COLUMN
「3省2ガイドライン」とは?策定の経緯とセキュリティ対策の重要性
公開日:2025年10月1日
医療情報システムやサービスは人々の生活や健康を支えるものであり、提供時には医療情報や患者情報を保護するための、セキュリティ対策が必ず求められます。
そこで重要となるのが、「3省2ガイドライン」とよばれるガイドラインです。
医療機関や医療情報システムにセキュリティ対策が求められる背景
「3省2ガイドライン」の説明に入る前に、まず医療業界でなぜサイバーセキュリティ対策が必須とされているのかを確認しておきましょう。
2018年頃から、医療業界でWeb技術やクラウドサービスの利用が増え始めました。しかし、それに伴ってサイバー攻撃をはじめとするインシデントの件数も増加傾向にあります。
実際2022年10月には、大阪府内の医療機関がサイバー攻撃の被害に遭う事例も発生しています。
このような状況下で考えなくてはならないのが、医療機関ごとのサイバーセキュリティ対策です。
各医療機関でも電子カルテや電子処方箋など、さまざまなかたちでWebやクラウドサービスの利用が普及してきています。
これにより利便性が向上した一方で、上記で言及した脅威にさらされるリスクも高まってしまったため、患者や医療体制を守るための新たな取り組みが必要となりました。
医療機関や医療情報システムに高度なセキュリティ対策が求められる背景には、こういった事情があるのです。
なお、政府もこの状況の重大性は認識しており、今回紹介する「3省2ガイドライン」の策定など、医療業界におけるセキュリティ対策の強化に向けた取り組みを推進しています。
その詳細は次項にて説明しているので、引き続きご覧ください。
参照元:厚生労働省「病院で発生した深刻なサイバー攻撃、当事者が被害と対策の全容を語る(1)」
政府の動向
医療業界でのサイバーセキュリティ対策に関する政府の動向を、年表とともに振り返りましょう。
医療情報システムのセキュリティに関する政府の動向
|
年度 |
政府の動向 |
備考 |
|---|---|---|
|
2005年3月 |
厚生労働省「医療情報システムの安全管理に関するガイドライン 第1版」策定 |
|
|
2008年7月 |
経済産業省「医療情報を受託管理する情報処理事業者における安全管理ガイドライン」策定 |
のちに提供事業者ガイドラインに統合 |
|
2017年5月 |
厚生労働省「医療情報システムの安全管理に関するガイドライン 第5版」策定 |
|
|
2018年8月 |
総務省「クラウドサービス事業者が医療情報を取り扱う際の |
総務省のASP・SaaSに関する2つのガイドラインを統合 |
|
2023年4月 |
厚生労働省「医療法施行規則の一部を改正する省令 |
|
|
2023年5月 |
厚生労働省「医療情報システムの安全管理に関するガイドライン 第6版」策定 |
|
|
2023年6月 |
厚生労働省「令和5年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」公表 |
提供事業者は、「MDS/SDS」の提出も必要となった |
|
2023年7月 |
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの |
|
|
2024年6月 |
・厚生労働省「令和6年度版 医療機関におけるサイバーセキュリティ対策チェックリスト」公表 |
|
|
2024年10月 |
経済産業省・総務省「医療情報を取り扱う情報システム・サービスの |
引用元:
FUJISOFT Technical Report「医療情報システム開発における「3省2ガイドライン」と、関連する政府からの通知への対応について」
上記の年表からわかる通り、2005年という比較的早い段階で厚生労働省がガイドラインを策定しています。
その約3年後に経済産業省が、そして約10年後に総務省がそれぞれ医療情報システムに関するガイドラインを定めました。
この3種のガイドラインは当初「3省3ガイドライン」としてまとめられ、これが後の「3省2ガイドライン」のベースとなります。
「3省2ガイドライン」とは
「3省2ガイドライン」とは、医療機関向けの「医療情報システムの安全管理に関するガイドライン」、そして提供事業者向けの「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の総称です。
なお、上記のうちシステム・サービスの提供事業者が準拠すべきものは、後者のガイドラインとなります。
もともとこのガイドラインは、先の表内に記載があった以下の3種から構成され、「3省3ガイドライン」と呼称されていました。
3省3ガイドラインを構成する3つのガイドライン
|
ガイドライン名 |
公開元 |
対象機関 |
|---|---|---|
|
医療情報システムの |
厚生労働省 |
医療機関 |
|
医療情報を受託管理する |
経済産業省 |
医療情報システムを受託管理する情報処理事業者 |
|
クラウドサービス事業者が医療情報を取り扱う際の |
総務省 |
クラウドサービス事業者 |
このように、当初は各ガイドラインの対象機関が個別に分かれていましたが、医療業界でもクラウドサービスの利用が一般化した影響により、この点を見直す必要が生じます。
クラウドサービスを利用する際に準拠すべきガイドラインが2つ存在することで、提供事業者に大きな負担がかかっていたためです。
この問題を解消すべく、政府は2020年8月に経済産業省と総務省のガイドラインを統合します。
これにより新しく「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」が策定され、結果として現在の「3省2ガイドライン」体制になった、という経緯があります。
「医療情報システムの安全管理に関するガイドライン」の概要
「3省2ガイドライン」のうち、医療情報システムの安全管理に関するガイドラインは医療機関を対象とするものです。
医療機関における医療情報の漏洩や外部からの攻撃を防止し、患者が安心して質の高い医療を受けられるようにすることを目的としています。
本ガイドライン内では、医療機関が実施すべきこととしていくつかの事項を指定しています。
その概要が以下の通りです。
医療機関が行うべき主な内容
-
セキュリティの責任者を置く
-
アクセスを適切に制御する
-
IoT機器を管理する
-
パソコンの外部持ち出しに関する⽅針や規程を整備する
-
BYODを原則禁止する
-
サイバー攻撃などへの対応を行う
-
重要なデータをバックアップする
-
データを破棄する際は適切な処理を施す
このほかにも、医療情報システムの運用時に守るべき事項が、経営管理の観点やシステム運用の観点などに分けられて詳細に記載されています。
なお、医療情報システムの安全管理に関するガイドラインは、“安全管理ガイドライン”という略称でよばれる場合もあります。
本記事内でも略称にて記載する部分がありますので、ご了承ください。
参照元:
厚生労働省:「医療情報システムの安全管理に関するガイドライン」とは」1~3ページ
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の概要
対して「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、すでに述べた通り提供事業者が準拠すべきものとして定められています。
具体的には、提供事業者が守るべき安全管理措置や、医療機関との契約・責任分担、リスクマネジメントの実施方法などが記載されています。
提供事業者として医療情報システムの開発・運用に関わる場合は、本ガイドラインの内容に準拠したセキュリティ対策を講じなくてはなりません。
そのためにも、事前にガイドラインの内容を一通り把握し、対応が漏れることがないように徹底することが求められます。
なお、本ガイドラインは“提供事業者ガイドライン”と略される場合もあります。
以降、本記事内でも略称にて記載する部分がありますので、ご了承ください。
参照元:
経済産業省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第 2.0 版」5ページ
医療機関に対するサイバーセキュリティ確保の義務化
「3省2ガイドライン」が策定されたことで、医療機関でのサイバーセキュリティ対策が一定強化された側面はあるでしょう。
しかし実態としては、医療機関でのセキュリティインシデントの件数はその後も増加傾向にありました。
こうした状況のなか、サイバーセキュリティに関する取り組みの実効性を高めることを目的に、厚生労働省から「医療法施行規則の一部を改正する省令」が2023年の3月に公布されます。
これにより、医療機関ではサイバーセキュリティ確保のための措置を講じることが義務化されました。
また、サイバーセキュリティ対策に必要な措置を講じる際は、「安全管理ガイドライン」を参照する必要があるということも留意事項として示されました。
医療機関が「安全管理ガイドライン」を守らなくてはならないということは、当然、医療情報システムを提供する事業者も、医療機関が同ガイドラインを守れるように対応しなければなりません。
そのためには提供事業者ガイドラインを遵守する必要があり、結果として「3省2ガイドライン」への対応も必要となるわけです。
参照元:
厚生労働省「医療法施行規則の一部を改正する省令について」1~2ページ
医療機関におけるサイバーセキュリティ対策チェックリスト
医療機関におけるサイバーセキュリティ対策は義務化されたものの、取り組みは依然として進まない状況が続いていました。
安全管理ガイドラインの内容が、詳細かつ多岐にわたるため、サイバーセキュリティに関する知見がない医療機関では対応が困難であったためです。
この状況を打開すべく、厚生労働省は「医療機関におけるサイバーセキュリティ対策チェックリスト」を公開します。
このチェックリストは、ガイドラインのなかでも特に優先的に取り組むべき事項が一覧形式でまとめられたものです。
これを足がかりとして医療機関にサイバーセキュリティ対策に取り組んでもらう、というのが厚生労働省の目的であったと考えられます。
なお、本チェックリストは「医療機関確認用」と「事業者確認用」の2つに分けられているため、医療機関と提供事業者のそれぞれが内容を確認する必要があります。
また、「医療法第25条第1項の規定に基づく立入検査要綱の一部改正について」によって、各都道府県で実施される医療機関での立入検査でも、本チェックリストの適応状況が確認されることとなりました。
ここで注意すべきなのが、事業者確認用のチェックリストもこの立入検査での確認対象となる点です。
チェックリストは年度ごとに用意されており、年度末(3月末)までにはすべて対応済みとしなくてはなりません。
よって提供事業者も、上記の期日までにチェックリストの対応を完了し、システム・サービスを提供する医療機関へ提出することが求められます。
上記のほか、年度が変わるとチェックリストの内容が更新されることも留意する必要があるでしょう。
たとえば令和7年度のチェックリストからは、適切なパスワードの管理・設定やUSBストレージなどの外部接続媒体への制限などに関して、新しい内容が追加されています。
前年度のチェックリストには対応できていたとしても、新年度の基準は満たせていない、という事態は当然起こり得ます。
年度が変わってチェックリストが更新されたら、迅速に変更点を洗い出して現在の適応状況を確認しましょう。
参照元:厚生労働省「令和7年度版医療機関におけるサイバーセキュリティ対策チェックリスト」
製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)
前項で述べた通り「医療機関におけるサイバーセキュリティ対策チェックリスト」への対応は、医療機関と提供事業者の双方が取り組むべき事項となっています。
そして、その一環として必要となるのが、医療機関への「製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)」の提出です。
「MDS/SDS」は、安全管理ガイドラインの内、最低限のガイドラインとして定められた、必須事項への適応状況を記載するための統一フォーマットです。
これを利用することで、提供事業者は画一的な形式でガイドラインへの適応状況を示せるようになります。
この「MDS/SDS」の提出はチェックリストの1項目として含まれているため、特に近年は医療機関から提出が求められる機会が増えつつあります。
また2025年には、厚生労働省から「MDS/SDSを保健医療情報分野の標準規格として認める」旨の周知依頼が発出されました。
これにより「MDS/SDS」の重要性が一層高まったため、提供事業者がガイドラインへの適応状況を示すための共通的なツールとして、ますます普及する可能性があるのです。
以上を踏まえると、「MDS/SDS」の作成・提出が、提供事業者にとって非常に重要な対応であることがわかります。
ただし、「MDS/SDS」の提出さえ完了すればよいというわけではなく、当然ながら、提供事業者ガイドラインで求められるリスクマネジメントを実施できていなくてはなりません。
たとえば「医療機関への医療情報システムのリスクの提示」や「医療情報システムを安全に運用するための運用管理規程の作成」などに対応済みである必要があります。
「MDS/SDS」が設けられた本来の意図を理解し、形式だけではなく実態の伴った対応を徹底することが大切です。
参照元:厚生労働省「「保健医療情報分野の標準規格(厚生労働省標準規格)について」の一部改正について」
医療情報システム・サービスの提供事業者は何をすべきか
ここまでに説明してきた通り、医療機関でのサイバーセキュリティを確保するために政府はさまざまな取り組みを行ってきました。
そのなかでも提供事業者が優先的に対応すべきものが、「3省2ガイドライン」だといえるでしょう。
3省2ガイドラインに準拠する事で、MDS/SDSやチェックリストへ適切に対応できるということです。
以上を踏まえると、医療機関におけるサイバーセキュリティ対策のために提供事業者が実施すべきことは以下にまとめられます。
医療情報システム・サービスの提供事業者が優先して取り組むべき対応
-
「提供事業者ガイドライン」への準拠
-
「MDS/SDS」の作成
-
「サイバーセキュリティ対策チェックリスト(事業者確認用)」の作成
繰り返しにはなりますが、MDS/SDSというのは、安全管理ガイドラインに準拠できているかどうかをチェックするためのリストです。
また提供事業者ガイドラインは、システムを提供する際に、安全管理ガイドラインに準拠するために何をすべきかが記載されたものです。
つまり、提供事業者ガイドラインにしたがってシステム開発を行うことが、安全管理ガイドラインへの準拠、さらにはMDS/SDSの適切な更新へとつながるのです。
3省2ガイドラインへの対応でお困りなら富士ソフトにお任せください
ガイドラインやチェックリストへの準拠が重要であることは間違いありませんが、容易に対応できる内容ではないこともまた事実です。
「自社だけで果たして問題なく対応できるかどうか……」と不安に感じることもあるでしょう。
その際は、ぜひ一度富士ソフトにご相談ください。
富士ソフトでは、「3省2ガイドライン」への対応を支援するコンサルティングサービスを提供しております。
以下に示した多種多様な支援により、同ガイドラインへのスムーズな対応を実現します。
3省2ガイドライン対応支援コンサルティングサービスの支援内容
-
技術者目線で実践的なコンサルティング
-
コンサルティングから文書作成までトータルサポート
-
必要なひな形やサンプルを全てご用意
「リスクアセスメントだけ任せたい」「文書に関するサポートだけ対応してほしい」など、ご要望に応じて部分的にサポートを提供することも可能です。
また、上記とは別に「MDS/SDS」の作成支援に特化したサービスもご用意しております。
こちらのサービスでは以下のサポートを提供し、「MDS/SDS」に記載する内容の精査、およびフォーマットへの適合状況の確認を行います。
製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)作成支援サービスの支援内容
-
MDS/SDSの当社独自のチェックリストの提供・解説
-
MDS/SDSチェックリストを使ったチェックサポート
-
チェック結果の妥当性評価
上記のサービスのより詳細な情報は以下から確認可能です。
「3省2ガイドライン」そして「MDS/SDS」に関わる懸念点を払拭したいお客様は、ぜひお問い合わせください。
3省2ガイドライン対応支援コンサルティングサービスはこちら
製造業者/サービス事業者による医療情報セキュリティ開示書(MDS/SDS)作成支援サービスはこちら
医療情報システム・サービスの提供時は、「3省2ガイドライン」への準拠が必要不可欠
今回は、医療業界でサイバーセキュリティ対策が求められる背景、そして「3省2ガイドライン」に準拠することの重要性を解説しました。
医療機関がサイバーセキュリティ対策を実践するうえでは、「安全管理ガイドライン」を守ることが必要不可欠です。
また、必然的に医療情報システムの提供事業者も、医療機関が同ガイドラインを守れるように対応しなければなりません。
そしてそのためには、提供事業者ガイドラインの遵守も必要となり、結果として3省2ガイドラインへの対応も求められるというわけです。
自社だけで3省2ガイドラインへ対応するのが困難な場合は、専用のコンサルティングサービスを提供する富士ソフトにご相談ください。
リスクマネジメントのコンサルティングから文書作成の支援など、お客様のご要望に合わせたサービスを提供いたします。
個別相談も承っております。下記よりお申し込みください。
