待ったなしのサイバーセキュリティ対策 医療機関での義務化を受けて ―現状と対策  PDF

 医療法施行規則の一部を改正する省令により、本年4月から医療機関の管理者に「サイバーセキュリティを確保するために必要な措置を講じる」ことが義務付けられた。厚生労働省は、「必要な措置」として「医療情報システムの安全管理に関するガイドライン」(以下、ガイドライン)を参照し、その中でも優先的に取り組む事項として「医療機関におけるサイバーセキュリティ対策チェックリスト」(以下、チェックリスト)を確認するよう求めており、チェックリストは医療法に基づく立入検査時に確認するとしている。
 これを受け、協会では小規模医療機関を対象に医療安全講習会を開催し、具体的なサイバーセキュリティ対策について周知を図るとともに、代議員を対象に現状の認識や対策についてアンケートを行った。

小規模医療機関の具体的対策を講演
まずは自院の現状把握から
医療安全講習会

 協会は11月4日、「小規模医療機関に求められる情報セキュリティ対策 対策事例を通して『今』できることを考える 」をテーマに第1回医療安全講習会をウェブで開催した。講師は大津赤十字病院事務部医療情報課課長の橋本智広氏。講習会は全国の保険医協会・医会会員医療機関にも呼びかけ、127人が参加した。
 講演の冒頭、橋本氏は、医療機関の経営層にはサイバーセキュリティへの強い意識とマネジメントが求められており、医療機関の規模を問わず医療情報システムの安全管理は責務だと述べた。
 次に、情報セキュリティ対策は現状把握、リスク分析・評価、リスク管理方針の決定の順に進めることが重要と説明した。特に現状把握において、チェックリストを用いて院内のシステムごとにセキュリティ状況を点検し、ベンダーと認識が一致しているかを確認、そして具体的な対策を協議するよう述べた。チェックリスト項目の一つであるバックアップについては、データのみではなく、Windowsなどのオペレーションシステムやソフトウェア、アプリケーションも一緒に保存しておかなければ、データ復旧の際に時間がかかったり、復旧できない可能性があると指摘。各医療機関でバックアップの内容などを確認し、不明な点はベンダーに相談することが重要と解説した。
 他にも、自身が勤務する大津赤十字病院が中核病院として参加している滋賀県医療介護情報連携ネットワーク「びわ湖あさがおネット」を紹介した。ネットワークでは、参加する医療機関などの間で患者の診療情報などを共有・利活用でき、一貫して患者の治療に当たることができる一方で、ウイルスが侵入すると他の医療機関などに感染が広がるリスクがあると指摘した。したがって、院内の診療録の作成・管理を行う端末が オンプレミス型・クラウド型でインターネットと分離されている インターネットに接続されている 紙カルテを運用している のいずれのケースかによってウイルスの侵入経路が異なるため、各医療機関の運用形態に応じた対策を講じなければいけないとした。全てのケースにおいて考えられる身近なリスクは、患者や他院から持ち込まれたUSBやCD-Rなどからの感染で、データ授受の際にはウイルスチェックなどの対策が効果的であると解説した。
 最後に、セキュリティ情報は信頼できるところから得ることが重要であり、各省庁、独立行政法人情報処理推進機構、医療分野におけるサイバーセキュリティに関する情報共有体制(ISAC)からの情報は積極的に確認するよう勧めた。
 質疑応答では、講演で紹介した、EDR(不正ソフトウェアの異常な動きを検知し報告するセキュリティサービス)を契約する際の注意点について質問があった。EDR契約時には販売会社の導入実績を確認することと、EDRはシステム上、外部と接続する必要があるため信頼のおける回線と契約することが重要と回答した。他にも、バックアップの保存先に関する質問などが寄せられ、参加者の情報セキュリティ対策への関心の高さがうかがえた。
 本講習会の模様は期間限定で協会ホームページに掲載中である。左記QRコードよりご覧いただき、医療安全研修に活用いただきたい。

ページの先頭へ