お知らせ
【識者の眼】「日本のサイバーセキュリティと医療DXの遅れの原因は同源」近藤博史
2021年に徳島県のつるぎ町立半田病院で、2022年には大阪急性期・総合医療センターでランサムウェアによるサイバー攻撃が行われ、電子カルテシステムが停止しました。社会的にもこれらの事件は注目され、構造的な問題として医療機関の人材不足、予算不足が指摘されましたが、その根は深いと言えます。
前者は脆弱性情報を受ける体制が病院内になかったことが根本的な原因です。情報システムにはバグは付き物で、その対策がなかったことは技術的にも非常識と言えるでしょう。後者は外部組織との接続にFW(Fire Wall)がなかったばかりか、外部組織が設定する内部サーバに、その組織と同じIDパスワードが設定されていました。これは日本ではよくみられる行為ですが、海外ではあり得ないことです。厚生労働省の「医療情報システムの安全管理に関するガイドライン」も2023年5月に更新される前の旧版では、専用回線接続時のFWについては明記されていなかったようです。
なぜこのようなことが起きるのでしょうか。日本の医療機関は技術者を雇用せず、全部委託(丸投げ)でIT化がなされています。一方、海外では技術者を直接雇用し、彼らが院内のシステム間の接続仕様などを決めて個々の契約をします。この接続仕様は標準化されてHL7、DICOM、 IHEなどができ、これらは医療DXの基盤となる医療機関間接続の仕様に拡張されています。
また日本では主ベンダーが部門をまとめ、接続仕様を決めます。医療機関間の接続はベンダーが異なると接続仕様が異なるので、接続そのものを避けてきました。2010年の医療情報連携システム構築時も、「規格の標準化」と言いながらも実際には各病院の電子カルテを参照させるだけで、複数医療機関の間で電子カルテの検査や投薬の時系列表示(PHR表示)はできませんでした(PHR表示は投薬による効果や副作用を見るには必須です)。そのため、別途PHRの構築が要求され、それだけでは研究データベース(DB)ができないので次世代基盤法で別に医療機関の診療情報を収集し、研究利用する仕組みができました。しかし、認定された組織が収集するので、DBは複数存在し、網羅性は難しいのが現状です。
これに対して英国や北欧では医療機関の診療情報が統合され、PHR表示が可能で医療関係者、個人に開示可能です。DBとして2次利用もされており、1つで網羅性があります。このPHR表示は患者で統合されたデータであり、医療DXではこの「統合」が鍵となります。
医療機関の診療情報の統合は、個人のためのPHR表示だけでなく、薬や治療の効果、副作用など大規模研究を可能にし、人工知能に利用されます。携帯端末を使った継続的モニタリング(体重、体温、運動量、睡眠等)とタイムリーな介入(投薬や受診勧奨、生活指導)も医療DXがめざしている課題ですが、医療機関の診療情報と統合されて初めて有効になります。WebサーバとDBがあるとすぐに「見える化」はできますが、日本のように統合されていないと利用価値は低いままです。
コロナ禍で日本でも検査DB、ワクチン接種DB、重症患者DBができましたが、これらDB間の統合も、診療情報の統合もできませんでした(英国やフィンランドでは統合されています)。統合経験のなさが非常識を生み、医療DXの遅れをもたらしています。その人たちが日本独自の規則や新しい医療システム構築に関与し、現在の結果? を生じさせているのです。
近藤博史(日本遠隔医療学会会長、協立記念病院院長)[接続仕様][PHR表示][DBの統合]
