病院IT化に伴うリスクと「対応・対策」を考える
~患者情報漏洩を防ぐには~

医療機関データの有効活用と取り扱い(第2回)
2017年6月

執筆者:株式会社 Benett One(ベネットワン)
    代表取締役・診療放射線技師
    米山 正行(よねやま まさゆき)氏

はじめに

電子カルテの普及に伴い情報共有など医療従事者にとって利便性が向上した反面、紙カルテを使用していたときには考えられない「システムダウン、情報漏洩」といったリスクがIT化の副産物として発生しました。

今年5月に起きたランサムウェアによるサイバー攻撃は話題となり各医療機関でも改めて情報セキュリティを見直す良い機会になっていると思います。また今後IT化を進めている医療機関にとっては、どのような取り組みや対策を講じるかといったことが重要となります。今回より2回に分けてそのようなリスクと対応・対策を考えていきたいと思います。

IT化で考えられるリスクとは

IT化によって医療業務の効率化も進み、医療の質も向上したと言われていますが、それによるリスクであるシステムダウンといった事態を想定することが必要となります。

原因はいろいろな場合があり、程度の差もあります。システムダウンにより引き起こされる医療機関の機能への影響は非常に大きく、最悪の場合には、診療が全くできなくなるといった可能性もあるかもしれません。

また患者情報の共有が容易になることにより地域の医療機関と情報連携ができるようになることは、地域医療機関で働く方の利便性向上や患者サービスの向上に繋がります。

その一方で施設内ではどこからでも患者情報の閲覧が可能になることから、業務上必要のない患者情報も閲覧できてしまい患者情報漏洩のリスクが高くなることに繋がります。

さらにインターネットからのシステムへの不正アクセス等の脅威もあることから、医療機関も今後はそういったリスクと真剣に向き合うことが重要です。

医療機関で取り扱われる情報とは?

まずは医療機関で取り扱われる情報の重要性について再認識したいと思います。

医療従事者が病院内で日ごろ見ている病歴等を含む患者情報はJISQ15001において原則、収集が禁止されている特定の個人情報といった扱いとなっています。

医療機関ではこのような大変重要な個人情報を患者の利益のために特例として収集、取り扱いが許可されています。日常、医療機関で使われている情報がこのような「機微な個人情報」であることを再認識し、慎重に患者情報を取り扱う必要があります。

電子カルテシステムは安全?

うちの電子カルテシステムは閉鎖回線だから大丈夫!なんて思っている方はいませんか?

オンプレミスの電子カルテでネットワークは別にしているから大丈夫と思っていても「地域での情報連携をしている、リモートメンテナンスをしている」など、何かと外部との接触は発生しています。
外部との接触があるということは100%不正アクセスやウィルスによる攻撃が無いとは言い切れない状況です。

クラウドシステムにおいても同様です、どちらの場合でも100%の安全はないと認識をして対策を取ることが重要です。このところ脅威を増しているランサムウェアによるサイバー攻撃は個人情報自体を狙ったものではありませんが、法人等の業務妨害から金銭を搾取することが目的です。

このような攻撃はランダムに行われる場合もあるので医療機関が標的になる可能性も十分に考えられます。この脅威に対して「対応・対策」を再確認する必要があるのではないでしょうか。

医療機関での患者情報漏洩とは?

サイバー攻撃やウィルス感染に触れましたが、医療機関の患者情報漏洩で一番多い原因はサイバー攻撃でもウィルス感染でもありません。残念ながら職員等による情報の持ち出しや職員の言葉による漏洩が多いのです。

USBメモリ等の媒体に患者情報を入れそれを紛失したり、患者情報の入ったパソコンを紛失したりするといったことが多く報告されています。

IT化により院内には多くのパソコン(以降端末)が存在します。各端末のUSBポートが使用可能な状態である施設では患者情報が持ち出されてしまうリスクがあり、適切な患者情報管理をしているとは言えない状態であると考えます。

しかし、多くの施設ではUSBポートが使用できない状態にされており、一部の端末からしか情報を持ち出すことができない状況を作るようにしています。ではUSBメモリでの漏洩が多いのは何故でしょう?

それは情報を持ち出すための規程がしっかりできていないケースやUSBメモリの使用に関する規程があっても、それを違反するケースが多いためと考えられます。

職員の言葉による漏洩とは?

医療従事者にはそれぞれ守秘義務があるので本来はそのようなことは無いことが前提ですが、興味本位などから不要なカルテ閲覧をしてしまい、その内容を他人へ話をしてしまうことにより発生します。

患者情報漏洩には様々なケースがあると思います。今回は代表的なリスク等を筆者の病院勤務での経験を踏まえてお話しをさせていただきました。

医療機関にはサイバー攻撃の知識を有する専門家はいません、しかしそういった脅威があるという認識をもって対策を取ることは必要となります。

次回は、そのような状況の医療機関でするべき「対応・対策」について考えてみたいと思います。

上へ戻る