監査要件ガイドライン
目的
本ドキュメントは、FastDoctorのサービス開発における監査要件と内部統制の基準を定義します。医療法規制、個人情報保護法、SOX法(該当する場合)等の法的要件を満たし、継続的な監査対応と内部統制システムの構築を支援します。
適用範囲
- 医療情報システム(電子カルテ、診療支援、患者管理)
- 決済・債権システム
- 個人情報処理システム
- システム開発・運用プロセス
- データ保存・バックアップシステム
- 外部システム連携(資格確認、他院連携)
法的要件・規制遵守
1. 医療法関連規制
医療情報システムの安全管理に関するガイドライン(第6.0版)
- 3省2ガイドライン: 厚生労働省、総務省、経済産業業省による医療情報システム安全管理ガイドライン
- 対象システム: 診療録、処方箋、検査結果等の医療情報を取り扱うシステム
- 必須要件:
- 医療情報の真正性確保
- 見読性の確保
- 保存性の確保
- システム監査の実施
監査証跡要件
【必須記録項目】
- アクセス者: 医師・看護師等の識別情報
- アクセス日時: YYYY-MM-DD HH:MM:SS(秒単位)
- 操作内容: 参照、更新、削除、出力等
- 対象データ: 患者ID、診療記録ID等
- アクセス結果: 成功・失敗、エラー詳細
- IPアドレス・端末情報: アクセス元の特定2. 個人情報保護法
要配慮個人情報の取り扱い
- 定義: 病歴、診療・調剤記録、身体・精神の障害に関する情報
- 取得時: 本人同意の明確化、利用目的の明示
- 処理時: 暗号化、アクセス制御、監査ログ記録
- 第三者提供: 同意取得、提供記録の作成・保存
データポータビリティ対応
json
{
"data_export_request": {
"patient_id": "P2025001234",
"request_date": "2025-01-13",
"data_scope": [
"medical_records",
"appointment_history",
"prescription_data"
],
"export_format": "HL7_FHIR_R4",
"audit_trail": {
"requester": "patient_self",
"approval_status": "approved",
"exported_by": "system_admin_001"
}
}
}3. サイバーセキュリティ関連法規
サイバーセキュリティ基本法
- 重要インフラ: 医療情報システムの適切な保護
- インシデント報告: 重大なセキュリティ事案の政府機関への報告
- BCPの策定: 事業継続計画の策定と定期見直し
不正アクセス禁止法
- アクセス制御: 適切な認証・認可システムの実装
- ログ監視: 不正アクセス試行の検知・記録
- フォレンジック: 不正アクセス発生時の証跡保全
4. 金融関連規制(決済システム)
PCI DSS(Payment Card Industry Data Security Standard)
- 適用範囲: payment-service、決済情報処理システム
- 要件: カード情報の暗号化、ネットワーク分離、定期監査
監査対象システム・プロセス
1. システム監査対象
医療情報システム
- online-karte-service: カルテシステム
- ai-triage-service: AI問診システム
- pf-mental-*: メンタルヘルスケアシステム
- chronic-api: 慢性期医療管理システム
API監査
- API Gateway: 全医療系APIのアクセスログ
- Lambda: 患者情報処理Functionの実行ログ
- ECS Fargate: マイクロサービス間通信ログ
2. プロセス監査対象
システム開発プロセス
- コード変更管理: Git履歴、プルリクエスト承認プロセス
- デプロイメント: CI/CDパイプラインの実行履歴
- 構成管理: Terraformによるインフラ変更履歴
運用プロセス
- システム変更: 変更申請・承認・実施・確認のプロセス
- 障害対応: インシデント記録・対応履歴
- バックアップ・復旧: データバックアップ・復旧テスト記録
内部統制監査
1. IT全般統制(ITGC)
システム開発・保守統制
- 開発プロセス: ウォーターフォール・アジャイルによる体系的開発
- 変更管理: システム変更の適切な承認・実施プロセス
- テスト管理: 単体・結合・システム・受入テストの実施確認
コンピュータ運用管理
- アクセス管理: ユーザー権限の適切な付与・削除
- データ管理: バックアップ・復旧の定期実施・確認
- システム監視: 24x7監視体制とアラート対応
プログラム変更管理
bash
# Git監査トレイル例
git log --oneline --author --date --name-status \
-- src/medical/ src/patient/ \
--since="2025-01-01" \
--pretty=format:"Commit: %H%nAuthor: %an <%ae>%nDate: %ad%nMessage: %s%n"2. 業務処理統制
診療情報管理統制
- 真正性: 電子署名、タイムスタンプによる改ざん防止
- 見読性: 診療情報の可読性確保、システム障害時の代替手段
- 保存性: 長期保存要件(5年間)の確保
患者情報アクセス統制
- 職種別アクセス制御: 医師・看護師・事務職員の役割別権限設定
- 患者同意管理: データ利用同意の記録・管理
- データ最小化: 業務に必要な最小限のデータアクセス
3. 決算・財務報告統制(該当する場合)
売上認識統制
- 予約・決済データ: 医療サービス提供と売上認識の適切性
- 返金処理: キャンセル・返金の適切な処理と記録
- 収益認識: ASC606(IFRS15)に準拠した収益認識
監査証跡・ログ管理
1. 監査ログ要件
記録対象イベント
json
{
"audit_events": {
"authentication": [
"login_success",
"login_failure",
"password_change",
"mfa_setup",
"session_timeout"
],
"data_access": [
"patient_record_view",
"medical_data_update",
"prescription_create",
"report_generate",
"data_export"
],
"system_admin": [
"user_create",
"permission_change",
"system_configuration",
"backup_restore",
"software_deployment"
]
}
}ログフォーマット標準
json
{
"timestamp": "2025-01-13T10:30:45.123Z",
"event_id": "EVT-20250113-001234",
"event_type": "PATIENT_RECORD_ACCESS",
"user": {
"user_id": "DR001234",
"role": "doctor",
"department": "internal_medicine"
},
"patient": {
"patient_id": "PT987654",
"anonymized_id": "hash:a1b2c3d4e5f6"
},
"action": {
"operation": "READ",
"resource": "/api/v1/patients/PT987654/medical-records",
"result": "SUCCESS"
},
"technical": {
"source_ip": "10.0.1.100",
"user_agent": "FastDoctor-App/2.1.0",
"session_id": "sess_abc123def456"
},
"compliance": {
"retention_period": "7_years",
"classification": "medical_record_access",
"gdpr_category": "special_category"
}
}2. ログ保存・管理
保存期間・要件
- 医療情報アクセスログ: 7年間保存(医師法に基づく)
- システム管理ログ: 3年間保存
- セキュリティログ: 1年間保存
- 決済関連ログ: 7年間保存(PCI DSS要件)
内部統制における開発ガイドライン
1. 開発プロセス統制
セキュアな開発ライフサイクル(SDLC)
監査対応プロセス
1. 外部監査対応
事前準備
- 文書化: システム仕様書、運用手順書の最新化
- 証跡整理: 監査証跡の整理・検索可能な状態での準備
- 担当者指定: 監査対応責任者・技術担当者の明確化
2. 内部監査プロセス
定期監査スケジュール
- 月次: システムアクセス権限の確認
- 四半期: データ品質・完全性の確認
- 年次: システム全般統制の包括的確認
関連ドキュメント
更新履歴
- 2025-08-15: 初版作成
- 定期見直し: 四半期ごと
承認者: 法務チーム、コンプライアンス責任者、CTO、医療情報管理責任者
次回見直し予定: 20xx-xx-xx