医療情報システムの変更は、攻撃を受けた時だけが危険なのではありません。厚生労働省の「医療情報システムの安全管理に関するガイドライン 第6.0版」システム運用編は、ソフトウェア・サービスに対する要求事項として、情報機器・ソフトウェアの改訂履歴と、導入時に実際に行われた作業の妥当性を検証するプロセスを規定すること、さらに医療情報システムで利用するシステム、サービス、情報機器等の品質を定期的に管理するための手順を作成し、必要な措置を講じて企画管理者に報告することを求めています。つまり、設定変更やアップデートの承認フローは、単なる院内手続ではなく、安全管理そのものです。

さらに同じシステム運用編の「10.1 保守時の安全管理対策」は、保守に当たって確認すべき内容として、保守計画等の策定・確認、影響確認、作業の監督、作業報告・確認、アクセス権限管理、ログ取得、リモートメンテナンス対策を挙げています。そして、保守に関する手続きは原則として事前申請・承認である一方、障害時や緊急を要する脆弱性対応では事後承認も想定するとしています。加えて、クラウドサービスでは個別承認が難しい場合があるため、保守対象時間、影響範囲、必要に応じた代替措置を確認し、企画管理者へ報告した上で関係者に周知することが求められています。

ここから実務上導けるのは、保守作業・設定変更・アップデート適用を、少なくとも6段階の承認フローとして設計するのが分かりやすい、ということです。以下の6段階という整理自体は、厚労省資料を院内運用へ落とした専門家の見解です。

1. まず「申請」と「分類」を分ける

最初に必要なのは、「変更したい」という相談をそのまま実施に進めないことです。厚労省は、改訂履歴作業妥当性の検証プロセスを求めています。したがって、申請段階では少なくとも、対象システム、対象機器、作業の目的、作業種別(保守・設定変更・アップデート・緊急対応)、予定日時、実施者、委託先の有無を明らかにして、変更を分類できる状態にする必要があります。ここで挙げた申請票の具体項目は、制度文書の固定書式ではなく、上記要求事項を実務化した専門家の見解です。

2. 次に「影響確認」を入れる

厚労省のシステム運用編は、保守時の確認項目として影響確認を明示しています。また、チェックリストマニュアルは、サーバ、端末PC、ネットワーク機器の台帳管理を求め、台帳には所在、利用者、ソフトウェアやサービスのバージョンなどを含める想定だとしています。さらに、リモートメンテナンス(保守)を利用している機器の有無を事業者に確認することMDS/SDSを提出してもらうことも求めています。したがって、変更前の影響確認では、どの機器に影響するか、どの版数が対象か、外部保守経路が絡むか、製造業者・サービス事業者の前提条件は何かまで確認する必要があります。

3. 承認は「一律」ではなく、通常変更と緊急変更で分ける

厚労省は、保守に関する手続きは原則として事前申請・承認としつつ、障害時や緊急を要する脆弱性対応では事後承認も想定しています。また、クラウドでは個別利用者ごとの承認が難しい場合があるため、保守時間、影響範囲、代替措置等を確認した上で企画管理者に報告し、内部および関係者へ周知することを求めています。したがって、院内フローでは、通常変更は事前承認、緊急変更は暫定実施+事後承認という二系統で設計するのが、公的資料に最も整合的です。どの役職を承認権者にするかは、今回確認した公的資料では一律に固定されていないため、企画管理者、医療情報システム安全管理責任者、必要に応じて経営層のどこで切るかは、各院の運用管理規程で定める必要があります。

4. 実施中は「ベンダーを信用する」ではなく「統制する」

厚労省のシステム運用編は、保守作業で事業者がサーバへアクセスする際には、保守要員の専用アカウントを使用させること個人情報へのアクセスの有無、アクセスした対象個人情報、作業内容を記録することを求めています。さらに、リモートメンテナンスではアクセスログを収集し、作業計画書と照合して確認し、終了後速やかに企画管理者へ報告して確認を求めることを求めています。つまり、院内承認フローでは、実施前に承認して終わりではなく、実施中の統制として、専用アカウント、ログ取得、計画照合、終了報告までを必須化する必要があります。

5. 完了確認では「動いた」ではなく「想定した品質で動く」を見る

厚労省のシステム運用編「9.2 情報機器・ソフトウェアの導入や変更時における品質管理」は、導入や変更時に想定した品質で稼働することを確認することを求めています。また、要求仕様書等において特に重視する品質を明示して、事業者に品質確保を求めることが想定されるとしています。したがって、変更後確認では、単にログインできるかではなく、検索、表示、帳票、連携、記録確定、現場業務への影響まで含めて確認する必要があります。ここで「承認フローの完了条件として、画面表示や業務導線まで含めるべき」という整理は、厚労省の品質管理要求を実務へ落とした専門家の見解です。

6. 最後に「文書へ戻す」

厚労省のチェックリストマニュアルは、上記1~3のすべての項目について、具体的な実施方法を運用管理規程に定めていることを確認項目にし、さらに少なくとも年に1回はチェックリストを用いた点検を実施することを求めています。立入検査では、規程類は現物確認の対象です。したがって、承認フローは口頭運用では足りず、申請、影響確認、承認、実施、報告、例外運用、緊急時事後承認までを運用管理規程に落とし込み、チェックリスト点検で見直せる状態にする必要があります。