医療情報システムの安全管理に関するガイドライン（第6.0版）～クリニックで、今からできるセキュリティ対策（その２）～

長　幸美

2023.06.26 医業経営支援

「専門家に聞いてみよう！」シリーズでお送りしている「クリニックで、今からできるセキュリティ対策（その２）」をお送りします。今回も、ICT活用推進課の綾部マネジャーにお話を伺います。

　※初回をまだご覧になっていない方は、こちらからご覧ください。
　　「クリニックで、今からできるセキュリティ対策（その１）」

1 【セキュリティ対策の３つの基本】

【セキュリティ対策の３つの基本】

前回は改定の背景と、クリニックが置かれている脅威、そしてクリニックの先生方にお願いしたい「３つの基本的注意事項」のお話をお伺いしました。

この基本的なポイントをもう少し詳しくお話を伺ってもよろしいでしょうか？
一つ目の業務用と家電量販店での機器の違いですが・・・クリニックの先生方でシステムに強い方は、家電量販店やwebサイトから購入される場合が多いと思うのですが・・・

その１：機器の選定・・・業務に耐えうる適切な機器を選定すべし！

確かに家電量販店で販売されているものと業務用の機器では価格が違います。家電量販店で購入したほうが安いし、セッティングも簡単にできます。このため初期費用を抑えるためにも、家電量販店やwebサイトで購入したいという先生方もおられるでしょう。
この違いはスペックの違いと専門知識が必要かどうかの違いです。

例えば、家庭用の無線LAN用のルーターでは、手軽に購入できる価格で、専門の知識がなくてもすぐに稼働できるように工夫されています。非常に使い勝手が良いものですが、同時に複数台の稼働をする場合、必要な通信速度を安定的に保つことは難しいのが現状です。つまり、オンライン資格確認、電子カルテを常時つないでいる場合、さらに画像撮影や予約システムなど、特にクラウド型のシステムを多用している場合など、業務用のルーターで対応しないと極端に速度が遅くなるなど、対応しきれない場合があります。

同時に、セキュリティ面でも、簡単に接続できるということは、すでに使いやすいように単一の方法で構築されていますので、初期操作がいりません。初期操作が簡単ということは、何らかの攻撃を受けたときに突破しやすいということにもなります。

その２：UTMを導入すべし！

なるほど・・・怖いですね。UTMについても同様ですか？

UTMは前回でもお話しした通り、様々なセキュリティ対策を１台に集約したようなもので、ゲートウェイの役割を果たします。つまり、いたずら程度の簡単なハッキングでは破られないという安全性の高いものになります。

業務用の機器を導入し、UTMを適切に管理運営することにより、ある程度のリスクマネジメントは図れると思います。

なるほど、少し安心できますね。

はい、しかしサイバーセキュリティの上で、「完璧」というものはありません。日々サイバー攻撃は進化していますし、新たなウイルスも日々開発されているのが現状です。
しかも厄介なことに目に見えないわけです。

怖いですね・・・

そうなんです。その脅威の中で万が一攻撃を受けたときには、患者さんのデータが流出したり、電子カルテが書き換わってしまったり、使用できなくなったり・・・様々な問題が起こります。その被害を最小限に抑えて、短期間で復旧させるためにも、３番目の「バックアップを適切にとる」ということが重要になってきます。

その３：バックアップは適切にとるべし！

なるほど・・・「適切に」・・・というところも肝になりそうですね。

その通りです。ただ単にバックアップをとればいいというわけではありません。
バックアップの取り方や保管の仕方も問題になってくると思います。

例えば、毎日定期的に、確実にバックアップをとっているか・・・これは当番制などのように誰がとるかわからない状況はよくないですね。担当者を決め責任を持たせることやバックアップのアクセスログをとることにより、いつの時点でのバックアップなのかということが大事です。

さらに、通常の利用状況と違う方法等でバックアップを取っておかれることをお勧めしています。

別の方法というのはどういうことでしょうか？

具体的に言うと、オンプレミス型の環境であれば、主サーバーとは別室にバックアップ用サーバーを置くこと・・・つまり、同じ場所においていたら、自然災害時に同時に2台とも被害にあい、使えない状態になることも考えられます。

そして、クラウドにバックアップを置いておくこともよいと思います。
クラウドは物理的に災害に合うことはありませんので、その点安心ではないかと思います。

また、次の段階としてはバックアップの自動化をお勧めしたいと思います。
ロボットにより、毎日一定時間に自動的にバックアップを起動させるということです。ロボットの良いところは、ヒトが忘れていても、指示を止めるまでは、定期的に繰り返し実行してくれるというところです。人的ミスでバックアップが取れていないということを防ぐことが出来ます。

なるほど、いろいろと細かいところのお話まで、ありがとうございます。
これで初期段階でまず取り組むことは一通りお伺いしたと思うのですが、次回、さらに一歩先を行く対策や、当社でお手伝いできることをお伺いしたいと思います。

　　　　　　　　　　　　　　　　　　　　　　　　　話し手：ICT活用推進課マネジャー　綾部一雄
　　　　　　　　　　　　　　　　　　　　　　　　　聴き手：医業コンサル課　長幸美（文責）

＜参考資料＞

〇厚労省「医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）」（確認日20230608）