医療機関のセキュリティ対策で誤解されやすいのは、クラウド化や外部委託をすると、責任まで移ると考えてしまうことです。厚労省の経営管理編は、医療機関等には医療情報システムを適正に管理する責任があり、第三者に業務を委託する場合でも、適切な事業者を選定する責任と受託事業者の過失等に対する管理責任があると整理しています。つまり、委託は責任放棄ではなく、責任の持ち方が変わるだけです。
この前提に立つと、20日目の記事で最初に伝えるべきことは明確です。委託先に何を任せるかより先に、何を任せても医療機関側に残る責任が何かを整理する必要があるということです。厚労省の企画管理編は、委託先その他の関係者との間で責任分界に関する取決めを行うこと、重要な委託では事前に経営層の承認を得ること、技術的な部分はシステム運用担当者の検討結果を反映すること、さらに複数の関係者が関与する場合はその関係を整理し、役割分担や管理も責任分界に含めることを求めています。責任分界は契約書の付録ではなく、運用そのものの設計図です。
1. まず契約で曖昧にしてはいけないもの
厚労省の経営管理編は、委託契約において、委託業務の内容、システム関連事業者の体制、責任分界、情報の取扱いについて、認識の齟齬が生じないよう適切な契約の締結と管理を行うよう求めています。さらに、企画管理編は、責任分界を契約書やSLAなど、双方を拘束する合意文書として明らかにした上で運用することを求めています。したがって、病院側が契約で最低限固定すべきなのは、業務範囲、責任範囲、情報の扱い、非常時の役割です。これは厚労省資料に基づく実務的な整理です。
ここで重要なのは、契約に「セキュリティに配慮する」程度の抽象語だけを書かないことです。企画管理編は、責任分界を決める際に、委託先事業者が提供するシステム・サービスの内容を踏まえて、安全管理に関する役割分担も取り決めることを求めています。つまり、誰がパッチ情報を集めるのか、誰が障害一次対応をするのか、誰がログを出すのか、誰が患者説明に必要な情報を集めるのかまで、論点単位で切り分ける必要があります。
2. クラウドは「責任共有モデル」を前提に読む
クラウド事業者との契約で見落としやすいのが、事業者が全部責任を持つわけではないという点です。経産省の別紙1参考例は、対象事業者が自己が提供するサービスについて責任を負う範囲を明示することを必須とし、さらに利用環境に関する役割分担と責任も必須項目にしています。その解説では、特にクラウドサービスでは、セキュリティに対する責任は共有するという責任共有モデルの考え方が示されているとしています。つまり、クラウドの契約では「ベンダーが守る部分」と「医療機関が守る部分」の境界を読み落とすと、対策の抜けが生じます。
同じ別紙1参考例では、医療機関側の役割として、利用者側で用意すべき機器やネットワーク等の管理や、対象事業者が関与しないクラウドサービス利用に伴う管理が例示されています。これは、SaaSを使っていても、院内端末やネットワーク、ID運用、二要素認証、接続制御などは医療機関側の責任として残り得ることを意味します。クラウド導入時に本当に確認すべきなのは、機能一覧より責任境界の空白です。
3. 再委託と連携クラウドは「あとから知る」では遅い
委託先がさらに再委託しているケースや、裏側で複数のクラウド・連携サービスが動いているケースは珍しくありません。厚労省の経営管理編は、再委託を行う場合には、事前に医療機関等に情報を提供し、協議・合意形成を経た上で承認を得ること等を契約内容に含めるよう求めています。また、再委託先の監督も重要であり、特に海外のシステム関連事業者を再委託先とする場合には、個人情報保護法が求める要件を満たさない場合もあるため、十分留意が必要だとしています。
経産省の別紙1参考例でも、SLA・サービス仕様適合開示書で確認すべき項目として、データセンタ業務、保守業務、連携クラウドサービス事業者、再委託先・連携事業者に対する管理責任、再委託先・連携事業者に関する情報提供が並んでいます。さらに解説では、再委託先や連携事業者の事業者名やサービス名、サービスレベルの矛盾がないこと、必要に応じた詳細情報の提示が求められています。つまり、医療機関側は「直接契約先しか知らない」状態を避け、裏側の構成を把握できる程度の情報開示を受けるべきです。
4. ログ提出・保守報告は“お願い”ではなく契約事項にする
障害やインシデントのたびに揉めやすいのが、誰がログを持っていて、いつ出せるのかです。厚労省のシステム運用編は、保守時の安全管理対策として、保守要員の専用アカウント使用、個人情報アクセスの有無と作業内容の記録、リモートメンテナンス時のアクセスログ収集、作業計画書との照合、そして作業終了後の企画管理者への報告を求めています。したがって、委託先へのログ提出要求は、事故が起きた後の依頼事項ではなく、平時の契約・運用条件として入れておくべきです。
同じ文脈で、企画管理編は、外部保存委託先に対して、保守作業に必要な情報以外を閲覧させないこと、保存した情報を独断で分析・解析しないこと、独自に提供しないこと、国内法の適用を受けることを確認することを求めています。これは、クラウドや委託先にログやデータがある場合でも、見てよい範囲、使ってよい目的、出してよい先を契約で絞る必要があるという意味です。
5. 障害時の役割は「誰が一次対応するか」まで明文化する
障害時・非常時の役割分担は、平時より重要です。経産省の第2.0版は、情報セキュリティ事故が発生した場合、対象事業者は原因・範囲等、医療機関等の管理者が患者、行政機関、社会へ説明・公表するために必要となる情報の収集をサポートできるよう、できる限り詳細な情報を提供すべきとしています。さらに、速やかに善後策を講じること、再発防止策を医療機関等に提案し、合意形成の上で実行することも求めています。つまり、障害時の契約で必要なのは稼働率だけではなく、説明に必要な情報提供義務です。
また、経産省の別紙1参考例では、役割分担の必須項目として障害一般に関する役割分担と責任が挙げられ、例として、第一次対応は対象事業者が行い、組織内周知や障害原因究明への協力を医療機関等が担うような分担が示されています。加えて、障害時・非常時の連絡体制・告知方法も、参考例の確認項目に含まれています。したがって、障害対応契約で最低限決めるべきは、一次対応、原因究明協力、連絡窓口、告知方法です。
6. 契約終了時は「削除しました」で終わらせない
クラウドや外部保存の論点で、開始時より見落とされやすいのが終了時の返却・移管・破棄です。経産省の第2.0版は、ライフサイクル上、情報の返却・移管・破棄を適切に実施したことの証跡を取得しておくことを必要としています。厚労省の企画管理編でも、外部保存を委託している場合、破棄されたことを確認できる証跡の提供を委託先事業者に求める必要があるとし、クラウドサービスなどで破棄証明が難しい場合には、破棄手順や実際に行った処理に関する証跡の提供を求め、その基準を事前に協議の上で契約内容に含めることを求めています。
ここは実務上とても重要です。契約終了時に必要なのは「データ返却」だけではなく、何を返すか、何を消すか、どう証明するかを決めることです。特にクラウドでは、物理ディスクの破壊証明が難しい場合があり得るため、論理削除手順、処理ログ、証跡提供方法まで決めておかないと、終了後も説明責任が残ります。これは厚労省・経産省の公的資料を踏まえた実務上の整理です。
サービス仕様適合開示書とSLAは“参考資料”ではなく確認の入口
医療機関がクラウドや外部委託を評価する際、使いやすい入口になるのがサービス仕様適合開示書とSLAです。経産省の第2.0版は、別紙1参考例そのものの作成・提供は必須ではないとしつつも、同等の内容について情報提供した上で、適切な共通理解に基づく合意形成を図ることを求めるとしています。さらに厚労省の企画管理編は、外部保存委託先の選定時に、「サービス仕様適合開示書」の提供を求めて確認することを例示しています。つまり、これらの文書は“あれば便利”ではなく、責任分界と運用条件の確認の入口です。
このテーマで一番伝えたい結論は、委託先・クラウド事業者に責任を持たせるとは、丸投げすることではなく、責任の境界を文書と運用で固定することだという点です。厚労省の現行ガイドラインと経産省の第2.0版・別紙1をつなぐと、医療機関が最低限固めるべきなのは、
責任分界、再委託の事前承認、ログ提出と保守報告、障害時の一次対応と情報提供、終了時の返却・破棄証跡、連絡体制
です。契約書に「安全管理に配慮する」と書くだけでは不十分で、誰が、いつ、何を、どこまでやるかが見えることが重要です。
