コラム第849号:「今期「ヘルスケア分科会」が公開する資料 ~ 「契約」の観点から考える医療セキュリティをリメイク版ドラクエ3とともに考える~」
今期の「ヘルスケア」分科会では、ワーキンググループによる研究成果として、『「医療情報システムの契約における 当事者間の役割分担等に関する確認表」の利用手引 ~医療情報システムのサイバーセキュリティに係る「契約」上の基本的な留意事項』~ という資料(以下、「手引」と記載)を公開することとなった。
本コラムでは、何故こうした手引を公開するに至ったかという背景について、直近でちょうどSwitchやPS5等で販売されたリメイク版ドラゴンクエスト3(以下、ドラクエ3)の世間の反応を引き合いにしながら、ざっと説明する。
2023年4月に医療法施行規則や薬機法施行規則の改定に伴い、病院や調剤薬局(以下、「医療機関等」)におけるサイバーセキュリティが医療安全管理の一部として義務化されることになった。
医療機関等では、自施設で利用する医療情報システム・サービスの提供事業者(以下、「ITベンダ」)との間で、セキュリティの取り決め事項を契約等で合意することが求められている。ただ、ITや法務の専門人材もいない医療機関等でそんなことが可能なのか?
つまり、「マル勝ファミコン」の攻略解説もなく、「スーパーマリオクラブ」のゲーム解説もない状況下で、ゲーム(=<セキュリティ>)の素人がドラクエ3をクリアできるのだろうか?
こうした状況を考慮し、2024年6月に、厚生労働省・経済産業省・総務省から、『医療情報システムの契約における当事者間の役割分担等に関する確認表』(以下、「契約検討確認表」)という資料(=<攻略本>)が公表されている。
この資料は、ITや法務面の専門職員のいない医療機関等にとって、医療情報システム・サービスをめぐる、ITベンダとの「情報の非対称性」を解消し、セキュリティ面の契約上の合意形成を進めるうえで有益である。
ただし、この攻略本は、あくまで契約上の合意形成を検討するための確認ポイントを示す構成(=<バラモス戦>)で終わっていると言える。具体的に契約文言としてどのような条項を定めるか(=<アレフガルドにどう行って、ゾーマを倒すのか>)については自分で考えましょうというスタンスである。
もうこうなると攻略本というか、ゲームブック(双葉社)ではないのか、と思わせることすらあると言える。ちなみに、筆者は双葉社ゲームブックのうち、『スウィートホーム 魔性の棲む館』に幼少期に大きな影響を受け、いま、国内医療セキュリティに向き合うことになったと言ったら過言であるが、かなり今も思い出すことがある。
ところで、医療情報システム・サービスの提供形態等(=<ドラクエ3のプレイの仕方>)により、常に正解となる契約内容は存在しない。
ただ、色々な空間を飛び回るための、リモートメンテナンス用のVPN機器の管理(=<ラーミアの使い方>)もよく分からない医療現場にとっては、もう一歩踏み込んだ、具体的な契約内容を検討する上でのヒント(=<昔の「ファミリーコンピュータマガジン」や「マル勝」「ファミ通」のゲーム攻略紹介>)が望まれるものと想定される
上記の認識のもと、「ヘルスケア」分科会の第21期ワーキンググループ(=<リメイク版ドラクエ3攻略隊>)は、契約検討確認表(=<対バラモス戦攻略本>)をベースに、それを実務により落とし込んだ(=<ゾーマ戦に向けてどう備えるか>)について、本資料の作成・公開を行っている。
こうした状況を踏まえ、24年12月のIDFコミュニティにおいては、[ゲームクリア後]の取組(むしろ今のゲームはクリア後の<余生>が長い)、つまり、「医療機関等へのシステムの無事な導入」=ゲームをクリアした後に広がる、+αの世界(システム運用時代の世界)における、セキュリティをめぐる正しいリスクコミュニケーションのあり方を解説する予定である。
ただ、こうした団塊ジュニア世代前後向けのターミノロジーが通用することも一つの問題系だが、これは根が深すぎるので、そのうち。
以上
【著作権は、江原氏に属します】