top of page

第7回 セキュリティ規則ー遵守の管理方法 <パート1>


第7回 セキュリティ規則ー遵守の管理方法 <パート1>
第7回 セキュリティ規則ー遵守の管理方法 <パート1>


この度はAiDETECTの公式ブログにご訪問頂き、本当にありがとうございます。


この更新で第7回目となります。今後ともよろしくお願いいたします。




こちらの公式ブログでは、AiDETECTの活用ノウハウや、機能アップデート、お得なキャンペーン、US本社での事例記事等をご紹介したいとおもいます。


 

前回のブログにて「Society 5.0」(ソサエティー5.0)と医療DX化について記述しました。


そこで、弊社が賛助会員となっている一般社団法人NeXEHRSからICT医療DXでの診療ガイドラインについての資料を少しですが、こちらのブログで共有したいと思います。


特に新規クリニック開業などのお医者様には興味がある記事かと思いますので、ご興味があればこちらの記事をご参考になれば幸いです。



公益財団法人 日本医療機能評価機構の中で、 EBM普及推進事業(Minds)という厚生労働省委託事業として活動をされていらっしゃいます。 


「 EBM普及推進事業(Minds)は、質の高い診療ガイドラインの普及を通じて、患者と医療者の意思決定を支援し、医療の質の向上を図ることを目的としています。具体的には、患者と医療者が、充分に科学的合理性が高いと考えられる診療方法の選択肢について情報を共有し、患者の価値観・希望や、医療者としての倫理性、社会的な制約条件等を考慮して、患者と医療者の合意の上で、最善の診療方法を選択できるように、診療ガイドラインおよびその関連情報を提供することで情報面からの支援をするものです。


Minds(マインズ)という言葉は、Medical Information Distribution Serviceの頭文字に由来し、本事業の通称として用いられています。


本事業の経緯としては、2002年度から厚生労働科学研究費補助金を受け、診療ガイドラインデータベース構築を開始し、2004年度からウェブサイトを通じた診療ガイドラインの公開を始めました。2011年度からは厚生労働省委託事業(EBM[根拠に基づく医療]普及推進事業)として継続しています。」*


*公益財団法人日本医療機能評価機構HPから抜粋






このMindsの活動の中で医療DXで活用される診療ガイドラインを目指していらっしゃいます。 また、この活動の中でMinds診療ガイドライン作成マニュアル2020 Ver3.0 作成されており、例えば、こちらの診療ガイドラインは、かかりつけのお医者様から診断された病名を違うお医者様でも共通の判断材料として使用される目的で制作されています。 ただし、一般的な診療方法であるため、必ずしも個々の患者様の状況に当てはまるとは限りません。 あくまでも、判断材料の一つとして作成されています。 こちらの委員会ではICTを活用した診療ガイドラインを現在でも制作されており、ICT基盤上で、診療ガイドラインを活用するため、医療情報分野での標準規格の適用と適用する個別推奨の形式の標準化が重要となっています。 しかし、ICTを活用した診療ガイドラインの導入には多くの課題があり、今後情報の標準規格の推奨などの標準表現形式やデータ連携の整備が求められています。 また、医療⽂書に限らず、他の情報と連携しやすいICT基盤整備が必要とされています。


ICTを活用した基盤設備の上でも、課題点として診療ガイドラインと個人情報保護の観点が特に重要視されると思われます。



IBMとポネモン・インスティテュート社が共同で実施した米国でのデータ漏洩調査によると、医療データ漏洩の平均コストは541,500,100円(386万USドル)*、紛失・盗難記録1件あたりの平均コストは20,745円(148ドル)*と推定されています。この報告書はさらに、医療機関が今後2年以内に情報漏えいを経験する可能性は極めて高いと予測しています。 FBIの関連調査や過去の法執行機関の報告によると、平均的な情報漏えいは360日以上経過するまで発見されなかったとの報告になっています。 その結果、組織のビジネスモデル、評判、そして明らかな患者のプライバシー侵害に対するコストと損害は、しばしば克服するにはあまりに困難であることが判明し、診療の失敗と破産につながります。


*2013年7月21日現在、US$1を140円として計算しています。


米国AiDETECT株式会社のレイモンド・リブル社長による2019年ADAM年次会議のプレゼンテーション「The Security Rule: How to Manage Adherence」の中で、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act of 1996 (HIPAA)」 のガイドラインを理解するために必要な背景と、HIPAAセキュリティ・ルール遵守の説明がADAM会員向けにレビューされました。


セキュリティ・ルールは、対象事業者(CE)が保護対象電子健康情報(ePHI)を管理するために必要な最低限の基準を定めたものであります。ADAMのプレゼンテーションでは、セキュリティ・リスク・アセスメント(SRA)(図1参照)を実施し、文書化する必要性が強調されました。


HIPAAコンプライアンスを維持するために、対象事業者は3つの主要なセキュリティ・リスク・アセスメントのセーフガードに対処する必要があるとの事でした。



セキュリティ・リスク・アセスメント(SRA)
セキュリティ・リスク・アセスメント(SRA)

1. 管理上の保護措置


2. 物理的な保護措置


3. 技術的な保護措置


米国メディケア・メディケイド・サービス・センター(CMS: CMS:Center for Medicare & Medicaid. Services )は、HIPAAセキュリティ・ルールとして、以下の遵守の管理方法を推奨しています。


1.管理上の保護措置


管理上の保護措置 とは保護対象電子健康情報を管理するためセキュリティ対策の選択、開発、実施、維持を管理し、保護対象電子健康情報の保護に関連する医療従事者、スタッフの行為を実施するための管理行為、方針、手順と定義されます。規範を考慮するには以下の事柄が必要となります。


  1. セキュリティ管理プロセス

  2. 違背行為の防止

  3. 検出

  4. 抑留

これらの重要な事柄は、安全保障リスク分析の施行とリスクマネジメントの実施という事になります。


  • 指定されたセキュリティ責任

    • ポリシーと手順の策定と実施に責任を負う指定されたセキュリ ティ担当者が必要となります。

  • 医療従事者並びにスタッフのセキュリティ

    • 権限付与、監督、許可、解雇等を含む、医療従事者並びにスタッフへの保護対象電子健康情報へのアクセスを管理する方針および手順を指します。

  • 情報アクセス管理

    • 保護対象電子健康情報への不必要かつ不適切なアクセスを制限することに重点を置く事となります。患者の保護対象電子健康情報へのアクセスを監視する事になります。

  • セキュリティ意識向上及び研修

    • 対象事業者の全医療従事者並びにスタッフに対するセキュリティ意識向上プログラムの実施を義務付けする事になります。

  • ビジネス・アソシエート契約(Business and Associate Agreements

    • すべての対象事業体に対して、米国の医療保険の遂行性と責任に関する法律(Health Insurance Portability and Accountability Act of 1966 – HIPAA) 対象事業体のために保護対象電子健康情報を作成、受領、維持、または送信するベンダー、請負業者、およびその他のビジネス・アソシエートについて、書面による契約または合意を締結することを義務付ける事になります。

<Part 2へ続きとなります。>


ご精読ありがとうございました。 また、製品に関するご質問、ご要望なども、いつでもお気軽にご連絡ください。 お問い合わせはこちらになります。 



AiDETECTでは、公式フェースブックファンページ公式ツィッター, 公式インスタグラムをフォローしてください。 よろしくお願いいたします!








**こちらのブログは個人的な予測、見解を含んでおります。また、公式情報は変更・追加されますので、最新情報を随時確認してください。 また、正式・正確な情報は、担当省庁でご確認ください。

閲覧数:32回0件のコメント

Comments

Rated 0 out of 5 stars.
No ratings yet

Add a rating
bottom of page