クラウド型電子カルテやSaaS型医療情報システムでは、選定時に提案書やデモを確認して終わりにしがちです。ですが、厚労省のチェックリストマニュアルは、医療機関が事業者確認用チェックリストを事業者ごとに回収し、MDS/SDSも確認するよう求めています。さらに、経産省の別紙1は、サービス仕様適合開示書とSLAで、連絡体制、ネットワーク経路、利用者認証、記録確定などを明示する考え方を示しています。つまり、本番移行前には「選んだ」だけでなく、自院の運用条件で安全に使えると確認したかが問われます。
実務的に言えば、受入試験の目的は「機能が動くか」では足りません。認証、権限、真正性、ログ、障害時切替、委託先連携まで含めて、本番運用に耐えるかを確認する必要があります。これは制度文書に「受入試験」という見出しがあるわけではなく、厚労省・経産省の現行資料で示されている確認事項を、導入前の実務へ並べ直した整理です。
1. 認証は「電子カルテのログイン」だけでなく、サーバ・端末・ネットワーク機器まで確認する
厚労省のチェックリストマニュアルは、二要素認証を実装している、または令和9年度までに実装予定であることを確認項目とし、その対象は医療情報システム全般として、サーバ、端末PC、ネットワーク機器への認証技術実装まで含むと明記しています。さらに、緊急時等で二要素認証が使えない場合に代替手段を利用するなら、システムおよび利用者を適切に管理できる体制を整えることが重要ともしています。したがって、導入前の受入確認では、通常ログインだけでなく、管理者ログイン、サーバ接続、ネットワーク機器管理画面、非常時代替手段まで確認対象に含めるべきです。これは公的資料に基づく実務的整理です。
2. 権限は「職種別に分かれるか」だけでなく、「管理者権限を絞れているか」まで確認する
厚労省のチェックリストマニュアルは、利用者の職種・担当業務別の情報区分ごとにアクセス利用権限を設定することを求め、管理者権限を与えるアカウントは最低限のユーザに付与することを徹底するよう示しています。システム運用編でも、付与する利用権限は必要最小限であり、クラウドサービスでは意図しない設定変更で権限等が変わるリスクがあるため、意図せぬ変更を検知できる措置が求められています。したがって、受入試験では、医師・看護師・医事・管理者など役割別に何が見えて何ができるかに加え、管理者アカウントの件数、不要アカウント削除、クラウド設定変更の検知まで確認したいところです。これは公的資料に沿った確認観点です。
3. 「真正性」の確認として、記録確定・代行入力・更新履歴を確認する
診療録等の電子保存では、単に画面に入力できればよいわけではありません。システム運用編は、電子カルテデータの確定について、入力者および確定者の識別・認証、記録の確定、識別情報の記録、更新履歴の保管に対策を講じる必要があるとしています。経産省の別紙1も、e-文書法対象文書の真正性確保として、入力者及び確定者の識別・認証、記録の確定手順、識別情報の記録、更新履歴の保存、代行入力の承認機能を例示し、さらにSLA項目として診療記録の確定(本人による確定、代行確定等)を示しています。したがって、受入試験では、誰が入力し、誰が確定し、修正時にどの履歴が残るか、代行入力時に責任の所在が追えるかを必ず確認すべきです。
4. ログは「取れているか」ではなく、「必要項目が残り、確認できるか」で見る
厚労省のチェックリストマニュアルは、システム運用担当者がアクセスログを記録し、企画管理者等が定期的に確認することを求め、アクセスログには少なくともログイン時刻、アクセス時間、操作内容が特定できることが必要だとしています。さらに、アクセスログへのアクセス制限と不当な削除・改ざん・追加防止も求めています。したがって、導入前には、ログがONになっているかだけでなく、誰の、いつの、どの操作が見えるか、ログ閲覧権限がどう分かれているか、監査や調査に使える粒度かを確認する必要があります。これは導入後に気づくと手戻りが大きい項目です。
5. 障害時切替は「計画があるか」ではなく、「切り替えられるか」を確認する
厚労省のBCP手引きは、サイバー攻撃時の代替運用として、紙カルテ運用と参照系環境構築を例示し、紙カルテでは紙伝票の最新化と帳票準備、運用フローの作成と共有、参照系環境ではサーバ・端末PCの構築、プリンタ・印刷用紙・トナー準備を挙げています。また、復旧局面では、バックアップ復元手順や対応者を平時に定めておくこと、再設定や再インストール、バックアップからのデータ復旧を実施できること、さらに復旧結果として正常稼働を確認することを示しています。したがって、導入前には、机上確認だけでなく、少なくとも紙運用への切替、参照系閲覧、復元手順、復旧確認のどこまで実地で試すかを決めて確認するのが実務的です。ここで「実地で試すべき」という部分は、手引きの要求事項を導入前運用へ落とした専門家の見解です。
6. ベンダー提出物は「あるか」ではなく、「受入判定に使えるか」で見る
厚労省のチェックリストマニュアルは、医療機関が事業者確認用を事業者へ送付し、複数の医療情報システムを利用している場合は事業者ごとに確認するよう求めています。また、MDS/SDSはリスク評価・リスク管理に有効な資料として位置付けられています。経産省の別紙1は、SLAで通常時の連絡体制と障害時・非常時の連絡体制・告知方法、ネットワーク経路の安全管理対策、利用者認証、職種等に基づくアクセス制御などを示す考え方を取っています。したがって、受入判定の前には、事業者確認用チェックリスト、MDS/SDS、サービス仕様適合開示書、SLA、障害時連絡先、保守窓口がそろい、院内側の担当者が内容を説明できる状態にしておくべきです。
7. 受入判定は「本番で困る論点が残っていないか」で切る
公的資料をそのまま読むと、厚労省はチェックリストの全項目で「はい」を目指すこと、事業者ごとの確認、少なくとも年1回の点検を求めています。一方、経産省の別紙1は、サービス仕様や責任分界、連絡体制を合意形成の文書として扱っています。したがって、導入前の受入判定では、少なくとも①認証方式、②役割別権限、③記録確定と更新履歴、④ログ、⑤障害時切替と復旧、⑥事業者提出物と連絡体制の6点が、院内規程と矛盾なく説明できるかを確認したいところです。ここで示した6点は制度上の固定見出しではなく、現行資料を本番移行判定向けに並べた専門家の見解です。
