データインテグリティ観点の規制対応と技術要件 — 医療情報の3原則を ALCOA+ で実装する

なぜ「データインテグリティ」を独立した観点で見るのか

検査結果は診断・治療の根拠そのもの。値が一文字書き換われば誤診につながり、記録が消えれば「その検査をやった事実」すら証明できない。だからシステムが満たすべきは「動くこと」ではなく「記録が、作られた瞬間から保存期間の終わりまで、信頼できる状態で在り続けること」——これがデータインテグリティ（DI）。

クラウド化で記録の所在・管理主体・経路が分散する（自社→クラウド事業者→SaaS）。責任共有モデルの下で「誰が・どこで・どうDIを担保するか」が曖昧になりやすく、従来の「法規制対応」とは別レンズでの設計が要る。本ガイドはその DI レンズを提供する。

位置づけ：本編はシリーズ②「法規制対応と技術要件」の真正性パートを DI として深掘りする補完編。網羅的な法令対応は②を、基盤実装は④「セキュア実装」を参照。

医療DX シリーズ： 目次 ① 工程表全体像 ② 法規制対応と技術要件 ③ 受注資格 ④ セキュア実装 ★ データインテグリティ（本編） AI 活用／移行／ FHIR/JLAC11 ／ FAQ・用語集

このガイドのスコープと網羅性の根拠

スコープ宣言（対象と対象外を先に確定する）

区分	内容
対象	医療情報システム（LIS 等）の電子記録に対するデータインテグリティ（DI）統制を、医療情報の3原則 × ALCOA+ で整理し、技術要件 → AWS 実装 → 残リスクまで落とす。国内（3省2GL・ER/ES指針）と国際（Part 11・Annex 11・PIC/S）を架橋する。
対象外	① 網羅的な法令適合（個情法・感染症法・衛生検査所登録等の全体像）→ シリーズ②「法規制対応と技術要件」。② 記録の法定保存期間の個別列挙 → ②。③ Web 基盤のセキュア実装（認証・暗号・XSS 等）→ ④「セキュア実装」。④ 医療 AI（SaMD）固有の DI → 「AI 活用編」。

網羅性の根拠 — なぜ「これで足りる」と言えるか

DI は個別対策の寄せ集めでは「漏れなし」を証明できない。本ガイドは2軸で機械的に洗い出すことで網羅を示す。

軸1：ALCOA+ の9属性（Attributable／Legible／Contemporaneous／Original／Accurate ＋ Complete／Consistent／Enduring／Available）＝ FDA・PIC/S で確立した DI の完全集合。これを医療情報の3原則に全マッピングする（§2）。
軸2：データライフサイクルの5段（生成→処理→保存→活用→保管/廃棄）＝記録の一生の全段階（§4）。各段で守る対象を割り当てる。

この2軸の交差で「どの属性が・どの段階で・どう破れるか」を構造的に列挙する。残リスクは「①追加技術／②運用／③契約・SLA／④受容」の4分類で引き取り先を明示する（§3）。

1国内外の規制が、同じ「3原則 / ALCOA+」に収束する

電子記録の信頼性を求める規制は、日本にも海外にもある。表現は違うが、要求している品質軸は驚くほど共通している。日本の 電子保存の3原則（厚労省「診療録等の電子媒体による保存について」平成11年に始まる）と、米国 21 CFR Part 11・EU GMP Annex 11・国際的な ALCOA+ は、いずれも「誰が・いつ・正しく記録し、改ざんされず・見読でき・保存される」という同じことを要求している。

規制	対象	DI に関わる中核
3省2ガイドライン医療情報システムの安全管理に関するガイドライン第6.0版（令和5年5月）＋経産省・総務省事業者向けガイドライン第2.0版（令和7年〔2025年〕3月28日）	医療機関・医療情報システム／クラウド提供事業者（LIS はここ）	電子保存の真正性・見読性・保存性。経営層関与・ゼロトラストへの転換が第6.0版の改定軸
ER/ES指針医薬品等の承認又は許可等に係る申請等における電磁的記録及び電子署名の利用について（平成17年薬食発第0401022号、解説令和6年改訂）	医薬品・医療機器等の申請・許可に係る電磁的記録・電子署名（IVD 製造・薬事はここ）	電磁的記録を真正性・見読性・保存性の3観点で整理。電子署名の要件
21 CFR Part 11 Electronic Records; Electronic Signatures（米 FDA、1997年発効。2003年「Scope and Application」ガイダンス）	米国 FDA 規制対象（IVD・医薬品等）の電子記録・電子署名（米国市場向けはここ）	監査証跡（安全・自動生成・時刻付き・先行記録を隠さない）、電子署名（個人に固有・本人確認）、記録の保護・見読コピー・アクセス制限を具体的に規定
EU GMP Annex 11 Computerised Systems（EudraLex Volume 4、2011年改訂版が現行）	EU GMP 対象のコンピュータ化システム（欧州市場向けはここ）	バリデーション・監査証跡・正確性・アクセス制御。Part 11 と同等の統制を要求

架橋の核心

ER/ES指針は「日本版 Part 11」として設計された経緯があり、3省2GL・Part 11・Annex 11 は表現こそ違え同じ DI 統制に収束する。医療情報システム（国内 3省2GL）と IVD（国内薬機・米 FDA・欧 EU）の両領域に関わる事業者は、規制ごとに別々の対応をするのでなく、ALCOA+ を共通言語にした1つの DI 統制に束ねれば、国内外の要求を同時に満たせて二重投資にならない。

動向（2026年5月時点）：EU GMP Annex 11 が14年ぶりに大改訂へ。 改訂案の意見募集は2025年10月に終了、2026年央に最終版公表見込み（5→19ページに拡張）。リスクベース（GAMP5・ICH Q9/Q10 整合）、ALCOA+・監査証跡・アクセス制御の強化、サイバーセキュリティ（ISO 27001）、そしてAI/ML を GMP コンプライアンス配下に明示——本ガイドの ALCOA+ 統制路線をさらに後押しする。AI 活用は別途「AI 活用の法規制と技術スタック」編で扱う。

真正性

Authenticity / Integrity

故意・過失による書換え・消去・混同を防止し、作成・変更の責任の所在を明確にする。

見読性

Legibility

必要に応じて直ちに肉眼で見読・出力できる状態を保つ。

保存性

Storage / Preservation

法定保存期間を通じて真正性・見読性を保ったまま復元できる。

※ 検査記録の保存性は 改正医療法（2018年施行）による検体検査の精度の確保／ISO 15189 の記録管理要求とも接続する。

23原則を ALCOA+ で実装可能な単位に分解する

3原則は「あるべき状態」を示すが、抽象的でそのままでは設計に落ちない。そこで国際的な DI 原則 ALCOA+（FDA 由来、PIC/S PI 041-1〔2021年7月〕で体系化、PMDA も期待値を公表）を使い、3原則を9つの検証可能な属性に分解する。ALCOA+ は3原則の「実装言語」だと捉えると整理しやすい。

ALCOA+ 属性	意味	対応する3原則
Attributable（帰属性）	誰が・いつ作成/変更したかが記録に紐づく	真正性
Legible（判読性）	判読でき、恒久的に消えない	見読性
Contemporaneous（同時性）	行為と同時に記録される（後付け・先付けでない）	真正性
Original（原本性）	原本または検証済み真正コピーである	真正性保存性
Accurate（正確性）	誤りがなく、事実を正しく表す	真正性
+ Complete（完全性）	監査証跡を含め、欠落なく全データが揃う	真正性保存性
+ Consistent（一貫性）	時系列・タイムスタンプ・関連記録が矛盾しない	真正性
+ Enduring（永続性）	保存期間を通じて劣化・喪失しない	保存性
+ Available（可用性）	必要なとき直ちに取り出せる	見読性保存性

※ 近年は Traceable（追跡可能性）を加えた ALCOA++ も使われる。クラウドでは記録の経路追跡が重要になるため、Traceable を Complete/Consistent の補強として扱う。

21 CFR Part 11 は ALCOA+ の最も具体的な実装規定。 §11.10(e) の監査証跡（安全・自動生成・時刻付き・先行記録を隠さない）＝ Contemporaneous + Complete + Attributable、§11.50／11.70 の署名表示・署名と記録の結合、§11.100〜300 の電子署名（個人に固有・本人確認）＝ Attributable の担保。日本の ER/ES指針・EU Annex 11 もこれに対応する。Part 11 を「ALCOA+ をコードに落とすときのチェックリスト」として使うと実装が速い。

3DI 要件 → 技術要件 → AWS 実装 → 残リスク

シリーズ共通の「根拠 → 要件 → 技術スタック → 残リスク」で、ALCOA+ の各属性を LIS クラウドの実装に落とす。「他は?」に答える網羅性を保つため属性を漏らさず並べる。残リスクは「①追加技術／②運用／③契約・SLA／④受容」の4分類で引き取り先を明示する（技術で消えない残りを、運用・契約・受容のどこが引き取るか決める）。

ALCOA+	満たすべき技術要件	AWS / 実装スタック（例）	残リスク（引き取り先）
Attributable	個人別の識別・認証（共有アカウント禁止）、操作者の自動記録、電子署名	IAM／Cognito で個人別 ID、MFA、CloudTrail（API 操作者）＋アプリ監査ログ、KMS による電子署名	共有 ID・代理ログインが1つでも残ると Attributable が崩れる。緊急時アカウントの運用記録が盲点
Contemporaneous	サーバ時刻の同期、記録時刻の自動付与、後付け入力の検知	Amazon Time Sync Service（NTP）でクロック統一、アプリはサーバ時刻で打刻、タイムスタンプ局（TSA）連携	クライアント端末時刻の信用、複数 AZ/リージョン間のクロック差。手入力時刻を許す画面は要注意
Original / Complete	原本の電子保存、改ざん検知、論理削除（物理削除しない）＋削除理由、監査証跡の網羅取得・無効化禁止	S3 Object Lock（WORM）、S3 バージョニング、Amazon QLDB 等の改ざん検知台帳／ハッシュチェーン、CloudTrail ログファイル整合性検証	監査証跡を「容量削減」で間引く・OFF にする運用が最大の事故源。バックアップ自体の完全性も対象
Accurate	入力検証、計測器（分析装置）連携の正確性検証、CSV（コンピュータ化システムバリデーション）	アプリ側バリデーション、装置 IF の突合テスト、IQ/OQ/PQ の記録、変更管理	装置→LIS→電子カルテの変換・単位・桁落ち。リリース後の無検証変更
Consistent	タイムゾーン統一、記録シーケンス保証、関連記録の整合	UTC 基準＋表示で JST 変換、イベント順序の保証、相関 ID でログ連結	夏時間なし日本でも、海外リージョン併用時の TZ 混在。分散ログの順序保証
Enduring	法定保存期間の長期保存、媒体劣化対策、フォーマット可搬性	S3 Glacier 階層、ライフサイクルポリシー、長期可読フォーマット（PDF/A 等）、定期復元テスト	保存期間（診療録 5 年・検査記録等の各規定）の取り違え。鍵を失うと暗号化データは復元不能
Available	必要時の即時取り出し、可用性、災害復旧	Multi-AZ、AWS Backup、DR 構成、検索・出力（エクスポート）機能	事業者側障害時の RTO/RPO、ベンダーロックインによる取り出し困難
Legible	見読・印刷・出力、文字コード、長期可読性	画面表示・PDF 出力、UTF-8 統一、外字・機種依存文字の管理	10 年後に同じビューアで開けるか。独自バイナリ形式の見読性喪失

監査証跡（audit trail）が DI の心臓部。 「いつ・誰が・何を・なぜ変更したか（旧値→新値）」を、対象記録と同じ寿命で・無効化できない形で残せているかが、3原則すべてを下支えする。ここが弱いと他をいくら固めても DI は成立しない。

4データライフサイクルの各段で守る

DI は「保存時だけ」の話ではない。記録の一生のどの段階でもALCOA+ が破れうる。段階ごとに守る対象を変える。

① 生成

装置測定・入力。時刻・操作者の同時記録

→

② 処理

変換・計算・転記。正確性・整合の検証

→

③ 保存

原本性・改ざん検知・監査証跡

→

④ 活用/共有

アクセス制御・見読・連携時の完全性

→

⑤ 保管/廃棄

長期保存・期間満了後の正規廃棄記録

特に①生成と②処理は「事故が起きても後から気づけない」段階。装置 IF とアプリ入力画面の DI 設計を最優先で固める。

5クラウド特有の論点（責任共有モデル）

責任分界点を DI で明示：「クラウドのセキュリティ（AWS 責任）」と「クラウド内のデータと統制（利用者責任）」の境界を、ALCOA+ 属性ごとに誰が担保するか表で固定する。
ログの完全性：CloudTrail 等のサービスログ自体を Object Lock で改ざん不能にし、取得範囲の限界（事業者が出さないログ）を残リスクとして文書化。
鍵管理：KMS の鍵は「Enduring（鍵を失えば復元不能）」と「機密性」のトレードオフ。鍵のライフサイクルと復旧手順を DI 要件に含める。
越境・リージョン：データ所在地と TZ 一貫性（Consistent）。国内リージョン前提でも DR で海外を使う場合の整合。
SaaS 提供事業者としての適合：経産省・総務省ガイドライン（クラウド/SaaS 事業者向け）への適合表明と、利用医療機関への説明責任を果たす SLA・覚書。

6よくある落とし穴（DI が崩れる典型）

共有アカウント・代理入力 → Attributable 崩壊。「誰がやったか」が消える最頻の原因。
監査証跡を容量・性能理由で OFF / 間引き → Complete 崩壊。Gate を素通りしやすく事故が表面化しない。
システム時刻のずれ・端末時刻の信用 → Contemporaneous 崩壊。NTP 未同期、手入力時刻を許す画面。
物理削除＋削除理由なし → Original/Complete 崩壊。論理削除＋理由＋証跡が原則。
バックアップ自体の完全性未検証 → 復元したら壊れていた。定期復元テストがないと Enduring は絵に描いた餅。
独自バイナリ・外字依存 → 数年後に見読不能。長期可読フォーマットへの正規化を。
リリース後の無検証変更 → Accurate 崩壊。変更管理・CSV を回さない改修が静かに値を狂わせる。