令和４年度ヘルスケアサービス社会実装事業（医療情報を取り扱う情報システム・サービスの提供事業者における安全管理等に関する調査）報告書

この報告は、医療情報を取り扱う情報システム・サービスの提供事業者における安全管理に関する調査について書かれた報告書である。令和4年度にNTTデータ経営研究所が実施した本調査は、医療情報システムを取り巻く環境変化への対応を目的としている。近年のサイバー攻撃の多様化・巧妙化、特にランサムウェア被害の増加が医療機関に深刻な影響を与えており、中小企業での被害が半数を占め、医療・福祉分野での被害は全産業の約1割に達している。VPN機器やリモートデスクトップからの侵入が主要な感染経路となっており、バックアップが完全に利用可能である事例は約2割にとどまっている。徳島県つるぎ町立半田病院のランサムウェア被害事案では、システム提供事業者の対応課題と医療機関との合意に関する問題が浮き彫りになった。厚生労働省、経済産業省、総務省の3省2ガイドラインについて、責任分界のあり方やリスクコミュニケーションの重要性が指摘されている。医療情報の連携方法の多様化により、電子カルテシステムやAI医療機器の外部通信が増加しており、事業者のサービス設計に対する制約の検証が求められている。海外のガイドライン調査では、アメリカのHIPAA規則やイギリスのDSPTKなどの制度が参考とされた。事業者の利便性向上に向けた資料作成、医療情報の保管方法に関する実態調査、都道府県による検査方法の具体化などが実施された。本調査は医療情報システムの安全性確保と事業者支援の両立を図る重要な基盤資料となっている。