MedQA_jp

電子カルテ(診療録) 等の患者個人情報を通信回線で伝送する際のセキュアなプロトコルとして、統合型セキュリティ通信規格 (Integrated Secure Communication Layer Protocols ISCL) があり、PKI (公開鍵基盤) による本人認証ではヘルスケアPKI (HPKI)を利用します。
CSR/ヘルスケアPKIソリューション (用語の説明)
    http://www.csr-service.jp/hpki_web/html/hpki_yougo.html
財団法人医療情報システム開発センター（MEDIS-DC）
    http://www.medis.or.jp/
との共同開発とのことです。
エントリー「医療IT と医療事故」
  http://www.medqa.jp/archives/000304.html
もご覧下さい。

医療関連の情報通信を行うことは、遠隔医療 の実現にほかなりません。
通信パケットを暗号化しなければ、セキュリティ対策・強化はできません。
2000年10月、米連邦政府は1996年に成立した
「医療保険の携行性と責任に関する法」(HIPA法)
Health Insurance Portability And Accountability Act
の施行を決定しました｡法律施行により､すべての医療機関では 患者個人情報やプライバシー保護のため ITセキュリティーに関して厳しい規制が義務づけられました｡
参照ページ: Wired News 日本語訳「遠隔医療の本格実現に向けて(上・下)」
Carmen J. Gentile
  http://hotwired.goo.ne.jp/news/technology/story/20001220306.html
  http://hotwired.goo.ne.jp/news/technology/story/20001221307.html
[ｉモード版]
  http://hotwired.goo.ne.jp/i/news/20001220306.html
  http://hotwired.goo.ne.jp/i/news/20001221307.html
日本においては、厚生労働省：医療情報ネットワーク基盤検討会が「医療情報システムの安全管理に関するガイドライン」を策定しました。
本ガイドラインについては、エントリー「医療IT と医療事故」
    http://www.medqa.jp/archives/000304.html
また、日本における「遠隔医療」の具体例は、エントリー「病理学、放射線医学と遠隔医療」
    http://www.medqa.jp/archives/000303.html
をご覧下さい。

医療IT先進国 に関する国際的な基準や定義はないでしょうが、カナダ、イギリス、オーストラリア との記事があります。
「米国医療ITの変遷と将来像 (下)」
  http://jp.ventureclef.com/tech.html

米国医療ITの変遷と将来像
1999 年の終わりに、Institute of Medicine（米国医学研究所）は、医療事故でなくなった人は年間46000 人から98000 人 にのぼると発表した。この発表は、社会的に大きな反響を呼び、医療機関に安全性への対応が強く求められた。その中で、民間企業団体の組織である Leapfrog Group は、医療機関に対して、情報技術を活用することで医療事故をなくすよう強く申し入れを行った。

(米国) 大統領IT諮問委員会作成　大統領宛報告書 (PDF:828KB)
「ITによる医療革命」
Revolutionizing Health Care Through Information Technology
(PITAC：President’s Information Technology Advisory Committee)
参照ページ:岡山県医師会－医療IT関連情報のページ
  http://www.okayama.med.or.jp/ishi/iryoit/iryoit.html

2004年1月ブッシュ大統領は、一般教書演説において「医療情報をコンピュータで処理することによって危険な医療過誤を回避し、コストを削減し､ケアを改善できる（By computerizing health records, we can avoid dangerous medical mistakes, reduce costs, and improve care.）」と述べ、医療におけるITの重要性を強調した。

デジタル化された患者個人情報が暗号化されずにデータ転送されてしまう甘いセキュリティは許されませんが、医療事故対策のための医療ITの推進は日本においても急務です。
厚生労働省：医療情報ネットワーク基盤検討会
「医療情報システムの安全管理に関するガイドライン」
  http://www.mhlw.go.jp/shingi/2005/03/s0331-8.html

8.1.3 個人情報の保護
(1) 診療録等の個人情報を電気通信回線で伝送する間の個人情報の保護
1. 秘匿性の確保のための適切な暗号化をおこなうこと
秘匿性確保のために電気通信回線上は適切な暗号化を行い転送すること
2. 通信の起点・終点識別のための認証をおこなうこと
外部保存を委託する医療機関等と受託する機関間の起点・終点の正当性を識別するために相互に認証を行うこと。通信手段によって、起点･終点の識別方法は異なる。例えば､インターネットを用いる場合は起点・終点の識別はIP パケットを見るだけでは確実にはできない。起点・終点の識別が確実でない場合は、公開鍵方式や共有鍵方式等の確立された認証機構を用いてネットワークに入る前と出た後で委託元の医療機関等と受託先の機関を確実に相互に認証しなければならない。例えば、認証付きのVPN、SSL/TLS やISCL を適切に利用することにより実現できる。なお、当然のことではあるが、用いる公開鍵暗号や共有鍵暗号の強度には十分配慮しなければならない。

8.1.2 外部保存を受託する機関の限定
(3) 行政機関等が開設したデータセンター等に保存する場合
政策医療の確保を担う機関同士や民間医療機関との有機的な連携を推進すること等が必要な地域等で、診療録等の電子保存を支援することで質の高い医療提供体制を構築することを目的とし、本章の他の項の要求事項だけでなく、下記の情報管理体制の確保のための全ての要件を満たしつつ、国の機関、独立行政法人、国立大学法人、地方公共団体等が開設したデータセンター等に保存する場合が該当する。
ア） 法律や条例により、保存業務に従事する個人もしくは従事していた個人に対して、個人情報の内容に係る守秘義務や不当使用等の禁止が規定され、当該規定違反により罰則が適用されること。
イ） トラブル発生時のデータ修復作業等緊急時の対応を除き、原則として保存主体の医療機関等のみがデータ内容を閲覧できることを技術的に担保できること。例えば、外部保存受託機関に保存される個人識別に係る情報の暗号化を行い適切に管理すること、あるいは受託機関の管理者といえどもアクセスできない制御機構をもつこと。
ウ） イ）を含め、適切な外部保存に必要な技術及び運用管理能力を有することを、システム監査技術者及びCertified Information Systems Auditor （ISACA 認定）等の適切な能力を持つ監査人の外部監査を受ける等、定期的に確認されていること。

この他、  http://www.medis.or.jp/
財団法人 医療情報システム開発センター(MEDIS-DC)
The Medical Information System Development Center
保健医療情報のシステム化を推進するため、厚生労働省と経済産業省が共管する財団法人のホームページでは、2002年「電子カルテを中心とした地域医療情報化」成果発表会の講演資料 (PDFファイル) と オンデマンド放送 (VOD RealOne Player) が閲覧できます。
  http://www.medis.or.jp/archives/200203/index.html