「カルテの保存は、期間に関して法律はあるけど、他に気をつけることはある?」
「電子カルテの導入時には、どのようなセキュリティ対策をしたらよい?」と疑問に思っている方もいるのではないでしょうか。
医療情報は、適切に保存されなければいけません。保存に関して、十分な対策をとっていなければ、大きなトラブルの原因にもなりかねません。
そこで今回は、電子カルテを導入する際に知っておきたい「三原則」について解説します。本記事を読むことで、具体的なセキュリティ対策について理解でき、正しい保存方法について知ることができます。ぜひ参考にしてください。
電子カルテの導入時に知っておくべき「保存の三原則」
病院情報である電子カルテには、保存義務があります。保存する際には、情報の「真正性」「見読性」「保存性」が確保されなければいけません。いわゆる「電子保存の三原則」です。
この3つの基準について記載されているのは、厚生労働省から出されている「医療情報システムの安全管理に関するガイドライン」です。それぞれの基準が確保されるために「最低限のガイドライン」つまり、必ず実施しなければいけない対策もガイドラインの中で講じられています。
電子カルテを保存する場合には、3つの基準が確保される必要があります。ガイドラインに沿って、対策をとりましょう。
三原則①真正性
1つめの基準は「真正性」です。紙カルテに比べると、筆跡などがないため、電子カルテは上書きしやすくなりました。しかし、保存されているデータや情報が、間違いでないこと、正確で信憑性が高いものでなければいけません。
厚生労働省「医療情報システムの安全管理に関するガイドライン」では、以下の2つの要件が示されています。
- 故意または過失による虚偽入力、書換え、消去および混同を防止すること
- 作成の責任の所在を明確にすること
以上の要件を満たすために、必ず実施しなければならない対策についてもガイドラインに記載されています。
- 入力者および確定者の識別・認証
- 記録の確定手順の確立と、識別情報の記録
- 更新履歴の保存
- 代行入力の承認機能
- 機器・ソフトウェアの品質管理
具体的には、カルテを入力する利用者には、認識番号やパスワード、指紋認識などのシステムを導入し、権限のない者が扱えないようにする、更新履歴を保管できる機能をもたせるなど、といった対策があります。
他にも施設の中で、「作業終了・離席時には必ずログアウトする」などのルールを決めておくことも必要です。
以上のように「真正性」をたもてるよう、電子カルテの導入の際には、セキュリティに関するシステムを取り入れておくことが求めらます。また、システム面だけでなく、カルテを扱うスタッフが、ルールやマニュアルを厳守するように教育・訓練をおこなうことも大切です。
三原則②見読性
2つ目の基準は「見読性」です。現在では、カルテ開示もされることもあり、医療従事者以外でもカルテを見る機会があります。そのため、入力されているデータが、患者さんなど、一般の方でもスムーズに理解できるように記載されてなければいけません。
厚生労働省「医療情報システムの安全管理に関するガイドライン」では、以下の2つの要件が示されています。
- 情報の内容を必要に応じて肉眼で見読可能な状態に容易にできること
- 情報の内容を必要に応じて直ちに書面に表示できること
以上の要件を満たすために、必ず実施しなければならない対策についても記載されています。
- 情報の所在管理
- 見読化手段の管理
- 見読目的に応じた応答時間
- システム障害対策としての冗長性の確保
具体的には、電子カルテの運用の管理者は、情報の所在確認を定期的におこなうこと、障害時の対応の体制を常に最新のものに更新し、データのバックアップが正常におこなわれるように確認する、などの対策です。
災害やシステム障害が起こった場合でも、できる限り早く復旧できるように務め、記録の監査や訴訟などにも対応できるようにしておく必要があります。電子カルテのデータは、誰でも、いつでも、見ることができる状態を保っておきましょう。
三原則③保存性
3つ目の基準は「保存性」です。法律で定められた期間、復元が可能な状態で保存しておかなければいけません。データは簡単に消去できるものです。データがなくなった場合でも、すぐに復元できるようにしておく必要があります。
厚生労働省「医療情報システムの安全管理に関するガイドライン」では、以下の要件が示されています。
- 電磁的記録に記録された事項について、保存すべき期間中において復元可能な状態で保存することができる措置を講じていること
以上の要件を満たすために、必ず実施しなければならない対策についても記載されています。
- 不正ソフトウェアによる情報の破壊、混同等の防止
- 不適切な保管・取扱いによる情報の滅失、破壊の防止
- 記録媒体、整備の劣化による情報の読み取り不能又は不完全な読み取りの防止
- 媒体・機器・ソフトウェアの不整合による情報の復元不能の防止
具体的には、定期的にソフトウェアのウイルスチェックをおこない、感染の防止に努めること、品質の劣化が考えられる記録の媒体がある場合、あらかじめ他の媒体にバックアップしておくこと、などの対策です。
常に復元可能な状態にしておくためには、バックアップが重要です。システムの管理者は、データを安全に保存するだけでなく、万が一に備え、バックアップしておかなければいけません。
電子カルテの保存期間
電子カルテの保存には、定められた期間があります。保存期間は、紙カルテと同じです。故意でなくても、カルテを紛失や消去をしてしまうと、法律に違反してしまいます。
カルテには、患者の情報だけでなく、治療記録が記載されています。もし、裁判になるようなことがあった場合、医療行為の証拠になるのがカルテです。患者の治療が問題なく行われていることを、カルテで証明することができます。しかし、もし法律に定められた期間、保存していなければ、不利な状況になってしまうでしょう。
カルテの保存期間は重要であるため、しっかり理解しておく必要があります。
電子カルテの保存の必要性については「電子カルテの保存期間とその重要性について細かく解説」にまとめていますので、参考にしてください。
ペナルティに関して
三原則はあくまでガイドラインであるため、法的なペナルティを課されることはありません。しかし、医療情報の取り扱いに関して、適切に行わなければ、関係する法律に触れることになります。
例えば、電子カルテの保存する場合です。三原則の「保存性」を遵守していても、保存期間は決められた期間でなければいけません。期間を守らなければ、法律に反することとなります。その他にも、個人情報保護法など、関連する法令があるので、医療情報の取り扱いには気をつける必要があります。
「三原則」はガイドラインですが、とりあえず守っておこうと思うのではなく、厳守することが望ましいでしょう。
3省2ガイドライン
電子カルテの導入時に知っておくべきガイドラインです。3省とは「厚生労働省・経済産業省・総務省」のことです。
3省から定められた、医療情報に関するガイドラインが2つあります。
- 厚生労働省医療情報システムの安全管理に関するガイドライン
- 経済産業相・総務相医療情報を取り扱う情報システム・サービス事業者における安全管理ガイドライ
サイバーテロなどは、電子カルテのセキュリティを脅かす存在です。患者のプライバシーに関する情報が電子カルテに保存されており、場合によっては生命を左右するデータもあります。万が一、医療情報が不正にアクセスされるようなことがあれば、大きな混乱が起きるでしょう。
サイバーテロやシステムの不具合を起こさないためにも、3省2ガイドラインに基づき、電子カルテを扱っていく必要があります。
電子カルテのセキュリティを脅かす、サイバーテロに関して、詳しく知りたい方は「電子カルテへのサイバー攻撃の原因と対策を理解しておこう!」をぜひ読んでください。
三原則を守るには?電子カルテの種類別に解説
電子カルテには「オンプレミス型」と「クラウド型」の2種類があり、それぞれ、セキュリティシステムに違いがあります。そのため、セキュリティ対策の取り方が異なってきます。オンプレミス型かクラウド型か、それぞれのセキュリティ面の特徴を把握し、対策を講じましょう。
セキュリティ面において、どちらにもメリットとデメリットがあるため、どちらかが優れているというわけではありません。施設の運用や使い方によって、どちらかの電子カルテを選ぶとよいでしょう。
オンプレミス型電子カルテ
保存場所の安全性を高めておく必要があるのが、オンプレミス型の電子カルテです。オンプレミス型では、施設内にデータを保存しています。施設内にデータがあるので、安全に感じるかもしれませんが、火災などの災害が起きた場合は、危険です。そのため、災害時にも対応できるよう、バックアップをとっておことがよいでしょう。
しかし、オンプレミス型の場合、サイバーテロなどに対し、細かくセキュリティを設定することができます。カスタマイズしやすいため、施設にあったセキュリティ対策をおこなうことができるのが、オンプレミス型のメリットです。
クラウド型電子カルテ
真正性を確保するのに心配な面があるのが、クラウド型の電子カルテです。データはネットワークを経由し、保存されるため、情報が漏洩するリスクがあります。そのため、クラウド型を導入する場合は、安全性の高いメーカーを選ぶことをおすすめします。しかし、自然災害に強いのがクラウド型の特徴です。クラウド型は、データを保存しているセンターが災害に強い立地・構造になっています。また、定期的にバックアップデータを取得しているメーカーも多いため、保存性は高いといえます。
その他にも、クラウド型電子カルテに関して、詳しく知りたい方は「クラウド型電子カルテのメリット・デメリットを紹介」を参考にしてください。
医療情報のバックアップ
定期的なバックアップは、とても重要です。サイバーテロや災害時に、医療情報が使えなくなると、病院の機能が止まってしまう恐れがあります。バックアップをきちんとおこなっていれば、想定外のできごとが起こることがあっても、大きな被害を受ける前に対応することができるでしょう。
また、バックアップする場所は、ネット環境がなく、災害を受けにくいところにすることで、安全性が高まります。非常時に備え、データを複製して、安全な場所に保管しましょう。
システムが使えない場合の対策
電子カルテのシステムダウンを防ぐだけでなく、システムが使用できなくなった場合の対応を備えておくことは重要です。
例えば、紙の伝票を残しておくことです。正式な文書として使えるように、2号用紙などを置いておくとよいです。システムダウンが解消されるまでは、紙カルテで運用をできるように準備しておきましょう。
また、紙カルテの運用も含めた、トラブル発生時のマニュアルの作成が必要です。そして、日頃からトラブルを想定した訓練もおこなうことも大切です。
システムダウン発生時は、大きな混乱が予想されます。施設の機能が停止しないように、十分に対策を立てておきましょう。
三原則に基づく電子カルテ導入時の紙カルテの取り扱い
電子カルテを導入する際、既存のカルテのデータを電子化し、保存するにはいくつかの点に気をつける必要があります。
紙カルテのデータを電子化する場合にも、保存の三原則に基づき、適切な方法で行わなければいけません。
紙カルテを電子化するために、スキャンしPDFにします。しかし、スキャンしただけでは、公的な文書としては認められません。正確な情報であると公的に証明されるためには、電子署名などが必要になります。
電子カルテの導入時には、新しいデータだけでなく、今まで使用していた紙カルテの取り扱いにも注意しましょう。
電子データ化する
電子カルテを導入する際には、今まで使用していた紙カルテをスキャンし、PDFなどに変換して取り込むことができます。もちろん、取り込まずに、併用することも可能です。
紙カルテが膨大にあるなど、施設で紙カルテの電子化の作業ができない場合は、専門の業者に依頼することも可能です。どちらにしろ、今まで使用していた患者の情報をデータ化することで、導入した電子カルテでも情報を閲覧することが可能になります。電子カルテだけで医療情報を確認できることで、業務がさらに効率化するでしょう。
スキャンだけでは「カルテ」として認可されない
紙カルテは、スキャンしただけでは、公的な文書として認められません。データを読み込むだけでは、カルテ保存の「真正性」を確保することができない恐れがあるからです。
そのため、電子化した紙カルテが認可されるようにするためには「電子署名」か、公認された「タイムスタンプ」が必須です。スキャンに関してのルールや取り扱いなどは、厚生労働省から通達された「診療録等をスキャン等により電子化して保存する場所について」に記載されています。カルテをスキャンする際には、参考にしましょう。
電子データ化した後の紙カルテ
スキャンされた文書は破棄することも可能ですが、保存することをおすすめします。データ化したカルテに不備があった場合に、原紙の確認や修正をする必要があるからです。しかし、紙カルテを保存するのには、場所も必要になります。施設によっては、保管場所を確保するのが難しいこともあるでしょう。
施設によって、スキャンされた紙カルテの保管期間はそれぞれです。しかし、「真正性」や「保存性」の面から考えると、すぐに破棄することは避けておいた方がいいかと思います。
紙カルテの置き場所
紙カルテの保管場所を、内部にするか外部にするか、施設によって異なります。施設内に保管することは、すぐに閲覧することができるというメリットがあります。しかし、紙カルテがよい状態で保管できるように、温度や湿度といった環境の整備が必要になります。また、もちろんのことスペースの確保が必要です。一方、外部に保管する場合には、施設内でスペースを確保の問題はないでしょう。もし、外部でカルテの保存を業者に依頼する場合、セキュリティ対策を万全におこなっているところを選びましょう。セキュリティ対策が高い業者に頼むことで、安心してカルテの保管を任せることができます。
施設の内部にカルテを保管する際には、以下のようなルールを決めておくとよいでしょう。
- 院外への持ち出しを厳禁
- 貸出、閲覧できる人を限定
- 保管室への無断入室を禁止
- 無断の持ち出しを禁止
- 保管室の鍵は、担当管理者が管理する
以上のような対策をとり、紙カルテの取り扱いを慎重に行いましょう。
まとめ
そのため、電子カルテの導入時には、厚生労働省のガイドラインに沿って、自分の施設にあったセキュリティ対策をおこなう必要があります。ガイドラインを守らないことで、ペナルティはありませんが、関連する法律には触れる可能性があるので、注意しましょう。また、紙カルテをデータ保存するときには、保存したデータが公認されるために、電子署名やタイムスタンプが必要になります。ガイドラインに沿って、紙カルテの電子化を確実に行いましょう。
電子カルテの導入によって、医療の現場では効率化が図れ、他施設とのネットワークがつくりやすくなりました。しかしその反面、サイバーテロなどの問題も生まれました。医療情報には、患者さんの生命を左右するような内容も含まれています。適切に取り扱っていないと、患者や家族、病院全体も大きなトラブルに巻き込まれます。そのため、医療情報が入力されている電子カルテは、法律やガイドラインに沿って、正しい方法で取り扱っていきましょう。