近年、クラウド上で稼働するアプリケーションサービスを提供するASP・SaaS事業者が増えている中、医療分野でもクラウドサービスの活用が急速に進みつつある。クラウド化への期待が高まる一方で、セキュリティ上の課題も出てきている。
　2018年度初め「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」（総務省）が改定される。
　本ガイドラインは、厚生労働省の「医療情報システムの安全管理に関するガイドライン」に対してASP（Application Service Provider）・SaaS（Software as a Service）・クラウド事業者の観点から追加・補強したもので、対象範囲は個人情報保護の観点から「医療・介護事業者における個人情報の適切な取扱いのためのガイドライン」（厚生労働省）及びそこから参照する「医療情報システムの安全管理に関するガイドライン」（厚生労働省）と同一である。医療情報の処理をASP・SaaSで提供する事業者や団体などが（ただし、医療情報の外部保存のみをサービスとして提供する者は含まない）、実施すべき情報セキュリティ対策、組織・運用および物理的・技術的・人的安全対策、医療機関の管理者との責任分界の考え方や安全管理の実施における医療機関との合意形成のあり方などが示されている。
　昨今、母子健康手帳、健診・各種検診、生活習慣病の疾病管理、医療・介護連携など、国民ひとり一人が自らの健康・医療・介護情報を、クラウド等を使って管理・活用する仕組み（PHR（Personal Health Record））が示され、また、医師が患者と対面せずに診察をする「遠隔診療」は「オンライン診療」と呼称を統一し、本人確認の仕方、適切な通信環境など、遠隔診療を実施する際に必要なルールのガイドラインが今年度末に策定される。今回の改定ではこれらに対応した内容が盛り込まれる予定である。
　本チュートリアルでは、今回のASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドラインの改定のポイントと、関連するガイドラインの最新情報をお届けする。