現場の部門から考える医療機関の情報セキュリティ向上への対策

2022-01-16

前回の記事では、医療機関の情報セキュリティに対する課題を現場の職員兼、情報処理安全確保支援士としてまとめました。

まとまった課題を踏まえて、この記事では医療機関の情報セキュリティ向上に対してどのような対処が必要かについて考えてみます。

もちろん時間もかかりますし、経営面や現場の抵抗などの問題も起きると思うので順調に進む事は無いと思いますが、医療機関に対するサイバー攻撃やセキュリティインシデントが減ることは無いと考えられるため、医療情報を安全に取り扱うためにも実現に向けて取り組む必要があります。

まずは現場職員のITリテラシー向上

前回に課題でも上がった「職員のITリテラシーが低い」要因としては、多くの医療機関の職員は職種(医師・看護師等)に応じた資格を取得しています。当然資格試験がありますが、多くの試験では資格に関する法律・知識・技術が中心になっています。

もちろん、求められている職能に対する試験のため当然ですが、ITは医療本体に直接関係ない分野のため多くの資格試験では問われることはありません。そして、医療機関は医療に必要なために該当する医療知識・技術を持っている人材(資格保有者)を求めるため、ITリテラシーの有無に対する評価は二の次になってしまいます。

ですが、現在では小学生でプログラミング教育を受ける世の中です。資格に関わらず「読み書きそろばん」と同様に職員全員がITリテラシー向上に努める事が大切だと考え、トップダウンで取り組む必要があります。

医療機関のISMS(情報セキュリティマネジメントシステム)

続く課題では「医療機関で使われる病院情報システムの複雑さ」がありますが、様々な専門職種・部門に特化した部門システム・医療機器を連携するためにどうしても複雑化してしまいます。

また、連携されている部分は部門システム・医療機器の一部のみとなっている場合が多いため、医療機関のISMSは連携後だけでなく各部門が中心になって部門システム・医療機器のISMSを実施する必要があります。

情報セキュリティマネジメント試験を積極的に活用

当然、そのためにはITリテラシー向上だけでなく各部門でISMSを実施できる体制が必要になりますので、IPAの情報セキュリティマネジメント試験の合格者をISMS責任者とするなど、知識・技術の外部評価が必要と考えています。

上記の記事にも書いているとおり「情報セキュリティ対策にフレームワークやガイドラインを利用していない」企業は多く、医療機関では「厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版」が公開されていますが、形式を整えるだけでなく実効性を伴った情報セキュリティ対策を実施するためには現場スタッフの知識・技術の習得が必要です。

もちろん内部的な研修も大切ですが、生兵法にならないためにも一定の外部評価は必要だと考えています。

医療情報システムの統括管理

前述のとおり各部門がISMSは必要ですが、もちろん医療情報システム全体としてもISMSを実施する必要があります。

特に、部門システムや医療機器が多い医療機関では関わっているベンダー企業も多く、規模の大きな医療機関では現場の部門しか知らないベンダー企業も出てきます。そうなると、現場の部門しか情報を持たなくなってしまうため、仮に部門でのISMSが機能していても全体としてセキュリティ上の穴が開いてしまう可能性が出てきます。

実際に経験した例

  • 病院ネットワークを設計したベンダー企業が事業から撤退して別企業が引き継いだ結果、使用している機器の詳細情報が無くなっている(何故か別フロアのラベルを貼っているL2スイッチが転がっている)。
  • 他部門ですが、部門システム(電子カルテシステムと連携済み)から印刷する複合機が外部ネットワークと接続されている。
  • 持ち運んで使う医療機器が無線LANで接続されているが、医療機器がWindows XP Embeddedで動作していることを電子カルテベンダーが知らない(知らなかった)。

特に、医療機器で本来の機能が壊れていない場合は高額になることもあり更新頻度は高くなく、古いシステムのまま動作している場合が多いです。その上、Embeddedシステムではウイルス対策ソフトを導入できない場合も多くセキュリティ構成の前提を満たしていない場合も出てきます。

そのような事態を防ぐためや、部門だけでは難しいベンダー企業全体の調整・責任範囲の明確化のためにも病院情報システムの統括管理が必要になります。

ですが、規模の大きな医療機関はともかくとして、小規模になるほどシステムの専門部署や担当者がいなくなるため、外部委託も踏まえた管理・運用方法を考える必要があると思います。

医療機器メーカーの責任を明確化

前回も参考にさせてもらった「医療機関の情報システムの管理体制に関する実態調査調査結果概要」の自由記載にも、医療機器においては「薬事法機器に該当するため」を理由とし、動作保証の観点から病院が求める外部デバイスの接続制限ソフトウェアの導入やウイルス対策ソフト等の導入を断るメーカが多く、病院側として対策が行えないケースがある。サイバーセキュリティ対策を前面的に協力することを義務化してほしい。とあります。

また、実際の経験でも「1. 医療機器自体のセキュリティアップデートは明記していない」にも関わらず「2. サイバー攻撃等の原因で障害が起きても保証しない」と契約書に書かれていたことがあり、内容に関して質問したもののそのまま押し通される事例もありました。

医療機器プログラムのアップデート自体はできないことは無く、Pmdaからの医療機器プログラムの状況でも以下のように回答されています。

経過措置対象外品であっても、既存の製品に対するサイバーセキュリティ対応や医療上の安全性確保を目的としたバグフィックス等は可能

https://www.jdta.org/wp-content/uploads/2020/01/pmda_6.pdf

もちろん様々な医療機関や管理者がいますので、すべてが医療機器メーカーだけの責任ではありませんが、今後は医療機関と医療機関メーカーそれぞれの責任を明確化し、協力してセキュリティ対策を実施できるような体制を作る必要があると思っています。

本来は専門家の介入が必要

上記の体制を整えても内容としては、実際には内部的な情報セキュリティ対策に留まっています。元々医療の中では職務に対してアクセスできる情報の権限や機密保持が資格の中でも規定されていることもあり、前述した厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版 にも情報セキュリティに関するのスキル要件は明記されていません。

ですが、デジタル化された医療情報のセキュリティ管理に対しては、従来までの管理とは異なる部分を改めて認識して必要に応じた専門家の判断が必要になると思っています。

現状ではガイドラインの準拠しか規定はありませんが、今後は「診療録管理体制加算」に外部機関の情報セキュリティ監査の実施を加えるなど、より具体的で実効性を持った情報セキュリティ管理体制の法制も整えて欲しいと思っています。