カート
会員登録
ログイン
昨今の医療機関では、レセコンや電子カルテは言うまでもなく、予約、問診、画像、各種検査機器、外注検査の授受など、様々なシステムが利用されるようになりました。これらシステムの中には、メーカー保守用の回線が別途敷設されていたり、院内やクラウド上に専用のサーバが置かれていたりするものもあります。加えて、近年進められている医療DXでは、被保険者証のオンライン資格確認や電子処方箋、診療情報提供書のやりとりなど、ICTを活用した取り組みに対応していく必要があります。
これらは逐次追加・リプレイスされていくため、数年経つと院内ネットワークの全体像を把握することが難しくなる医療機関が少なくありません。このため、院内のネットワーク図を作成し、適切に更新していくことが重要です。ネットワークだけでなく情報機器の資産管理も、医療機関スタッフのみで対応することは困難な時代となっているため、筆者らは「かかりつけ医」ならぬ「かかりつけベンダー」が必要であると、医療機関とベンダーの双方にお伝えしています。
次にオススメしているのが、データバックアップです。監視や認証の仕組みを整えてセキュリティを強化することは重要ですが、相応のコストがかかります。どれだけ対策を講じてもミスが生じる可能性はゼロにはなりません。そのため、最後の砦としてオフライン環境へのデータバックアップをオススメしています。実際に、いくつかの病院で発生したサイバーセキュリティ事案では、バックアップデータまでネットワーク経由でランサムウェアに暗号化されてしまった例があるためです。
厚生労働省は、医療機関へのサイバー攻撃が相次いだ状況をふまえ、2023年5月に「医療情報システムの安全管理に関するガイドライン」を改定し、「医療機関におけるサイバーセキュリティ対策チェックリスト」(以下、チェックリスト)を作成しました。これは医療機関が優先的に取り組むべき事項として位置づけられており、医療法に基づく立入検査においても、このチェックリストを用いて各医療機関のセキュリティ対策状況が確認されます。
チェックリストの作成に伴う緊急時連絡体制や運用規定、事業継続計画(BCP)の作成については、医師会などからひな形が提供されていますので、それらを参考にするとよいと思います。また、前述の「かかりつけベンダー」に支援を依頼するという手段もあります。
次稿は、医療DXに関する最新の話題をお届けしたいと思います。
上野智明(日本医師会ORCA管理機構株式会社取締役副社長)[医療DX][セキュリティ]