病院IT化に伴うリスクと「対応・対策」を考える2
~医療機関ができる効果的な情報セキュリティ対策~
医療機関データの有効活用と取り扱い(第3回)
2017年7月

執筆者:株式会社 Benett One(ベネットワン)
    代表取締役・診療放射線技師
    米山 正行(よねやま まさゆき)氏

はじめに

前回は電子カルテいわゆる医療のIT化によってもたらされる良い効果がある反面、システムダウンや情報漏洩といった医療機関として大きなダメージとなる副産物が発生するとお話ししました。さらに、それらに伴うリスク、医療機関で扱っている情報の重要性なども併せてお話しをしました。

IT化を実施した医療機関が情報やシステムの安定的な管理運営を行うために必要なことはシステムセキュリティ対策、職員に対する教育と運用管理規程に定めた事項の徹底だと思います。今回はそれらについてお話をさせていただきます。

情報セキュリティとは?

まず情報セキュリティとはどのような定義でしょうか。

情報セキュリティをJISQ27001:2014では以下のように三大要素が定義されていて、その内容と対策は以下のように言われています。

  1. 機密性の確保
    情報を正当な権利を持った人だけが使用できる状態にしておくこと
    対策:情報の暗号化対策、アクセス権対策等
  2. 完全性の確保
    情報が正当な権利を持たない人により変更されていないことを確実にしておくこと
    対策:情報の改ざん対策、サイバー攻撃対策等
  3. 可用性の確保
    情報を必要な時に使用できること
    対策:システム電源対策、データの二重保管対策

システムセキュリティ対策

システムのセキュリティ対策は上記三大要素の内容を確保する対策が取られています。

代表的な具体策としてはファイアウォール・認証システム・VPN回線・ウイルス対策ソフト・情報の二重化保存・電源対策などが挙げられます。電子カルテ等のシステム内部のセキュリティ対策はシステム選定時の判断材料となります。

また、医療機関側では情報を適切に「管理」することがセキュリティ対策として非常に重要です。サーバー室の管理や導入したウイルス対策ソフトの更新、USBメモリ等の媒体管理、電源の確保などが挙げられます。

サイバー攻撃対策について、想定できる対策は既に実施しているかと思います、しかしどのような攻撃でも“100%防げる”といったものではないのがネットワークの世界です。そこで重要となるのは、サイバー攻撃を受けた際にシステムを使用しなくても、ある程度の診療業務が継続できるように、システム障害時対策を策定しておくことです。

情報セキュリティ教育と研修

医療機関の中で大手と言われる大病院で情報漏洩が発生した話を耳にすることがあります。運用管理規程もしっかりと策定された大病院で何故そのようなことが起きてしまったのでしょうか。原因を調べてみると「規程違反、モラルの欠如」というケースがあるようです。

これらの対策としてはシステムに強固な制限をするといったことが検討されることもあるかと思います。しかしシステムに強固な制限をかければ情報漏洩のリスクは下がるとは思いますが(機密性の確保)、逆に必要な時に必要な情報の利用(可用性の確保)ができなくなるといった状況に陥る可能性があります、医師の研究や情報連携など様々な業務の不都合を生じる可能性も考えられます。

それでは、機密性の確保と可用性の確保のバランスを維持しつつ情報漏洩を防ぐための対策はなんでしょうか。それは「職員への教育と運用管理規程遵守」ではないかと考えます。

まずは教育ですが、入職時のオリエンテーションで情報セキュリティ教育を行っている医療機関も多いと思います。入職時の教育はあるがその後はない、という医療機関では入職3年目教育などで情報セキュリティ研修を取り入れるといった試みをしてみてはいかがでしょうか。

また情報セキュリティ教育を定期的に行っている医療機関では、教育プログラム内容を再確認してみるのはいかがでしょうか。今までに問題となったこと、問題となりそうだったこと(ヒヤリハット)などを反映した教育プログラムを追加するなど、適宜見直しを検討することも必要と考えます。

教育プログラムを作成し運用することの目的は、医療機関において日常的に取り扱っている情報がいかに重要で機微な個人情報であるか「気付き」を与え、再度「認識」を深めることにあります。それが医療機関で行う最も重要な情報セキュリティ対策のひとつだと考えます。

運用管理規程の遵守

皆さんもご存知と思いますが「医療情報システムに関する安全管理に関するガイドライン第5版」の10項「運用管理について」の内容として「運用管理規程は必ず定めなければならない」とあります。これに従って運用管理規程を作ったものの、それで終わりになっていませんか。

同じく10項の「C.最低限のガイドライン」の中には多くの項目がありますが「(1)一般管理事項の9.教育と訓練」には「定期または不定期なシステムの取扱い及びプライバシー保護やセキュリティ意識向上に関する研修」とあり研修をおこなうことを最低限内容に組み入れて下さいと謳っています。

こういった研修(教育)、運用管理の徹底は忙しい医療機関には手間になるかもしれません。しかしこれこそがとても費用対効果が高く効率的にリスクを減らす情報セキュリティ対策となります。

ご参考

このようなシステムもあると耳にしたのでご紹介いたします。

前回、職員の言葉による情報漏洩のお話しをしました。
有名人が入院した際など興味本位でカルテの不要な閲覧をし、知人等に個人情報を漏らしてしまう、これって意外と多いのではないかと思います。

現在、対策として特定の個人情報に対して参照権限を設定して不要なカルテ閲覧を防止する機能を持ったシステムがあります。不要な閲覧による情報漏洩が心配な医療機関はシステム検討の際にこのようなセキュリティ機能の有無を確認・検討してみてはいかがでしょうか。

最後に・・・
今回お話しした「職員への教育と運用管理規程遵守」の重要性が、皆様の情報セキュリティの検討において、お役に立つことが出来れば幸です。

次回は「情報マネジメントシステム(ISMS)ってなに?」といったテーマでお話したいと思います。

「病院経営を見える化する」関連記事はこちら

上へ戻る