マネジメントシステムで統括管理することが重要であり、在宅療養者の機微な個人データを預かる運用主体としての責務でもあると考えます。

最後に、当該マネジメントシステムの導入プロセスの概要をお話しすることにより、本コラムのまとめとさせて頂きます。

0.連携する医療機関及び介護事業者全体での合意形成

委員会、事務局などの体制及び役割を医療機関や介護事業者などの関係する事業者全体での合意形成を図ります。(例えば、事務局は介護保険者である地方自治体に置き、各医療機関及び介護事業者と調整、協議しながら進め、各医療機関及び介護事業者の代表者や地元3師会(医師会、歯科医師会、薬剤師会)、関連団体などの責任者で構成される委員会で意思決定する体制、仕組み作りが考えられる。)また、クラウドサービスの利活用は関係者間の信頼関係構築の上に成り立つ為、顔の見える交流が不可欠です。

1.導入計画

事務局が各医療機関及び介護事業者の通常業務の繁忙期や其々の事業者の成熟度を考慮した導入計画案を策定し委員会で意思決定します。

2.個人情報の特定及びリスク分析

事務局がクラウドサービス導入における在宅療養者の個人情報を扱う業務の流れ(プロセス:取得、利用、提供、委託、保管、返却、廃棄)に沿って、リスクを洗い出し、そのリスクに対して合理的な対策を立案すると共に、残存リスクを明確にします。(因みに、番号法(マイナンバー法)においても個人番号を取扱う地方公共団体において、特定個人情報保護評価(番号法PIA)の実施が求められますが、その中の「特定個人情報の特定とリスク分析」と同等のプロセスです。)

また、各ITベンダーのクラウドサービスの評価選定に関しては、経済産業省「クラウドサービス利用のための情報セキュリティマネジメントガイドライン」、厚生労働省「医療情報システムの安全管理に関するガイドライン」などに準拠し、クラウドサービス利用者(運用主体)が行うべきこととクラウドサービス提供事業者(ITベンダー)に求めるべきことに分けてリスク分析を行い、それに基づいてクラウドサービスを評価選定します。

また、クラウドサービスの内容と対価、保証と補償の範囲などを確認しサービスレベル合意書(SLA:Service Level Agreement)を締結することが望まれます。尚、諸般の事情でクラウドサービス提供事業者に求めるべきことが十分に達成できない場合は委員会に諮り、その意思決定に基づいて残存リスクとして運用管理し定期的な見直しを行うことが必要です。

3.内部規程の整備及び教育

厚労省「医療・介護関係事業者における個人情報の適切な取扱いのためのガイドライン」に準拠した各種規程、例えば、「個人情報取扱規程」、「クラウドサービス利用者向けマニュアル(安全管理措置も含む)」、「クラウドサービス管理者向けマニュアル(安全管理措置の定期的な運用チェック手順や委託先(クラウドサービス提供事業者)の監督手順も含む)」、「内部監査規程」、「マネジメントレビュー規程」などを整備し関係する医療機関や介護事業者及び関係先に対して教育研修を実施します。

尚、「クラウドサービス利用者向けマニュアル」、「クラウドサービス管理者向けマニュアル」には、前段で実施したリスク分析結果である合理的な対策を明文化し盛り込み、また、「個人情報取扱規程」には、在宅療養者情報の共同利用に関する同意手順や開示対応手順、苦情相談手順なども具体的に明文化する必要があります。

4.運用及び監査・是正

前項で整備された内部規程に基づいて、運用を開始します。一定期間運用後、「内部監査規程」に基づいて、連携するすべての医療機関や介護事業者及び事務局を対象に内部監査を実施し、その結果を監査責任者が委員会に報告します。

委員会の意思決定(是正事項)に基づいて、是正対象となった部署や事業者は是正案を立案し是正を行い、その結果を委員会に報告し承認を受けます。

5.マネジメントレビュー

当該マネジメントシステムを外的環境変化(ICT技術動向、関係法令やガイドラインの改正など)も考慮して定期的(1回/年)に見直し、組織全体の成熟度向上を目指します。

以上、詳細な手順や使用様式、チェックシートなどを示すことが出来ませんでしたが、概略の流れをご理解頂けたでしょうか?

4回にわたり「地域包括ケアシステムにおけるICT利活用の現状と課題」について、お話しさせて頂きました。少しでも皆様のご参考になれば幸いです。

上へ戻る