電子カルテの導入で守るべき電子保存の3原則とは?
電子カルテを導入するにあたっては、真正性・見読性・保存性という「電子保存の3原則」というものを守らなければなりません。
また、3原則の根拠となっている、厚生労働省の「医療情報システムの安全管理に関するガイドライン」では、3原則を守るために医療機関がすべきこともまとめられています。
病院や診療所では、電子カルテを導入するにあたり、3原則および厚生労働省のガイドラインの内容を把握しておく必要があるのです。
この記事では、電子保存の3原則および厚生労働省のガイドラインの内容について、簡単に、わかりやすく解説します。
電子保存の3原則とは
ここでは、「電子保存の3原則」の概要を説明します。
真正性
真正性とは、保存されている情報が正しく信頼できるものであることを指します。具体的には、「電子カルテに情報を入力した人が分かるようにする」「電子カルテの情報を更新する際に、更新の前後で保存された情報に違いが出ないようにする」といった対処が必要です。
ほかにも、電子カルテのアクセス権限を限定したり、外部からの不正プログラムの侵入を防ぐためのセキュリティ対策をしたりすることも有効です。要するに、電子カルテの情報が改ざんされることを防ぐための措置を講じることが求められます。
見読性
見読性とは、誰が電子カルテを見ても内容が分かるようにしておくことをさします。具体的には、「電子カルテに保存された内容について、必要な情報を必要なときに提供できるようにしておく」といった対処が必要です。
紙カルテの場合は手書きであるため、字の判別が難しかったり、紙やインクが劣化したりすることで読みにくくなるケースがあります。しかし、電子カルテであればそうした心配は不要です。
保存性
保存性とは、電子カルテのデータを一定期間保存することを指します。具体的には、「機器やソフトウェアの傷害」「不正プログラムによる保存データの消失」といったトラブルが起こらないよう、データを常に良好な状態で保存し続けることが必要です。
電子カルテのシステム更新を怠らず、こまめにデータのバックアップをとるといった対処が求められます。患者の診療情報を記録した診療録は、基本的に5年間の保存が義務付けられていますが、5年以降の保存期間は医療機関ごとでさまざまです。紙カルテの場合は保存場所が必要になりますが、電子カルテは保存に場所を取らないため、容量が許す限りは古いカルテも保存しているところが多いようです。
電子保存の3原則を守るために医療機関がすべきこと
ここでは、厚生労働省のガイドラインに定められた、電子保存の3原則を守るために医療機関がすべきことを説明します。
電子保存の3原則に則ったシステムを導入する
これから電子カルテを導入する場合は、電子カルテ選定時には、「電子保存の3原則」に則ったシステムであることを必ず確認するようにしましょう。
「真正性」という点では、カルテの入力履歴が確認できるか、ユーザーのなりすましを防ぐための端末やユーザーの識別・認証ができるかなどを確認するようにしましょう。
「見読性」に関しては、従来の紙カルテと同様の情報を記録できるのか、必要に応じて書面やPDFファイルなどで出力ができるのかといった点を確認しましょう。
「保存性」については、電子カルテシステムに十分なセキュリティ対策がなされているかを確認しましょう。多くの電子カルテシステムでは、ログインするためのID・パスワード認証に加えて、クライアント証明書によるデバイス認証を行っています。
セキュリティの責任者の配置
電子カルテの情報を守るうえで、セキュリティ対策は必要不可欠です。そのセキュリティ対策を有効に運用するため、ガイドラインでは責任者(情報システム運用責任者)を置き、セキュリティ対策に携わる人員を限定することを定めています。
さらに、セキュリティ対策に関するマニュアルを作成して実際に運用し、電子カルテに異常がないか自己点検を行うことも求めています。
適切なアクセス制御
電子カルテシステムにアクセスできる人員は、必要最低限に限定することが必要です。普段、電子カルテに携わることのない人までアクセスできる状態にしておくと、データの改ざんや流出などの危険性が高まってしまいます。
IoT機器の管理
医療業界でIT化が進んだ結果、インターネットに接続できるIoT機器の使用が増えています。IoT機器からネットを通して電子カルテにアクセスし、情報を改ざんしたり、消失させたりすることも可能となるため、医療機関では自院にあるIoT機器のセキュリティを適切に管理することが求められています。
また、24時間⼼電図計などのウエアラブル端末や、患者の⾃宅に設置する医療機器などインターネットに接続されている端末を患者に貸し出す際は、セキュリティリスクについて説明し、同意を得ることも重要です。
パソコンの外部持ち出しについての規定整備
データが保存されているパソコンをはじめとする端末は、基本的には外部に持ち出すべきではありません。しかし、外部で閲覧する必要があるケースもあるでしょう。
そのため、端末あるいはデータを入れたUSBメモリなどを外部に持ち出す際は、院内でルールを定めることが必要です。
特に、端末やUSBメモリが盗難にあったり、紛失してしまったりした場合の対処について、きちんと定めて医師やスタッフ間で周知させておかなければなりません。
BYODの原則禁止
BYODとは「Bring Your Own Device」の略で、私物のパソコンやスマートフォンを業務に使うことです。厚生労働省のガイドラインでは、このBYODを原則として禁止することを求めています。
私物の端末はセキュリティ対策のレベルがまちまちであるため、電子カルテのデータを安全に守れるか不安が残るためです。どうしても私物の端末からアクセスしなければならない場合は、リスクを最小限に抑える措置を講じる必要があります。
サイバー攻撃などへの対応
電子カルテはインターネットに接続している以上、サイバー攻撃にさらされる危険性を常にはらんでいます。そのため、電子カルテを扱うスタッフに対し、サイバー攻撃に関する教育をしておく必要があります。具体的には、サイバー攻撃の手口やシステム障害を起こしてしまった際の対処法などです。
電子カルテへのサイバー攻撃のうち、ランサムウェアについてくわしく知りたい方は、こちらの記事を参考にしてください。
「電子カルテがランサムウェアに感染したらどうなる?感染する原因と対策を解説」
定期的なバックアップ
電子カルテがサイバー攻撃を受けて使用できなくなった場合を想定して、定期的にデータのバックアップをとっておくとよいでしょう。
ダメージを受けていない状態のデータがあれば、万が一サイバー攻撃でデータが破損・消失したとしても、それほど時間をかけずに復元させることができます。なお、バックアップしたデータは、インターネットに接続していない場所に隔離して保存するのが安全です。
適切な情報の破棄
端末の買い替えや閉院などのさまざまな理由から、これまで使用していた端末を廃棄することもあるでしょう。その場合は、内部のデータも適切に破棄しなければなりません。
データが復元される可能性がないか、専門的な知識を持つ人に依頼して確認してもらうことが必要です。
電子保存の3原則を破ると罰則がある?
厚生労働省がガイドラインを出していることから、「電子保存の3原則を破ると罰則を受けるのでは?」と気になっている医療機関もあるでしょう。実際のところ、ガイドラインはあくまでも運用の指針を示したものであって法的拘束力はないため、仮に電子保存の3原則を破ったとしても、ただちに法律違反となるわけではありません。
ただし、電子保存の3原則は医療情報を安全に管理する上で守るべき最低限の指針です。3原則に則ってカルテを管理することが、個人情報保護法や保険医療機関および保険医療養担当規則といった法令を遵守することにつながります。
電子保存の3原則を守って安全に電子カルテを管理しよう
患者の診療情報をデータ化する電子カルテを導入・運用するにあたっては、「電子保存の3原則」を守ることが必要です。電子保存の3原則を守るための具体的な対処は、医療機関は厚生労働省が公表しているガイドラインに定められているので、内容をきちんと把握しておきましょう。
ガイドラインを破ったからといって、ただちに法律違反になるわけではありません。しかし、電子保存の3原則を守っていれば、電子カルテの運用は自然と安心・安全なものになります。患者から信頼される医療機関であるためにも、電子カルテ導入や利用にあたっては、電子保存の3原則を守るように心がけましょう。
こちらの記事で電子カルテの概要を解説していますので、併せてご覧ください。
「電子カルテとは?概要や導入するメリット、移行手順をわかりやすく解説」