医療情報システムの安全管理に関するガイドライン（第6.0版）～クリニックで、今からできるセキュリティ対策（その３）～

長　幸美

2023.06.28 医業経営支援

「専門家に聞いてみよう！」シリーズでお送りしている「クリニックで、今からできるセキュリティ対策（その③）」をお送りします。今回も、ICT活用推進課の綾部マネジャーにお話を伺います。
今回は、3つの基本的対策の次に考えてほしいことをお伺いしました。

　　※過去のコラムをご覧になりたい方は、こちらからご覧ください。
　　　「その１」「その２」　　　

1 基本的な対策の先に考えるもの
2 おわりに・・・

基本的な対策の先に考えるもの

さて、３つの基本的な対策についてお伺いしてきましたが、それだけでは十分ではないのでしょうか？

そうですね。前回まででお話ししたことは、「とりあえず今スグできること」「やってほしいこと」として3つのポイントをお話してきました。ある程度の対策はできると思うのですが、最初にお話しした通りで、「完璧」ということはありません。その後のことも考えておかなければなりません。

次の一手は？～バックアップをどう使うか？

前回災害が起こった時のため、またサイバー攻撃を受けたときのために復旧用としてバックアップをとるというお話をしました。
これはどのような時に利用するかというと、災害時やサイバー攻撃時に別のシステムを入れて、そこにこのデータを流し、早期に復旧させるのが狙いです。
災害や攻撃の原因等の分析はさておき、日々の診療を１日も早く復旧させ、日常の診療に戻していくためには、多少の費用は掛かると思いますが、比較的低コストで短期間で復旧することが出来るでしょう。

また、今回のガイドラインの中では、様々に規定や手順書等の作成も必要になってきます。
これらも、次の段階として、取り組んでいかないといけないでしょう。

確かに、バックアップのデータが使えないと意味がありませんね。そのために事前に何をしておいたらいいのでしょうか？

ライセンス契約の確認を！

当初のライセンス契約について、どのような契約を結んでいたか、確認しておく必要があります。
非常時に、使えなくなったライセンスの場合、新たに構築するシステムでのライセンス費用についてどのような取り決めがあるか・・・つまり、新たな契約が必要なのかどうか、ということを確認しておくことが必要です。

また、これだけですべての対策ができているとは言えません。

え？・・・というと、どのようなことでしょうか？

多方面からの視点での対策を！

このガイドラインの中では、1回目のお話しで申し上げた通り、システムにかかわる多方面の視点から構成されています。
つまり、 ①経営的側面から・・・これは経営者や意思決定権者の視点と言えます。
　　　　②企画的側面・・・つまり、これは安全管理者の視点ですね・・・
そして、 ③運用の側面・・・これはシステムベンダーや院内で運用する人の視点・・・という具合です。

医療機関で言えば、①経営的側面は院長の役割になるでしょうし、②企画的側面は総務や事務系の役割になるでしょうし、③運用の面から言うと、ベンダーとの連携になってくると思います。

院長が一人で、しかも毎日の診療を行いながら担うには、荷が大きすぎると思います。それぞれの視点から、役割を明確にして、連携していく必要があると思うのです。

先ほどのライセンス契約の見直しについて言うと、ライセンス契約の見直しをして、その際の費用発生がどの程度かを確認し、非常時に復旧するためには、どの程度の費用や時間がかかるのか、①の経営的な側面からも確認し、備えておくことが必要だと思います。
特に③のベンダーとの連携に関しては、保守契約の見直し等が発生してくると思います。何をどこまでお願いするのか、ということも、考えていく必要があります。

なるほど・・・いろいろな側面から院長の負担も大きくなると思いますが、我々が支援できることがありますか？

例えば、現状のリスクアセスメントの部分で、評価し助言することはできると思います。
どのようなシステムがあり、何をしたらいいのか、ご相談いただければ、お話を伺いサポートさせていただきます。

また、保守内容についても、セカンドオピニオン的なご相談はお受けできると思います。

さらに、サイバー保険など、現在はサイバー攻撃を受けたときに補償が受けられる保険も発売されてきました。
まあ、車で例えるのであれば、「車両盗難を防ぐための装置を買うか？」それとも、「車両保険で盗難にあったとしても大丈夫な状態にするか？」という違いとでも言いましょうか・・・？
ご興味がおありの方は、リスクマネジメント課とも連携し、ご説明させていただきます。

リスクアセスメントの部分で現状をみてもらい、必要な機器等を助言していただけると、システムベンダーに話をする際も、心強いですね。さらに保険の相談もできるのであれば、少し安心ですね。
最後に、先生方にお伝えしたいことがあればお願いします。

先生方にお伝えしたいことは、災害やサイバー攻撃はいつ起こるかわからないし、医療機関の規模にはよらない・・・ということです。
大規模な病院だから狙われやすいとか、小規模なクリニックだから大丈夫・・・ということは決してないということは、声を大にして言いたいと思います。

これまでの事例を見ていても、病院の規模ではなく・・・つまり大きい医療機関が狙われているわけではありませんし、突破しやすい小さなところから大きな医療機関に拡大していくということも十分に考えられます。洋服などでも、小さなほころびを放っておくと大きくなるのと同じです。

このために、最初にお話しした３つの基本対策のうち①業務用の機器の選定と②UTMの設置は有効だと思いますし必須だと思っています。適切にバックアップをとるということも、工夫次第ですぐにでも始められることです。まずはシステムベンダーに相談し、もしお困りになることがあれば、我々にご相談いただければ、何らかのアドバイスはできると思います。

このような取り組み易いところから、ひとつずつ取り組んでいかれることが大事だと思います。
今後も時代とともに修正が入りつつガイドラインも変化してくるでしょう。
その際にも先ずは今回の「基本の3点」から取り組みを始めていきましょう。

綾部マネジャーありがとうございました。
また、新たな情報等があれば教えてください。