医療情報システムの安全管理に関するガイドライン（第6.0版）～セキュリティ対策チェックリストの活用②～

長　幸美

2023.07.26 医業経営支援

さて「サイバーセキュリティ対策チェックリスト」の活用の２回目です。
今回もＩＣＴ活用推進課の綾部マネジャーにお話を伺います。

1 医療機関におけるサイバーセキュリティ対策チェックリストとは？
2 チェックリストの構成
3 まとめ

医療機関におけるサイバーセキュリティ対策チェックリストとは？

そもそも医療機関等に対するサイバー攻撃は近年増加傾向にあることは、皆さんご存じのことと思います。オンライン資格確認システムの導入により、さらにその脅威は高まってきていると思います。
医療機関が適切な対策をとることが求められています。このような背景を踏まえ、厚生労働省は「医療情報システムの安全管理に関するガイドライン」を作成し、適切な対応を求めているわけですが、医療機関が優先的に取り組むべき事項をチェックリストにまとめ、わかりやすく解説されたものになります。

このチェックリストの利用方法については、厚生労働省からマニュアルが出されていますので、このマニュアルを必ず読んで、マニュアルをもとに活用されるとよいのではないかと思います。

チェックリストの構成

チェックリストが２種類ありますね。

これは同じ項目になりますが、医療機関が使用するものと、システムベンダー（事業者）が使用するものと二種類になります。医療機関独自ではなく、システムベンダー（事業者）さんとも協力しつつ対策を立てるという意味合いがあるのではないかと思います。
すべてをクリニックの先生方で完結することは難しいと思います。
このチェックリストを利用することによって、システムベンダーさんも「担当者」としての自覚も持っていただけるのではないでしょうか？

またシステムごとに・・・例えば、電子カルテとレセプトコンピュータシステムが同一の場合は問題がない場合でも、別々のシステムをつないでいる場合など、どちらがネットワーク形成にかかわっているかわからない場合があるかもしれません。

なるほど・・・ではシステムを提供しているベンダーさん毎に確認をする必要がありますね。

その通りだと思います。

また、一度点検したからよし！というわけにはいかないと思います。システム更新や機器の更新等が起こると思いますから、その都度確認が必要でしょうし、何もなくても、１年に１回はチェックリストを活用して点検されることをお勧めします。

情報システムの有無について

ここでいう「情報システム」にはどのようなものが含まれるのでしょうか？

このチェックシステムの中で示されている「医療情報システム」は、医療情報を保存するシステムだけではなく、医療情報を扱う情報システム全般を想定すると説明されています。
これには、ベンダーさんから提供されているシステムだけでなく、医療機関等において自ら開発・構築されたシステムが含まれまると定義づけられていますので、注意が必要です。

・・・ということは、レセプトのオンライン請求、オンライン資格確認システムの活用がほぼ義務付けられていますし、ほぼ全医療機関が該当すると考えてもいいですね。

項目１．体制の構築

医療情報システム安全管理責任者を設置しているとありますが、ネットワークやシステムに関する管理をすべてベンダーさんに任せている場合は、院内の管理者は置かなくてもいいですか？

これは、医療機関内に管理責任者を置くことを求められていますので、クリニックの場合は院長先生なり、事務長なり、実効性のある方の配置が求められています。

医療情報システム安全管理責任者としての職務は、情報セキュリティ方針の策定及び教育・訓練を含む情報セキュリティ対策を推進することです。情報セキュリティ対策の実効性を確保するために、経営層が医療情報システム安全管理責任者に就くことが望ましいと説明されています。

もちろん、システムベンダーさん側にも「安全管理責任者」は選定され、両者で協議し連携していくことになると思います。

項目２．医療情報システムの管理・運用

この項目については、

　（１）どんな医療情報システムを利用しているか（台帳管理）
　（２）リモートメンテナンスを行っているか（保守契約の有無・内容）
　（３）契約しているシステムベンダー（事業者）がどのようなリスク管理を行っているか
　　　　（医療情報セキュリティ開示書）
　（４）不適切なアクセス利用権限になっていないか
　　　　（利用者へのアクセス制限等のアカウント管理）
　（５）アクセスログの管理
　（６）セキュリティパッチの適用
　（７）接続元制限の有無（ネットワーク）
　（８）バックグラウンドで動作している不要なソフトウエア及びサービスの停止

など、医療機関の先生方や皆さんにはわかりにくい内容になっていると思います。

システムベンダーさんが対応しないといけないところや、どのような台帳管理が必要なのかなど、マニュアルにも記載がありますが、システムベンダーさんとコミュニケーションをとり、整理しておかれた方が良いと思います。

なるほど・・・項目を聞いただけでも、頭が痛くなりそうです・・・。

今現在リモートメンテナンスを行うシステムベンダーさんが多いと思いますので、その担当者に今回の「サイバーセキュリティ対策チェックリスト」を渡し、皆さんにチェックしてもらうといいと思います。そこは協力してもらいましょう！

（7）について、ある医療機関から「対策として、ＵＳＢの使用禁止、病院指定のＵＳＢしか反応しないように設定してもらった」「インターネット検索や接続で、特定のＷｅｂサイトへのアクセスができないようにしてもらった」このような対策でよいか？という質問が出ていましたが、これはどのように考えたらいいでしょうか？

これは難しい質問ですね。一見対策しているように見えますが、病院指定のＵＳＢがウイルス感染していたら・・・と考えると対策にはなっていないように思います。誰もが勝手に情報を持ち出せないようにするという意味合いなら別ですが、サイバーセキュリティの観点からはどうかな・・・と思います。

後半のインターネットのアクセス制限ですが、ＮＴＴさんでもお子さんの利用の接続制限をかける機能はあり、同様の制限であれば、対策にはならないと思います。

それよりも、以前お話しした「基本の三つの対策」をしっかりされたほうが有効だと思います。

なるほど・・・ありがとうございます。
別の医療機関からは、「データのバックアップ」について、同一のサーバー機又はクラウドにバックアップをとっているが、それで対策になるのだろうか？という質問がありました。

同じシステム内に見えても、実際に格納している場所がどうなのか、ということはシステムベンダーに確認されたほうが良いと思います。例えば院内サーバーであれば、通常使用しているサーバーとバックアップ用のサーバーが別になっているか、等ですね。院内サーバーの場合はクラウドにバックアップをとることを考えたほうが良いかもしれません。

項目３．インシデント発生に備えた対応

このインシデント発生に備えた対応というのは、「報告体制」ということですね？

そうです。院内での安全対策として、医療安全管理体制では「院内でどのように報告・対応」していくかということは明確になっているものと思われます。サーバーセキュリティ対策としては、外部関係機関・・・つまり、外部の関係各署に連絡する体制を構築していくことが必要です。

警察に通報するということですか？

警察というよりも、システムベンダー（事業者）への情報共有とともに、外部の関係先への情報共有や支援に対する取り決めを行っておくということです。
電子カルテに不具合があり、サイバー攻撃を疑われた場合、クリニックとシステム連携している連携先にも被害が出る可能性があります。このため、いち早く情報共有を行うための連絡先を確認しておくということです。

緊急連絡先を明示した連絡体制図を作成することが必要だと思います。
それと同時に管轄の警察、厚生労働省等の所感する省庁、医師会等にも連絡が必要になるかもしれません。

なるほど、なんだか怖いですね。

その際に、システムベンダーさんとは、サイバー攻撃を受けたときにシステムをいち早く切り離す手立てを確認しておく必要があるかもしれません。
あってはいけないことですが、いざというときに頼りになるのはシステムベンダーさんだと思います。
また、令和６年度中には、サイバー攻撃を想定した事業継続計画（ＢＣＰ）の作成も求められています。

小規模な事業所・・・クリニックや調剤薬局など、少ないギリギリの人数で診療に当たられていますので、人的な余裕はないのが現状だと思います。うまくシステムベンダーさんと連携が取れ、安心安全の医療提供に貢献できるといいですね。

独自で行うことは難しいと思いますので、うまくシステムベンダーさんと連携していきましょう。
また、システム機器の評価やセカンドオピニオンのようなアドバイス等をご希望の場合は、私どももご協力できることがあるのではないかと思います。ご相談いただければと思います。

本日も様々なアドバイスありがとうございました。