現場の部門から考える医療機関の情報セキュリティの課題
今月に入って復旧したとのニュースがありましたが、2021年10月末に起きた町立病院に対するサイバー攻撃事例は色々と考える事が多い事例でした。
その後、過去5年間で11施設の医療機関がサイバー攻撃を受けていた4)とのニュースや、都内の医療機関が標的5)になっているかもしれないとのニュースも出て、この数か月で医療機関の情報セキュリティに関する話題がとても増えています。
その中で、医療情報システムの情報セキュリティ指針が今年度中にも改定されるとのニュース6)もあったため、医療機関で働く現場のスタッフ兼、情報処理安全確保支援士として現場から見た医療機関の情報セキュリティについて考えをまとめました。
*医療機関の情報セキュリティとして、本記事は現状把握と課題について記載しています。
現行のガイドラインと改訂の方針
現行のガイドラインは「厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版」として厚生労働省から公開されています。
今回の改訂案では電子カルテなどのバックアップデータについては、病院のネットワークから切り離して保管することを明記する方針に加えて、保存する媒体の種類や更新の頻度なども具体的に示されるようです。
とは言え、現行のガイドラインもしっかりと作られているため、極端に短い更新頻度でない限りはガイドラインに則った安全管理を行っていれば大きな変化は無いと思います。
ガイドラインの利用状況と課題
実際のガイドラインの利用状況について、2020 年度 AMED(医薬品等規制調和・評価 研究事業)医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究 医療機関の情報システムの管理体制に関する実態調査調査結果概要からは、全体では28%、病床数200床以上の中規模以上の病院では64%の回答で医療情報システムの安全管理に関するガイドラインを活用しているとのことでした。
Q13 厚生労働省の「医療情報システムの安全管理に関するガイドライン」(最新版は【第5版】)を把握・活用しているかお答えください。
http://www.jaame.or.jp/mdsi/cs21/CS-hdos.pdf
気になる点はガイドラインの活用率が高い中規模病院以上の回答者の多くはシステム担当者だったため、システム担当者が不在の医療機関も多いことから未回答の施設を含めると利用状況はさらに低下すると思われます。
また、自由記載欄にも様々な参考になる意見が記載されていますが、ガイドラインの利用状況からの課題としては以下の意見が気になりました。
- 人手不足、ベンダーの理解の無さ等のため、病院レベルで実施することが不可能になりつつあると感じています。
- 前の会社では情報システム部門や情報セキュリティ部門も経験していました。医療業界に入りあまりにIT化の遅さと職員のITリテラシーの低さと病院システムの複雑さにびっくりしました。 ~中略~ まだまだIT化が進んでいないのでベンダーのいいなりと言わざるを得ません。
電子カルテを含む病院情報システムの現状
医療情報の情報化(ICT利用)は厚生労働省からも積極的に進められており、電子カルテシステムの導入率も全体の約半数まで進んでいます。
https://www.mhlw.go.jp/stf/seisakunitsuite/bunya/kenkou_iryo...ですが、元々医療現場では資格を規定する法律も個別に定められているように専門性に特化した部門・職種がそれぞれの領域に関する業務を全うすることで医療を提供しています。そのため、あくまで医療の中心は患者と主治医ですが、各部門によって取り扱う情報や医療機器は個別に特化しています。
そのため、医療情報システムを専門に取り扱う医療情報技師育成部会の資料(医療情報技師:医療情報システム系の到達目標)でも、医療情報システムの機能に関する個別目標として計40のシステム(部門システム)が記載されています。
もちろん、電子カルテシステムに統合されている機能や施設で実施していない部門などもあるため、全ての部門システムが導入されている施設ばかりではありません。ですが、小規模の医療機関であっても医療提供体制の中に専門性の高い領域が複数存在し、それぞれ取り扱う情報や機器が特化されている事が自由記載にもあるような「病院情報システムが複雑」な理由となっています。
電子カルテベンダーさんとの立ち話から
私自身も医療技術職のため自部署でも部門システムは導入していますし、電子カルテも導入しているためベンダー企業の方とも話す機会は多いです。
先日、この記事を書くきっかけとなったオフラインバックアップの体制について電子カルテベンダーのSEさんと話をして改めて浮かび上がった課題をまとめました。
電子カルテ・各種医療機器・部門システムの全体像を誰も把握していない
電子カルテ導入以前より部門システムが導入されていた経緯もあり、病院情報システムの全体像の把握は電子カルテベンダーでは不可能との話がありました。また、部門システムはもとより、電子カルテ以前から構築されているネットワークは別の会社が管理していることや、部門システムに接続されている医療機器についてはどんな機器が接続されるのかも知らないとのことでした。
また、今の職場では専任のシステム部門が無いことも一因ではありますが、部門システムや医療機器の導入、打ち合わせは各部門が中心となって行います。ですが、病院情報システムに関する知識や経験は現場スタッフによって異なり、運用やセキュリティに関する責任範囲は曖昧なまま決定される事が多いため電子カルテベンダーまで情報が伝わっていないようでした。
当然、運用やセキュリティについて詳しい現場スタッフは少ないため、どちらかと言うとベンダーに都合のいい契約となっているのが現実だと思います。
各部門が独自に部門システム・医療機器を管理
そのようになる原因としては、前述したように専門領域に分かれていることから現場で扱う情報システム・医療機器も特化型となり一般的な情報システム部門で取り扱うことが難しい事にあります(もちろん、部分的には一般的な情報システム部門で可能な範囲もあります)。
また、緊急時などでも医療の継続性を担保する必要性もあり、現場で判断・対処できる権限が必要になるため情報システム部門での集中管理が難しいことも理由になると思います。
ですが、ITリテラシーの高い現場スタッフは決して多くはありません。
部門システム・医療機器へのセキュリティアップデートが少ない
現在の医療機器には機器自体にもシステム(OS:windows系もあり)が使われている事が多いですが、一般的なPCよりは組み込み系OSに近いです。そのため、ドライバも特殊なものが多くなることからアップデートによる不具合リスクが高く、セキュリティアップデートが実施される機会もほとんどありません。
元々は閉じたネットワークやネットワークとは接続せず運用する形態が多いため、アップデートしなくともサイバー攻撃のリスクが低かったことも理由だとは思います。
また、薬事法の登録医療機器として厚生労働省の認可を受けているため、システム更新であっても機能に影響する場合は再認可が必要となることもアップデートされない原因となっています(機能に影響をしない範囲のシステム更新は薬事法の再認可は必要ありません)。
現状から把握できた課題
以上をまとめると医療機関の情報セキュリティ向上が進まない原因としては、1. 病院情報システムの複雑さ、2. 職員のITリテラシーの低さが最も大きな理由であり、そのために部門システムや医療機器のベンダーとのやり取りや契約に齟齬が生じている事が原因と思いました。
実際問題、システム担当者がいたとしても導入されている全ての病院情報システムを把握するのは困難だと思うため、今後情報セキュリティを向上させるためには現場職員であってもITリテラシーの向上は必要になると考えています。
後半では上記の課題を踏まえて現実的な医療機関の情報セキュリティ対策の実施案を考えていこうと思います(後半は現在作成中です)。
参考リンク
- https://www.yomiuri.co.jp/local/kansai/news/20220104-OYO1T50017/
- https://www.yomiuri.co.jp/national/20211102-OYT1T50093/
- https://www.yomiuri.co.jp/local/kansai/news/20211229-OYO1T50000/
- https://www.yomiuri.co.jp/national/20211228-OYT1T50173/
- https://www.yomiuri.co.jp/national/20211229-OYT1T50255/
- https://www.yomiuri.co.jp/national/20211231-OYT1T50019/
*普段は本文中にリンクしていますが、ニュース記事はいつ閲覧できなくなるかわからないためURLの紹介のみにしています(リンクにすると後々リンク切れの修正が必要になりそうなので...)。