新着情報WHAT'S NEW

　IT企業の皆さまをサポートすることを目標とし、IT関連法やビジネス関連法に関するレポートを定期的にお送りしています。
　取り上げるトピックは、ITやビジネスに関連する事項とし、必ずしも法律だけには限りません。

　※IT法レポートの配信（無料）はこちらから

【今回の目次】

　１　2023年10月の概要
　２　レポート（医療機関における情報セキュリティ）
　３　IT関連法、スタートアップビジネス関連法の施行・施行予定
　４　2023年10月の裁判、事件、行政対応
　５　トピック

１　2023年10月の概要

　10月は、ステルスマーケティングに対して景表法による規制がなされました（9月レポート参考）。
　また、AIについては、今年5月のG7サミットにおいて、今年中に高度なAIシステム（基盤モデルや生成AIを含む。）に関する国際的な指針（guiding principles）及び行動規範（code of conduct）の策定を行うことが採択されていましたが（広島AIプロセス）、10月30日、「高度なAIシステムを開発する組織向けの広島プロセス国際指針」及び「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」が成果文書として公開されています（G7ウェブサイト）。これを受けて、国内でも総務省、経産省を中心に新AIガイドラインの検討が始まっていますし、知的財産権との関係についても引き続き検討されています。

２　レポート（医療機関における情報セキュリティ）

２．１　重要性を増す医療機関における情報セキュリティ

　DXの進展は医療分野においても例外ではなく、医療機関においても電子カルテの導入が進んでいます。厚労省の発表では、病床400床以上の病院では、平成20年度では40％弱であった電子カルテの導入割合が、令和2年度には90％を超えるまでになっています。
　一方で、DXの負の部分というべきセキュリティインシデントについても、医療機関も例外ではなく発生しています。医療機関においては、患者の機微情報を扱うことから、情報漏えいの防止も重要な課題ですが、近時特に問題となっているのは、ランサムウェアによる被害です。ランサムウェアに感染すると情報システム自体が暗号化され、業務を停止せざるを得なくなってしまいますが、医療サービスというサービスの性質からは、業務の継続性が強く求められており、問題を大きくしています。ランサムウェアによる被害について詳細な分析の報告書が出されているインシデント例としては、半田病院のケースや、大阪急性期・総合医療センターのケースなどがありますが、いずれも対応に苦慮していることが見てとれます。

２．２　行政機関による対応

　行政機関による医療分野の情報セキュリティに関する対策は従前から行われていました。例えば、厚生労働省、総務省及び経済産業省は、医療機関や医療システム事業者に対する安全管理のガイドラインを出していました。当初は、この３省が４つのガイドラインを出すなど、使いにくい形になっていましたが、現在では医療機関向けの「医療情報システムの安全管理に関するガイドライン」（現行は６．０版）と医療システム事業者向けの「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」（現行は１．１版）とに統合、整理されています。
　また、厚生労働省は、２０２３年４月、医療法施行規則を改正し、「病院、診療所又は助産所の管理者が遵守すべき事項として、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティを確保するために必要な措置を講じること」を求めています（医療法施行規則14条2項）（医療法施行規則の一部を改正する省令について）。
　さらに、これらの対応を実際に医療機関で行ってもらうために厚生労働省では医療機関向けセキュリティ教育支援ポータルサイト（MIST：Medical Information Security Training）を開設し、研修を実施するなどしています。

２．３　医療機関側の対応

　情報セキュリティを確保するために医療機関が行うべき事項は多岐にわたりますが、行うべき事項を確認するのに有用なのが、上記した医療情報システムの安全管理に関するガイドライン（以下、「医療機関向けGL」といいます。）です。医療機関向けGLは６．０版まで更新されていますが、医療法施行規則の改正にあたり、医療機関はこの医療機関向けGLに準拠することが求められています。医療機関向けGLで求められている事項は、かなり広範囲にわたり、また抽象的な説明しかなされていないこともあります。そこで、活用すべきなのが医療機関向けGLに添付されているチェックリストです。このチェックリストは医療機関が行うべき事項のうち、優先的な事項についてリスト化したもので、医療機関向けGLの５．２版時点ではかなり詳細なものでしたが、６．０版では、優先的な事項を取り上げる形となっており、様々な医療機関に広く活用してもらえる形となっています。

３　IT関連法、スタートアップビジネス関連法の施行・施行予定

　今月は特に変更がありませんでした。
　IT関連法、スタートアップビジネス関連法の施行・施行予定については、こちら。

４　2023年10月の裁判、事件、行政対応

４．１　裁判・事件

　取り上げるべき裁判例はありませんでした。

４．２　行政指導等

行政機関	内容
公取委	公取委は、Googleが、 Android端末メーカーとの間で、「Google Play」の搭載を許諾するに当たり、「Google Search」、「Google Chrome」等自己のアプリケーションを併せて搭載させ、搭載する際の当該アプリケーションのアイコン等の端末画面上の配置場所を指定する内容の許諾契約を締結すること Android端末メーカーらとの間で、自己と競争関係にある事業者の検索アプリケーションを搭載しないこと等を条件に、自己が検索連動型広告サービスから得た収益を分配する内容の契約を締結すること により、自己と競争関係にある事業者の事業活動を排除し、又は取引先事業者の事業活動を制限している疑いがあるとして、第三者からの情報、意見の募集を行っています。

 

５　トピック

５．１　セキュリティ

　ISMAP（政府情報システムのためのセキュリティ評価制度）では、登録事業者にセキュリティインシデントが発生した場合に、3営業日以内に報告を求めることとされました。インシデント発生時の監督官庁への報告義務については、個情法をはじめとして各業法で定められたり、事実上求められたりしていますので、留意が必要です。
　引き続き複数のパターンのインシデントが発生しています。

会社名	種類	概要・対応状況
チエル	漏えい	保守目的で自社へ持ち出したプログラムに、システム不具合のため残置されていた個人情報が混入しており、さらに開発担当者の手違いにより他顧客への展開用のプログラムに混入（第2報）
NTT西日本	NISC	業務委託先の派遣社員が顧客情報を持ち出し（報道発表）

　セキュリティに関するガイドライン、法案の審議状況についてはこちら。

５．２　データ

　データ分野ではEUとの間でEPA（経済連携協定）に「データの自由な流通に関する規定」を含めることを合意しています。

• 国境を越えた自由なデータ流通を確保することを約束
• 国境を越えたデータ流通を禁止・制限する措置（データの国内保存要求等）を採用又は維持しない義務
• 個人情報保護や正当な公共政策目的等の観点から、例外的に適切な政策上の措置を講ずる余地を確保

　データに関するガイドライン、法案の審議状況についてはこちら。

５．３　AI

　AIでは、AIに関してG7首脳声明が出され、以下の国際的な開発指針が発表されています。今後、この指針に応じて、国内でのガイドラインの整備が行われるものと思われます。

• 高度なAIシステムを開発する組織向けの広島プロセス国際指針
• 高度なAIシステムを開発する組織向けの広島プロセス国際行動規範

　AIに関する各省庁の取り組み、国際的な動向についてはこちら。

５．４　知的財産権

　知的財産権に関するガイドライン、法案の審議状況についてはこちら。

５．５　その他情報関連

　その他情報関連のガイドライン、法案の審議状況についてはこちら。

５．６　スタートアップビジネス関連

　スタートアップビジネスに関連するガイドライン、法案の審議状況についてはこちら。

（弁護士　安藤　広人）