医事関連のテーマを中心に感じたこと、考えたことを綴っていきます

情報セキュリティにどう取り組むべきか?

情報セキュリティと言えば少し前までは職員のミスによる医療情報の漏洩、紛失問題が幾度となく取り上げられていました。

USBの紛失やメールの誤送信、職員による個人情報の持ち出しなど枚挙にいとまがないほど多くのものが見られました。

未だにそのようなことは実際起こっていますが、近年はそれよりも外部からの攻撃であるサイバー攻撃が増加している傾向にあるようです。

診療情報を取り扱う立場として情報セキュリティについて今後どのように取り組んでいけばいいのかを考察します。

サイバー攻撃の増加

従来は職員のミスや内部不正というものが多く見られました。

職員のミスとしてはUSB機器や端末の紛失、メールの誤送信、外部のUSB機器や端末等への誤った接続などがありました。

また内部不正としては職員による機密情報、個人情報等の持ち出しなどがありました。

医療情報の漏洩、紛失は未だに一定数起こっています。

これは明らかに内的要因であり偶発的にしろ意図的にしろ規則とモラルを保てば防げるものです。

これに対して近年増加しているサイバー攻撃は意図的な外的要因であり対策を講じていなければひとたまりもありません。

それこそ情報セキュリティは重要ですというだけでは全く意味がないのです。

ランサムウェア被害

昨年10月N県のU病院で国内初のランサムウェア被害がありました。

その結果1100人の患者の診療データが復旧出来ない事態となりました。このような場合ランサムがどこから入ってきたかが問題です。

もしメール経由であればたとえアンチウィルスソフトが入っていたとしても検知出来ないケースもあります。

また外部のWeb経由でとなればそのWebを閲覧した病院スタッフが原因となります。

どちらも無用なメールやWebに接触しなければ避けられる訳でそういう意味では外的要因であり、人為的ミスとも言えてしまいます。

徹底すべきは不正なプログラムを実行しないことです。

うかつに添付ファイルを開けない、不正サイトへの誘導リンクのURLをクリックしない、という口を酸っぱくして言われていることを守ることが必要です。

サイバーセキュリティ対策の強化

平成30年10月に厚生労働省より「医療機関等におけるサイバーセキュリティ対策の強化について」という通知が出ており以下のようにあります。

1.「医療情報システムの安全管理に関するガイドライン」の周知徹底について

2.情報セキュリティインシデント発生時の国への報告について

3.情報セキュリティインシデントが発生した医療機関等に対する調査及び指導について

4.医療分野におけるサイバーセキュリティに取り組み(医療セプター)との連携について

この中で4にある医療セプターとはIT障害の未然防止、発生時の被害拡大防止・迅速な復旧、及び再発防止の為に政府等の情報を適切に重要インフラ事業者等に提供・共有し、各重要インフラ事業者等のサービスの維持・復旧能力の向上に資することを目指す枠組みのことを言います。

現在は日本医師会に事務局が置かれ演習などを行っています。

サイバーセキュリティ教育

まずサイバー攻撃は診療業務の停止、大規模情報漏洩を引き起こすことがある為、サイバーセキュリティ対策は経営問題であることと認識しておく必要があります。

そういう意味では経営層がその認識を強め教育を通して関心をもつことが大切です。

そしてセキュリティ対策はシステム部門のみではなく経営層や各部門の連携が必須であるとの院内統一の認識が必要不可欠なのです。

まとめ

今後ますます増えてくることが予想されるサイバー攻撃に対しては事前の対策をどう講じるのかがポイントとなります。

また、情報セキュリティ人材の育成は必須の課題となります。

そして情報セキュリティはコストではなく投資であるという経営層の意識改革が必要です。

診療情報を取り扱う為には情報セキュリティにリソースを割くことは当然でありそれがないと診療情報の質は担保されません。

院外の専門家やベンダーへ協力を仰ぐというのも1つの手段ですがまずが自院での自己点検の強化から始めることが先決です。

その為にはそれが出来うる人材を数多く育てておく必要があります。

今後は遅かれ早かれ保険医療ネットワークとして全国の医療機関との接続が実現していきます。

そうした時中途半端な対策では外部からの攻撃リスクも高まり、自院の感染が他施設へ波及するリスクも高くなります。

よって今後は出来うる徹底した対策を用意しておかねばなりません。

そしてその為の教育、人材育成が急務であることをトップに理解してもらう為にアピールしていく必要があるのでしょう。

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です