【医療関係向け】3省2ガイドラインに準拠するクラウド選定のポイント

医療DXの進展に伴い、電子カルテや医療情報の外部保存（クラウド化）が急速に進んでいます。しかし、医療情報は極めてセンシティブな内容のものが多く、サイバー攻撃の標的になりやすいため、厚生労働省・総務省・経済産業省が定める「3省2ガイドライン」への準拠が不可欠です。

本記事では、ガイドラインの概要を整理したうえで、医療機関やベンダーがクラウドサービスを選定する際に最も重視すべき「データ保管場所（国内リージョン）」と「ランサムウェア対策（オブジェクトロック）」の重要性について、最新のセキュリティ要件を交えて解説します。

3省2ガイドラインとは

医療情報システムの導入や運用において、セキュリティ対策の基準となるのが「3省2ガイドライン」です。まずはその全体像と、なぜ今対策が急務とされているのか、その背景を解説します。

3省2ガイドラインの構成

「3省2ガイドライン」とは、以前は3つの省庁がそれぞれ発行していたガイドラインを整理・統合した総称です。現在は以下の2つのガイドラインで構成されています。

厚生労働省「医療情報システムの安全管理に関するガイドライン（第6.0版）」

主に医療機関を対象としたガイドラインです。病院、診療所、薬局などが、患者の電子カルテなどの医療情報を適切に管理・運用するための指針が示されています。

参照：厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）｜厚生労働省」

経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」

主にシステム・サービスを提供するベンダーを対象としています。医療機関と契約し、電子カルテシステムやクラウドサービスなどを提供する事業者が遵守すべき安全管理措置が定義されています。

参照：経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」

ガイドライン制定の背景

このように厳格なガイドラインが定められている背景には、医療機関を狙ったサイバー攻撃の激化があります。特に、データを暗号化して身代金を要求する「ランサムウェア」や、感染力が強いマルウェア「Emotet（エモテット）」による被害が、国内外の医療機関で多発しています。

医療情報は患者の病歴や身体的特徴を含む「要配慮個人情報」です。漏洩や紛失は患者の生命やプライバシーに直結するため、一般の情報システム以上に高水準の安全管理が求められます。ガイドラインへの準拠は、単なる推奨事項ではなく、医療の信頼と継続性を守るための必須条件と言えるでしょう。

ガイドライン準拠のクラウド選定ポイント1：データの保管場所

医療情報のクラウド保存を検討する際、真っ先に確認すべきなのが「データが物理的にどこにあるか」という点です。ガイドラインに準拠した運用を行ううえで、なぜ「国内リージョン」が重要なのかを解説します。

国外法適用のリスク

クラウドサービスを利用して医療情報を外部保存する場合、ガイドラインでは「情報を保存する国・地域」や「その国における国外法の適用可能性」を確認することを求めています。もし、データセンターが海外にある場合、その国の法律（例えば、捜査機関によるデータ差し押さえ権限など）が適用されるリスクがあり、日本の法律では想定していない形でのデータ開示やアクセス制限を受ける可能性が否定できません。

また、医療機関側が「データがどこにあるか把握していない」状態は、管理責任を果たしているとは言えません。物理的なデータの所在が「日本国内（東京・大阪など）」であることが明確なサービスを選ぶことは、予期せぬ法的リスクを回避し、コンプライアンスを遵守するうえで大きな安心材料となります。

BCPにおけるリージョンの役割

災害大国である日本において、医療機関のBCP（事業継続計画）対策は急務です。ガイドラインにおいても、災害やシステム障害発生時に診療を継続できるよう、データのバックアップ体制を整えることが求められています。ここで重要になるのが、リージョン（データセンターのエリア）の選択です。

特定の地域で大規模災害が発生した場合、データを守るうえで有効なのが遠隔地でのバックアップです。しかし、前述の通り海外への保存には法的な懸念が残ります。そのため、「国内法が適用される範囲内」かつ「地理的に離れた場所（例：東京と大阪）」でデータを冗長化（二重化）することが、コンプライアンス遵守と可用性の確保を両立させるための理想的な解決策となります。

ガイドライン準拠のクラウド選定ポイント2：ランサムウェア対策と「真正性」の確保

クラウド選定のもう一つの重要な基準が、ランサムウェア対策です。ガイドラインで求められる「情報の真正性」を守るために、どのような技術的対策が必要かを見ていきましょう。

医療機関を狙うランサムウェアの脅威

近年、ランサムウェア攻撃により電子カルテシステムが暗号化され、診療停止に追い込まれる事例が後を絶ちません。2022年には大阪急性期・総合医療センターでシステム障害が発生し、通常診療が長期間行えなくなる深刻な事態も発生しました。

攻撃の手口は巧妙化しており、本番環境のデータだけでなく、バックアップデータそのものを狙って暗号化・破壊するケースも増えています。従来のように「データをコピーして保存しておけば安心」という考え方は通用しなくなっており、バックアップデータがウイルス感染や不正アクセスによって書き換えられないようにするための「強固な仕組み」が必要とされています。

ガイドラインが求める「真正性の確保」と「復旧」

ガイドラインでは、医療情報の安全管理において、以下の3つの要素（情報セキュリティの3要素）の確保を求めています。

• 機密性：許可された人だけがアクセスできること

• 完全性（真正性）：情報が破壊・改ざんされていないこと

• 可用性（見読性・保存性）：必要な時にいつでも情報を使え、復元できること

特にランサムウェア対策としては、一度保存したデータが不正に改ざん・消去されない「真正性」の確保が重要となります。

ここで有効なのが、クラウドストレージの「オブジェクトロック（イミュータブルストレージ）」機能です。この機能を設定すると、指定した期間は管理者であってもデータの変更や削除ができなくなります。この結果、万が一ランサムウェアがシステム内に侵入しても、バックアップデータは「書き換え不可能」な状態で保護されるため、感染前のクリーンな状態に復旧することが可能です。

医療機関・ベンダーが具体的に確認すべきチェック項目

実際にクラウドサービスを選定・導入する際、医療機関とシステムベンダーそれぞれが確認すべき具体的なアクションリストは以下の通りです。

医療機関向けの確認事項

医療機関のシステム担当者は、外部保存を委託する事業者が十分なセキュリティ水準を満たしているかを確認する責任があります。

• 第三者認証の取得確認：委託先のクラウド事業者が、ISMS認証（ISO/IEC 27001）やプライバシーマーク（Pマーク）を取得しているかを確認してください。これらは情報セキュリティ管理の仕組みが整っていることの証明になります。

• チェックリストの活用：厚生労働省が公開している「医療機関におけるサイバーセキュリティ対策チェックリスト」を活用しましょう。特に、「データやシステムのバックアップの実施と復旧手順を確認しているか」という項目は、ランサムウェア対策の実効性を測るうえで重要です。

システムベンダー向けの確認事項

医療機関にシステムを提供するベンダーは、説明責任を果たす必要があります。

• リスク情報の提供と合意：医療機関に対し、リスクアセスメントの結果や、データの物理的な保存場所（国内かどうか）を明示的に説明し、SLA（サービスレベル合意書）を締結しているか確認します。

• 復旧アーキテクチャの確立：提供するシステムが、ランサムウェア攻撃を受けた際に、オブジェクトロックされたバックアップデータ等を用いて迅速に復旧できる設計（アーキテクチャ）になっているかを見直します。

まとめ

3省2ガイドラインは、患者の命とプライバシーを守るために、医療情報を扱うすべての関係者が準拠すべき重要な指針です。クラウド選定においては、単なるコスト比較だけでなく、「データが国内リージョンに保管され、法的リスクがないか」、「オブジェクトロック等の機能でランサムウェアからデータを守れるか」が極めて重要な判断基準となります。

Wasabiのクラウドストレージは、日本国内（東京・大阪）のリージョンを選択可能で、ランサムウェア対策として有効なオブジェクトロック機能を標準で提供しています。ガイドラインの安全管理措置に適合する堅牢なデータ保護基盤として、ぜひご検討ください。