厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」システム運用編は、利用者のアクセスについて、アクセスログを記録するとともに、定期的にログを確認することを遵守事項としています。さらに、アクセスログは少なくとも利用者のログイン時刻、アクセス時間、ログイン中に操作した医療情報が特定できるように記録することを求めています。令和7年5月版のチェックリストマニュアルでも、システム運用担当者がアクセスログを記録し、企画管理者等が定期的に確認すること、少なくともログイン時刻、アクセス時間、操作内容が特定できるように記録することが必要だとされています。つまり、医療機関のログ管理は「残しておけばよい」ではなく、誰が見て、何を確認するかまで含めた運用が前提です。
このテーマで最初に押さえるべきことは、ログの役割は監査だけではないという点です。システム運用編は、特に個人情報を含む資源については全てのアクセスログを収集し、定期的にその内容をチェックして不正利用がないことを確認しなければならないとしています。また、アクセスログは情報セキュリティインシデントが発生した際の調査に非常に有効な情報であり、その保護は必須だとしています。チェックリストマニュアルも、不正アクセスがあった場合に痕跡を発見して追跡する起点になると説明しています。ログは監査証跡であると同時に、異常検知と事後調査の出発点です。
1. 何を残すべきか
厚労省の現行ガイドラインで明確なのは、少なくとも誰が、いつ、何にアクセスし、何をしたかが追える粒度が必要だということです。システム運用編では、最低限として利用者のログイン時刻、アクセス時間、ログイン中に操作した医療情報が特定できるように記録することを求めています。チェックリストマニュアルは、これを実務向けに説明し、利用者のログイン時刻、アクセス時間、操作内容が特定できることを必要条件として示し、例としてユーザーID、氏名、時刻、カテゴリ、操作情報を挙げています。したがって、17日目の記事で読者に伝えるべき最低ラインは、**「ユーザー」「時刻」「対象」「操作」**の4点です。
ここで重要なのは、個人情報を含む資源では“全てのアクセスログ”を収集することが求められている点です。つまり、電子カルテ、検査結果、処方情報、患者基本情報など、個人情報を扱う主要資源については、「重要操作だけ取る」というより、アクセスそのものを漏れなく追えることが基準になります。これは、ログを運用監視の補助資料ではなく、説明責任を支える記録として位置付けているためです。
2. どれだけ残せばよいか
この論点で正確に言えることは二つあります。
一つは、粒度については最低限の要件が明示されていることです。先ほどの通り、ログイン時刻、アクセス時間、操作した医療情報または操作内容が特定できる必要があります。
もう一つは、少なくとも今回確認したシステム運用編17とチェックリストマニュアル該当箇所では、アクセスログの一律の保存年数までは明示確認できなかったことです。したがって、「何年間保存すべきか」を全国一律の数値として断定するだけの十分な根拠は、この質問に正確に回答するための今回確認範囲にはありません。ここは推測せず、現行の公的資料で明示されているのは保存年数より、記録粒度・定期確認・改ざん防止・時刻管理・アラート運用であると整理するのが正確です。
このため実務上は、保存年数を先に決めるより、調査に耐える粒度で取れているかを先に確認する方が重要です。これは公的資料の要求事項を運用に落とした専門家の見解です。
3. 誰が見ればよいか
厚労省資料は、この点をかなり明確に分けています。チェックリストマニュアルでは、システム運用担当者は利用者のアクセスログを記録し、企画管理者等はそのログを定期的に確認すると説明しています。システム運用編でも、システム運用担当者がシステム上のログを収集し、レビューすることが求められるとしています。つまり、少なくとも
記録する人=システム運用担当者
確認する人=企画管理者等
という役割分担が基本です。
さらにシステム運用編は、監査に必要な証跡(手順等の実施証跡、システムログ及びレビュー結果等)を整理したうえで、企画管理者に報告することを求めています。これは、ログ管理が現場内で閉じる話ではなく、監査や説明責任に上げるための材料でもあることを意味します。ログを見る人は一人ではなく、運用担当者、企画管理者、監査側へと段階的につながる前提で考える必要があります。
4. アラートはどこで使うべきか
システム運用編は、アクセスログを分析し、緊急時にアラートを発する仕組みを講じることも求められるとしています。ここは非常に重要で、厚労省はログを「保存して後で読むもの」だけでなく、異常時に気づくための入力としても扱っています。
ただし、公的資料が一律の閾値やルールセットを細かく指定しているわけではありません。したがって、具体的に何をアラート対象にするかは、自院のリスク分析とシステム構成に応じて決める必要があります。ここで正確に言えるのは、少なくとも個人情報を含む資源へのアクセス、説明責任が必要な重要操作、緊急時に早期把握が必要な事象について、アラート対象を優先的に設計するのが実務的だ、ということです。これは厚労省が「個人情報を含む資源の全アクセスログ収集」と「緊急時アラート」を求めていることに基づく専門家の見解です。
ログは「残す」だけでなく「守る」必要がある
ログの運用で見落とされやすいのが、ログ自体が保護対象だという点です。システム運用編は、アクセスログには個人情報が含まれている可能性があり、インシデント調査にも有効なため、その保護は必須だとしています。遵守事項としても、アクセスログへのアクセス制限を行い、不当な削除・改ざん・追加等を防止することを求めています。チェックリストマニュアルも同様に、アクセスログへのアクセス制限と改ざん防止対策を併せて講じるよう求めています。つまり、ログ管理は記録の問題であると同時に、証拠保全の問題でもあります。
時刻がずれているログは、証跡として弱い
厚労省は、アクセスログの記録に用いる時刻情報は信頼できるものを利用すること、医療機関等の内部で時刻同期させること、さらに標準時刻と定期的に一致させるなどの手段で診療事実の記録として問題のない範囲の精度を保つことを求めています。システム運用編でも、記録する時刻の精度は重要であり、管理対象の全てのシステムで同期を取らなければならないとしています。ログは多く残していても、時刻がずれていれば調査や説明で使いにくくなります。したがって、17日目の記事では、ログ設計の本体は保存容量ではなく、時刻の信頼性にあると伝える価値があります。これは公的資料に基づく専門家の見解です。
ログ機能がない機器は、例外ではなく代替策の対象
医療現場では、古い機器や周辺システムで十分なログ機能を持たないものもあります。この点について厚労省は、医療情報システムにアクセスログの記録機能がない場合は、業務日誌等により操作者、操作内容等を記録すること、またはシステム操作に係る業務日誌等を作成し、操作の記録を管理する代替策を講じることを求めています。つまり、「ログが取れないから仕方ない」で終わらず、手動でも記録を残すことが必要です。
委託しているなら、ログの扱いも契約で曖昧にしない
システム運用編は、医療情報システムの管理を委託している場合には、事業者との間でログの管理方法や提供等に関して明確にする必要があるとしています。これは、障害時やインシデント時に「誰がログを持っているのか」「いつ出せるのか」「誰がレビューするのか」が曖昧だと、初動や調査が遅れるためです。ログ運用は院内だけで完結するとは限らず、委託先を含めた責任分界として設計する必要があります。
このテーマで一番伝えたい結論は、ログ管理は保存の話ではなく、証跡・検知・説明責任をつなぐ運用の話だということです。厚労省の現行資料をつなぐと、必要なのは
最低限の記録粒度、定期レビュー、改ざん防止、時刻同期、緊急時アラート、機能がない場合の代替記録、委託先を含む責任分界
まで含めた設計です。ログは「取っているか」より、使える形で残り、見られ、守られているかで評価すべきです。これは公的資料に基づく専門家の見解です。
