では、このような医療情報の管理方法をもっと現実的なものにする手段はないのでしょうか． あります．コンピュータネットワークを用いて、ある仕掛けを設けて、医療情報をコンピュータ の中に納めればよいのです．電子カルテにその可能性があるのです． 現在のコンピュータ技術で可能です．しかし、現在一般的に普及し始めた電子カルテでは未だ不完全です．つまり“ある仕掛け”が無いか らです．この仕掛けを作るかどうかは、技術の問題ではなく，医療や医療データに対するコンセ プトの問題です．これについて詳しく説明しましょう．

5-1．電子カルテのアクセス権管理

　思考実験をしてみましょう．例えば，電子カルテに、写真や他の検査データを含めたカルテデータが入っているとしましょう．患者さん本人は、ID（例えば登録番号）とパスワードで 電子カルテシステムにログインします．次に自分のデータを見たいわけですが， 自分のデータを見ることができると同時に，他人のデー タが見えないようになっている必要があります．患者さんのIDが患者さんのカルテ データを探すキーになるので，本人のデータのみを閲覧できるシステムが構築できるでしょう．

　では，医師はどうでしょうか．医師が，自分のIDとパスワードでログインしたら，誰のデー タを見るのでしょうか．当然，自分の担当の患者さん，あるいは今から担当になる患者さんの データを見るわけです．どうしたら目的の患者さんのデータにアクセスできるでしょう．最も 簡単な方法は，患者さんのIDを入力することでしょう．医師は目的の患者さんのデータを見る ことができます．問題は無いでしょうか？

　実は問題があります．医師は目的以外の患者さんのデータも見るこ とができるからです．仮に医師が患者さんのIDとして，番号を適当に入力すれば，ヒットした 患者さんのデータが閲覧できてしまいます．もとよりIDは秘密の情報ではありませんから，状 況によってはシステム内の誰のデータでも見ることができるでしょう．電子カルテシステムが， ひとつの医療施設でのみ稼働しているのであれば，あまり大きな問題にはなりませんが，電子 カルテシステムの擁する医療データが膨大になり，複数の医療機関にまたがって利用されるようになると，患者さんのプライバシー保護や，データ の安全性の管理において大きな問題となるでしょう．

　例えば，ある有名な女優が入院したとの報道がなされたとしましょう．日本中の医師はこのこ とをニュースで知り得ます．全国的に展開されている電子カルテで，患者データへのアクセスが制 限されていなければ，医師は患者名検索や生年月日による検索で，個人を特定することが可能でし ょう．カルテに含まれる情報には，氏名，生年月日，住所，電話番号だけでなく，家族の情報なども含ま れます．患者・医師関係が構築されていない大規模ネットワークの中で，医師の善意のみに頼るこ とは，問題が大きいと考えられます．医師には診療上知り得た情報を漏らしてはならないとする守秘義務がありますが，これは，知ること自体を制限するものではありません．

　上記のようなことを避けるためには，医師であっても，患者データに対する何らかのアクセス 制限が必要になります．先ほど述べた電子カルテに必要な“仕掛け”とはこのアクセス権の制限方 法です．理想的なアクセス制限とは，医師が診療を行っている患者さんに関するデータのみにアク セス出来るようにすることでしょう．

5-2．アクセス権管理の方法

　このような状態を部分的に実現する手段のひとつに，“複数の病院間でのカルテのデータベー スとして個人医療情報の共有化方法及び個人医療情報のデータベース端末”が、特許公開２００１− ２９７１５３号として確認できます．この方法は，医療データに対する患者さんの権利を非常に強 く意識したものです．患者さんはシステムにログインするためのパスワードの他に，医師に自分の データを閲覧させるための第2のパスワードを持つことになっています．医師は自分のIDとパスワー ドでシステムにログインした後，患者さんから第2のパスワードを開示してもらい，これを入力する ことにより患者さんのデータを閲覧できるようになります．

　ところが，この第2パスワードは患者さんが変更できるようになっているため，第2パスワード を変更されると医師は，自分の記録したカルテを閲覧できなくなってしまいます．この状態は，患者 さんが，医療従事者の言うところのカルテ・写真を患者さんが正しく，背負って持って帰ってしまっ たような状況です．これでは病院のカルテと写真の保存義務を果たせず，カルテとして利用すること はほとんど不可能です．

　つまり，ここでさらに踏み込んだ機能が必要になるわけです．医師は，診断や治療を行った場合， その根拠となった情報を後で検証することが必要ですし，自分で記録した内容を閲覧することは，医 師の権利の一部であると考えられます．医療データは患者さんの個人データですが，カルテに記載さ れる内容は医師が書いたものです．よって，患者さんの意向に拘らず，医師が診断や治療のために参 考にした情報や医師自身が記載した情報は，その医師にも恒常的な閲覧権を保証すべきものと考えら れます．

　医療従事者のアクセス権を管理するもう一つの手段として，管理者の立場から考えられたものと して，職員の職種や業務を勘案して，上位の管理者が下位の職員にアクセス権を与えて行く方法もい くつか提案されています．この方法は，理論的には可能ですが，実際の診療の中では，上位の管理者 （アクセス権を与える者）が不在の時など，アクセス権の獲得に時間を要し，煩雑そうですし，複数 の病院にまたがって患者さんが受診する場合には，誰がアクセス権を与える役割を担えばよいのかが 問題になります．つまり広域で複数の病院を患者さんが受診することを想定すれば，誰に（どの医師 に）アクセス権を与えておけば良いかを前もって決めておくことはかなり困難な気がします．

　さて，以上のことから，実際の医療に即した医用データの在り方（電子カルテ）は，２つの事を同 時に満たさなくてはならないのです．ひとつは患者さんのプラ イバシーの保護のため，医師のカルテ閲覧に対する適切なアクセス権管理（診療に関係する医師にの み医療データの取り扱いを許可する）が確保できることです．二つ目は医師のカルテに対する権利 （診療に利用した医療データや医師が記載したカルテ内容はその医師が常に利用可能とする）が保 証されることです．残念ながら，現在の電子カルテシステムには，実用的レベルでこの 二つを同時に満たすものは無いようです．

　しかし，発想を転換すれば，同時に二つの条件を満たすことができます．それを説明するまえに， 「２．カルテ等医療情報の開示について」の部分を思い出してください．患者さんはカルテの開示を 望んでいるという事実です．医療従事者はカルテに含まれる情報を医療従事者のものである，とする 固定観念で見てきました．発想の転換とは，今述べた二つの 条件（医師のカルテ閲覧に対する適切なアクセス権管理と医師のカルテに対する権利）に加えて， カルテ情報に対する患者さんの権利を認めることです．

　さらに言うならば，電子カルテシステムは病院情報システムであると共に患者さんの個人情報システムであることを認識することです．これらの 認識を基にコンピュータ情報システムを見直すと解決の手段に到達出来ます．

　 この仕掛で実現される機能については，第６章にまとめてあります．