2025年7月の厚生労働省ワーキンググループ議事録では、病院に対する調査結果として、MDS/SDS(医療情報セキュリティ開示書)を用いて点検している病院は59%と報告されています。前年より増加傾向とされていますが、逆に言えば、まだ十分に使いこなせていない医療機関も少なくありません。しかも厚生労働省は、令和7年5月版として医療機関向け・事業者向けを統合したチェックリストマニュアルと、医療機関確認用・事業者確認用のチェックリストを公表しています。今は「書類をもらうだけ」から「書類を読んで使う」へ切り替えるべき時期です。
このテーマで最初に押さえるべきなのは、この3つの文書は同じものではないという点です。厚労省のチェックリストマニュアルでは、事業者確認用チェックリストは、医療機関が事業者に送付して対策状況を確認し、事業者ごとに回収するためのものとされています。MDS/SDSは、医療情報システムのセキュリティに関するリスク評価・リスク管理を行う際に有効な資料で、JIRA/JAHISが定めた標準的記載方法であり、厚生労働省標準規格として認定されていると説明されています。一方、経済産業省・総務省のガイドライン別紙では、サービス仕様適合開示書は、事業者が医療機関等に対して、ガイドラインへの適合状況や責任分界、役割分担の範囲などを示し、合意形成をしやすくするための文書の参考例と位置付けられています。
したがって、実務上の整理はこうなります。事業者確認用チェックリストは「今どうなっているか」を確認する表、MDS/SDSは「その機器・サービスにどんなセキュリティ機能や対応があるか」を見る資料、サービス仕様適合開示書は「どこまでを事業者が担い、どこからを医療機関が担うか」を合意するための開示文書です。つまり、3つは代替関係ではなく補完関係です。経済産業省は、サービス仕様適合開示書そのものはあくまで参考例であり、その形式での作成・提供は必須ではないとしつつも、事業者はそのような書面等で対応状況を開示・説明した上で合意形成を図ることが求められるとしています。さらに厚労省の研修Q&Aでは、サービス仕様適合開示書を受領していても、機器やサービスそのものの詳細はMDS/SDSでしか確認できないため、別途MDS/SDSの提出が必要と明示されています。
では、病院は何を見て読めばよいのでしょうか。5日目の記事では、次の5点に絞ると実務で使いやすくなります。
1. まず「誰の、どのシステムの文書か」を確認する
最初に見るべきは、中身ではなく対象範囲です。厚労省のチェックリストマニュアルは、医療機関が事業者に「事業者確認用」を送付し、複数の医療情報システムを利用している場合は、システムを提供している事業者ごとに確認を求めるよう示しています。また、製品購入だけで、運用・管理・保守に関する契約がない場合は、事業者確認用による確認は不要とされています。さらにチェックリストQ&Aでは、代理店が商流に入っている場合でも、事業者確認用は直接契約している事業者に依頼し、MDS/SDSについては製造業者および保守・サポート等のサービスを提供している事業者から提出を受ける考え方が示されています。読み始める前に、対象システム名、事業者名、契約関係、保守の有無が一致しているかを確認しなければ、文書比較は意味を持ちません。
2. 次に「リモート保守があるか」を起点に文書を突き合わせる
厚労省のチェックリストマニュアルでは、管理・運用の項目として、「リモートメンテナンス(保守)を利用している機器の有無を事業者に確認した」こと、そして「事業者からMDS/SDSを提出してもらう」ことが並んで置かれています。これは、外部接続や遠隔保守の有無を、MDS/SDS等の文書とセットで確認する発想です。実務上は、事業者確認用チェックリストで遠隔保守の存在を把握し、MDS/SDSやサービス仕様適合開示書でその接続に関する前提条件や役割分担を確認する、という読み方になります。文書を別々に保管するだけでは意味がなく、同じシステムについて相互に突き合わせることが重要です。これは公的資料に基づく実務上の読み方です。
3. サービス仕様適合開示書では「責任分界」を読む
サービス仕様適合開示書の価値は、製品説明よりも責任の見える化にあります。経済産業省の別紙1では、サービス仕様適合開示書は、対象事業者が医療情報関連ガイドライン等への適合状況や医療機関等側との責任分界・役割の範囲を表示する文書だと整理されています。また、要求事項の中には、事業者側で一意に決まる事項と、医療機関等との協議により具体的に決まる事項があると説明されています。さらに、サービス仕様適合開示書をSLAの内容として添付することも想定されています。したがって、病院側はこの文書を読むとき、「何が事業者責任で、何が自院側の運用責任か」「何が固定条件で、何が協議対象か」を線引きする必要があります。ここを読まずに契約すると、障害時やインシデント時に“誰が何をするのか”が曖昧なまま残ります。
4. MDS/SDSでは「機能説明」より「自院の対策にどう返るか」を見る
厚労省のチェックリストマニュアルは、MDS/SDSをリスク評価・リスク管理を実施するにあたって有効な資料と位置付けています。経済産業省の別紙でも、MDS/SDSは、各製造業者/サービス事業者の医療情報システムのセキュリティ機能に関する説明の標準的記載方法であり、医療機関等に必要な対策の理解を容易にし、リスクアセスメントの材料となることが想定されていると整理されています。したがって、MDS/SDSを読むときは、「この製品には何の機能があるか」で終わらせず、この説明を踏まえて、自院で追加で実施すべき管理策は何かまで考える必要があります。MDS/SDSは、ベンダーの自己紹介資料ではなく、医療機関側のリスク分析の入力資料として読むべき文書です。これは公的文書の位置付けに沿った実務的整理です。
5. 事業者確認用チェックリストは「提出されたか」ではなく「未対応が管理されているか」を見る
事業者確認用チェックリストは、回収して終わりではありません。厚労省のマニュアルでは、各項目について**「はい」または「いいえ」を記入し、「いいえ」の場合は令和7年度中の目標日を記入するよう求めています。さらに、少なくとも年1回はチェックリストを用いた点検を行うこと、立入検査では医療機関確認用・事業者確認用の全項目について確認日と回答等の記入を確認し、加えて台帳、連絡体制図、BCP、規程類の現物確認**を行うとしています。実務上は、チェックリストに「いいえ」があるかどうかより、目標日が入っているか、誰が対応主体か、自院側の作業が何か、次回点検でどう追うかを見ることが重要です。これはマニュアルの要求事項に基づく実務上の読み方です。
このテーマでに一番伝えたい結論は、文書を受け取ること自体は対策ではないということです。厚労省の文書群は、医療機関が事業者確認用を送付・回収し、MDS/SDSを回収し、少なくとも年1回点検し、必要に応じて立入検査に備える流れを示しています。一方、経済産業省・総務省の文書群は、サービス仕様適合開示書やSLAを通じて、事業者と医療機関の合意内容や責任分界を明確にする考え方を示しています。つまり、チェックリストで現状確認し、MDS/SDSで技術的な前提を理解し、サービス仕様適合開示書とSLAで責任を固定する。この順番で読んで初めて、文書がセキュリティ対策として機能します。
