医療情報システムの安全管理に関するガイドライン（第6.0版）～セキュリティ対策チェックリストの活用①～

長　幸美

2023.07.24 医業経営支援

皆さん、こんにちは！

「クリニックで今からできるセキュリティ対策①②③」ご覧いただけましたでしょうか？

ちょうどこのインタビューを行った直後に、厚労省から「医療機関におけるサイバーセキュリティ対策チェックリスト」というものが出されました。皆さんもご覧になられましたでしょうか？
このチェックリスト・・・見てみると、なんだかよくわからない言葉が出てきたり、どの書類をみて確認したらいいのかわからなかったり・・・さて、これは困った、と思い、また、「専門家　綾部マネジャー」にご登場いただくことにいたしました。

前回までの復習は、こちらをご覧ください。　
　　その①：クリニックで、今からできるセキュリティ対策（その１）
　　　　　　　　⇒基本的な三つの対策
　　その②：クリニックで、今からできるセキュリティ対策（その２）
　　　　　　　　⇒三つの基本対策をもう少し詳しく！
　　その③：クリニックで、今からできるセキュリティ対策（その３）
　　　　　　　　⇒対策の次に見直すことは？

1 情報セキュリティの基本的な三つの対策
2 サイバーセキュリティ対策チェックリスト
3 システムベンダーにも確認を！

情報セキュリティの基本的な三つの対策

前回の三つの基本的な対策・・・
　　①業務に耐えうる適切な機器を選定すべし！
　　②ＵＴＭを導入すべし！
　　③バックアップは適切にとるべし！
という教え、この基本的なところを抑えていたらある程度の対応ができていくのではないかというお話しでしたね？　非常にわかりやすく、クリニックの先生方もそれならできるかも・・・というお声もいただきました。

そうですね。基本的なことですが、とても大事なことですので、ぜひこの基本的な三つの対策は実施していただきたいと思います。

ありがとうございます。
そして、今回お話を伺いたいのは、厚労省から新たに出てきた「セキュリティ対策チェックリスト」についてです。このチェックリスト、言葉が難しくて、よくわからないので教えていただきたいのですが・・・

このチェックリストは、ガイドラインに沿った対応を行うために「自主点検を行いましょう」という意味合いが強いと思います。私たちシステムエンジニアとしては、ごく当たり前のことがリストアップされているように思いますが、「システムの基本」が理解できていないと難しく感じられるかもしれません。

例えば、このリストに記載されている内容は、前回お話しした

　・適切な機材を導入していること
　・バックアップ等は適切に行われていること

ということが前提で書かれています。前回までのお話を実行した一歩先にあると考えていてもよいと思います。

なるほど、そのくらい前回までの話は大事な話だったということですね。

そういうことになります。

サイバーセキュリティ対策チェックリスト

医師会からの通達や保健所の医療監視の案内で、この「医療機関におけるサイバーセキュリティ対策チェックリスト」が、医師会等を通じて配布され始めています。令和５年度中にやること、令和６年度中にやることと、目標を立てて自主点検するようになっています。

そうですね。私も、拝見しました。
「医療機関確認用」と「事業者確認用」に分かれていて、医療機関側だけでは完結しないような内容になっています。そもそも、リモートメンテナンス等で、事業者側もシステムを利用するわけですので、事業者側にも「サイバーセキュリティ対策をたてる」ことは重要な役割になってきます。

そもそも「医療情報システム」というのは、電子カルテシステムやレセプトコンピュータシステム、そして今年４月から義務化された「オンライン資格確認システム」のことを指すんですよね？

それだけとは限らないのではないでしょうか？

例えば、画像診断や検査システム、オーダリングシステムや、予約システムなど、院内・院外のネットワークを利用して、様々なサービス提供が行われています。このような場合、多くのシステムは「リモートメンテナンス」を利用されているケースが多いのではないかと思います。

厚生労働省／医療情報システムの安全管理に関するガイドラインの概要及び主な改定内容より

病院さんになれば独自に開発したシステムを運用されているケースもあるのではないでしょうか？
これらを利用する場合は独自に対策を立てる必要もあります。

前回「その３」でお話しした「契約内容を確認しておきましょう」というのは、導入時の契約だけではなく、「保守契約」の中でどのようなサービスを受けておられるのか、ということが重要になってきます。

なるほど・・・

一つひとつの契約内容をすべて整理し把握されていることはほとんどないと思います。
システム機器の導入時に「初期設定書」があると思いますのでその内容を確認してみてください。

「初期設定書」ですか？

そうです。導入した時点で、どのような設定をしているか、という基本的な設定の内容を書いたものにになります。

例えばアクセス利用権がどのように設定されているか、利用者のマスタ登録がどうなっているか、リモートをつなぐ場合の設定がどうなっているかなどが記載されています。

システムベンダーにも確認を！

導入時の設定まで調べるとなると、なかなか難儀ですね。

先生方の契約があるシステムベンダーすべてにこの「サイバーセキュリティ対策チェックリスト」を投げて、「項目ごと」に見てもらうようにしてください。

例えば、この「チェックリスト」の「２＿医療情報システムの管理・運用」については、システムベンダーに聞かないとわからない項目もあります。

例えば、「２－（７）セキュリティパッチを適用している」という項目など、最新のパッチを適応されているかどうかというのは、メンテナンスを行っているシステムベンダーさんは把握されていると思います。まれに、「Ａシステム」と「Ｂシステム」のセキュリティパッチが干渉しあい、最新にアップデートされていない場合がありますが、そのような場合など、システムベンダーさんが把握されていると思います。

また、「２－（３）事業者から製造業者／サービス事業者による医療情報セキュリティ開示書を提出してもらう」などは、そもそもこれからいただくものであったりしますので、システムベンダーさんとしっかりコミュニケーションをとる必要があります。

なるほど・・・なかなか難しいですね。
次回はこの「サイバーセキュリティ対策チェックリスト」の内容について、教えてください。

　　　　　　　　　　　　　　　　　　　　　　　　　話し手：ICT活用推進課マネジャー　綾部一雄
　　　　　　　　　　　　　　　　　　　　　　　　　聴き手：医業コンサル課　長幸美（文責）

＜参考資料＞

〇厚労省「医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）」（確認日20230708）

2023年7月12日