第436号コラム「地域医療連携におけるデジタル・フォレンジックの可能性の中心」

第436号コラム:「医療」分科会WG1 江原 悠介 座長
(PwCあらた有限責任監査法人 システム プロセス アシュアランス部)
題:「地域医療連携におけるデジタル・フォレンジックの可能性の中心」

第13期の「医療」分科会は二つのワーキンググループ(WG)により構成されている。一つはe-Discovery等も視野に入れた、医療現場におけるデジタル・ フォレンジックの活用可能性について法学的な見地を中心として検討するWG2であるが、本件については2016年6月のコラム(第417号「医療現場におけるフォレンジック技術の活用可能性を探る」にて佐藤座長が解説する通りであり、また現在、年内における報告書の作成に向けた大詰めを迎えているところでもある。そのため、後ほど公表されるであろう成果物を直接ご確認頂くこととし、本コラムではもう一つのWGの現状について解説する。なお、本内容は筆者の私見に基づくものであり、筆者の所属企業、あるいは以下で取り上げる各団体の考えを表明するものではないことを断っておく。

ご存じの方も多いと思うが、地域医療連携については、2016年2月に厚生労働省より、一般社団法人日本IHE協会が策定した「地域医療連携に関する情報連携基盤技術仕様」が地域医療連携に係る技術仕様上の標準規格として定められた。 当該規格が今後の日本の地域医療・介護連携の普及に向けて果たす役割は極めて大きいと考えられる。しかしながら、これらの規格において各施設が横断的に連携するための技術仕様は明確化された一方、各施設固有の管理ポリシーと調和する、地域医療・介護連携圏全体を実効的に運営するための包括的な管理ポリシーのありようについて、日本固有の法令やガイドラインを考慮した上での検討までは未だ十分とは言い難い状況である。

WG1では、このような状況を踏まえ、第13期におけるテーマとして、地域医療・介護連携を掲げている。具体的には、第12期の「医療」分科会において、一般社団法人メディカルITセキュリティフォーラムと共同作成した「医療情報システムの安全管理に関するガイドライン対応のための手引き」における基本コンセプト、つまり、実際の医療現場に向けた実務的な手引きの提示という考えを引き継ぎ、地域医療・介護連携圏の統括組織体の管理者に向け、どのような組織運営ポリシーを策定すべきかという観点より、日本IHE協会等を中心とした団体とともに、協議・検討を行っている状況である。

IHEについて初見の方もいると思われるため補足する。IHEとは医療情報システムの相互接続性を推進する目的で1999年に米国で開始された国際的なプロジェクト(Integrating the Healthcare Enterprise)であり、日本では2001年から日本IHE協会が様々な個人/企業会員ともに活動を展開している。例えば、様々な医療情報システムが異なるベンダにより提供され、さらに各施設個別の業務フローのなかで利用される事態は、施設間のデータコミュニケーションの実効性、つまり相互運用性の低下を招いている。こうした事態に対して、各施設における医療業務プロセス(ワークフロー)を事前に定義・標準化することで、当該プロセスが求める要件を実現する医療情報システムをも標準化させ、施設間の業務/システム運営の透明化、つまり相互運用性を高めるナレッジベースとして、IHEの活動が存在する。この活動を支えるIHE固有の概念、例えば、テクニカルフレームワーク、統合プロファイル、アクタ、トランザクション等について、ここでの詳述は割愛する。興味のある方は日本IHE協会のWebサイトを参照されたい。

重要なポイントは、異なる施設間の業務/システムに係る相互運用性の確保は地域医療・介護連携の前提であり、この前提を実現するための体系的なフレームワークをIHEが提供しているという点である。このフレームワークに基づき、特定の圏域(IHEの用語では、医療情報コミュニティ:XAD)に係る包括的な組織運営ポリシーを検討することで、標準性の高い、実効的な成果を提示できると考えている。実際的な検討状況に話を移す。今回のポリシーの前提としている資料は、IHEの「IHE IT Infrastructure Technical Committee White Paper – Template for XDS Affinity Domain Deployment Planning ・Version 15.0」(December 2, 2008)である。本資料は米国のIHEにおいて、各施設による患者情報の交換が行われる地域医療・介護圏それ自体を運営するための統括組織体が策定すべき管理要件を定義したものである。管理要件のカテゴリは以下の通りであり、各カテゴリはさらに詳細な中項目、小項目により構成されている。

A.1  はじめに(Introduction)
A.2  用語(Glossary)
A.9  用語と意味(Terminology and Content)
A.3  参考資料(Reference Documents)
A.4  組織的規約(Organizational Rules)
A.5  運用規則(Operational Rules)
A.6  メンバの規約(Membership Rules)
A.7   XADの外部からの接続性(Connectivity To the XDS Affinity Domain from External Systems)
A.8  システム構造(System Architecture)
A.10 プライバシ(Patient Privacy and Consent)
A.11 技術的セキュリティ(Technical Security)

上記要件は米国の医療事情を考慮しているため日本の医療事情とは必ずしもマッチしない部分もあり、さらには日本固有の法令やガイドライン等に基づく遵守事項までは当然ながら含まれていない。よって、WG1では、厚生労働省:医療情報システムの安全管理ガイドラインを中心とし、且つ、経済産業省、総務省等による関連ガイドラインに加え、一般社団法人保健医療福祉情報安全管理適合性評価協会(HISPRO)による「地域医療介護連携サービスの安全管理評価項目」等も参考の上で、日本の医療事情に即した観点より、本管理要件群を一部修正しつつ、当該要件を踏まえたポリシー 策定に際した着眼点の解説に加え、具体的なポリシー事例の作成に向けた取組を行っている。この取組は年内には完了する予定であり、その際には、地域医療・介護連携圏の統括組織体のみでなく、それ以外の施設にとっても、標準性の高い実効的な組織運営ポリシー作成のための手引きを提示することができると思われる。

以上、「医療」分科会WG1の現在の活動状況を概説した。この取組がデジタル・フォレンジックとどのように関係するか、読者の皆様方は不思議に思われたかもしれないが、しかしながら、包括的な地域医療・介護連携圏の運営ポリシーの検討に際しては、むしろデジタル・フォレンジックという観点が不可欠ですらある。

例えば、このような統括組織体は、患者や医療圏の加入施設等の内外のステークホルダーを多数抱え、常に高い説明責任力の確保が要求されている。加入施設が無数の別施設の情報を相互参照可能なアクセス環境下において、患者が自身の診療情報の取り扱いに際して、説明・開示を求めてきた場合(あるいはそのような要求を招くインシデントが発生した場合)、当該情報が本来遵守されるポリシーに基づき適切な利用が行われていたのかについては、アクセスログ等を対象としたデジタル・フォレンジック的な精査が不可欠となり、且つ、このようなアプローチを可能とするための事前のシステム実装も求められることになる。

また、自組織がポリシーに基づき適切に運営管理されていることを、加入施設に対して公開するための取組として監査が挙げられるが、この取組においてもシステム上の技術的な管理要件の充足をより効果的に検証するためには、システムログを精査するためのフォレンジック的な切り込みが不可欠であろう。

複数のステークホルダーによる様々な要求に対して、適切且つ適時に、エビデンスベースの説明責任の遂行を果たすためには、地域医療・介護連携という領域においても、他領域同様、デジタル・フォレンジックが必要となることは論を待たないと個人的には考えている。したがって、今回の手引きにおいて、地域医療・介護連携圏の組織運営における説明責任力を確保するための技術の一つとして、デジタル・フォレンジックの要素を明確化することで、今後の地域医療・介護連携の展開に向け、その重要性を改めて強調したいと思う。

【著作権は、江原氏に属します】