情報リテラシーの向上で漏洩事故防止に貢献。
管理業務の増加とセキュリティ強化を一度に解決

interview　JA広島総合病院様

Date 2014 . 11 . 12

世界文化遺産、または「安芸の宮島」で知られる厳島のお膝元、1947（昭和22）年に開院された広島県厚生農業協同組合連合会廣島総合病院、通称・JA広島総合病院。広島県西部の地域医療を担う基幹病院で、現在約1、200名（委託含む）スタッフを抱え、病床数は561床、約730台のPCで電子カルテが稼働している。地域でも有数の高度医療に対応した同院であるだけに、地域住民からの期待の高まりも増す一方、院内で使用するPCの数も急増。そこで、情報セキュリティの強化と増え続けるPCの管理という課題の解決を目的にAssetViewが導入された。今回は、その導入の経緯や導入後の効果について、情報企画課の皆様にお話を伺った。

Interviewed
インタビューをした方

上村浩司様

情報企画課係長

桑野幹典様

情報企画課

導入の背景：個人情報保護の強化と情報一元管理の必要性の高まり

導入の経緯について教えてください。

AssetView 導入以前のPCおよびセキュリティの管理は、基本的にはすべてマンパワーで行っていました。例えばUSB等のデバイスも各個人が管理しておりました。また、各PCで稼働していた電子カルテについてもシステム担当者が「Microsoft Access」を使って、手作業で制作したものを使用していました。しかし、当時は管理していたPCの数も500～600台程でしたので、それでも管理が可能でしたが、今後PCの数がさらに増え続け、人の手による管理が難しくなっていくことが明白でしたので、個人情報保護の強化と情報の一元管理を早急に取り組む必要がありました。そんな折、本年の1月に電子カルテの更新が決まっていましたので、この機会に一元管理が可能なソリューションを導入しようということになりました。導入までには、まず我々が所属する情報企画課内で各ベンダーの製品の情報収集を行い、導入検討に値する製品をピックアップしました。その後、各製品のベンダーのプレゼンテーションを行っていただき、さらに検討した結果、情報システムの運用管理・選定を行うことを目的として組織され、院内の情報システム及び運用を管理している情報システム運営委員会で、ハンモックの AssetView の導入が決まりました。その後情報システム運営委員会委員長の指示のもと、院内で導入にあたってのオリエンテーションを行い、現在に至っています。

選択の理由：情報管理・デバイス制御機能、サポート等総合的に要求水準をクリア

AssetView を採用した理由を教えてください。

導入にあたっては、当然ながら複数の選択ポイントがありました。保守対応、マルチ画面でのリモート操作、デバイス制御のしやすさ、ユーザーインターフェース、そして、個人情報を含めた重要情報の管理、価格等。そのなかで、最初にハンモックに相談した点は AssetView のサポートについてです。PCを利用する各ユーザーからの問い合わせが非常に多いのが同院の特徴です。ですので、運用に関する問い合わせがしやすいのかどうかが、一つの大きな選択のポイントでした。ハンモックでは導入前に運用担当者に対して実機操作教育を行っていただきました。これにより、問い合わせに対する対応を事前に準備できたため、安心して導入できました。そして、次に個人情報や機密情報の管理機能です。AssetView では、各クライアントPC内の重要情報が含まれるファイルの中身のチェック、個人情報検索の定期監査、PCから個人情報や重要情報が検出された際のメールでのアラート、不正な操作を行うユーザーへの警告、操作の制御等のPC操作ログ管理機能が充実していました。さらには、情報漏洩リスクの高いUSBメモリやSDカードなどのデバイスの管理・制御機能がしっかりしていたのも選択理由の一つでした。また、選考を行っていた当時は、リモート操作・管理を行う際に他製品ではマルチモニターに対応していませんでしたが、AssetView では可能だったという点の優位性も大きかったです。最終的には、総合的な機能が我々の要求する水準をクリアし、かつ価格面でも納得がいくものでしたので、AssetView を採用させていただくことになりました。

導入効果：PC操作ログ管理を行っていることの認知が情報漏洩の抑止に貢献

得られた効果を教えてください。

導入にあたっては、個人情報保護の観点からも、業務に不要なUSBは繋がせない、業務に不要なネットワークアクセスはさせない、といったところを目指していましたが、導入当初はまだ慣れていなかったせいか、問い合わせが多くありました。特に患者さんの情報等の重要情報を含むファイルにアクセスしようとした際に掲示されるアラートが、比較的厳しめの文面だったので「業務に必要なのだがアクセスして大丈夫か？」といった問い合わせは多かったです。そういう意味では、最初はあくまでも操作等に戸惑う声は一部ありましたが、導入については昨今の組織における情報管理の重要性は説明するまでもなく理解を得られ、運用後は問題となるような大きな混乱はありませんでした。効果という点で一番の収穫は、やはり各人の情報セキュリティに対する意識が非常に高まったことだと思います。

利用者情報の収集を効率化

例えば、幸いにも個人情報の漏洩などの事故は起きていませんが、導入前まではUSBなどのデバイスは個人のものを使用していました。現在はPW付きの暗号がかかったもののみ使用可能で、もし仮にそのUSBをどこかに落としてしまった場合にも、USB内の情報は閲覧できないように管理しています。また、患者さんの名前やIDなどにアクセスしようとしている人には、「監視のツールが入っていますよ」と、随時警告を出しています。こうした個人情報や機密情報の管理を行っていることが周知され、情報漏洩事故の抑止に繋がっていることが一番の導入効果であると思っています。また、もちろん、我々、情報企画課の作業としても、ライセンス管理はもちろんのこと、あらゆる情報管理が行えるようになったことで管理にかかる作業時間は大幅に短縮されました。

特に利用頻度の高い機能はありますか。

AssetView を利用し始めて約半年経ちますが、導入直後から頻繁に利用しているのは各PCのレジストリの書き換えや実行ファイルの配信機能です。また、デバイス制御、管理機能も継続的に利用しています。使用禁止のUSBが接続された際のアラートのチェックも行っていますが、こちらは導入直後に比べると、かなりアラートが減りました。個人情報の取り扱いに関するログの確認も日常的に行っています。

今後の展開：レポート機能の有効活用で更なる情報リテラシーの向上へ

今後の展開を教えてください。

導入から今現在まで大きなトラブルもなく運用できていますが、ドキュメント検索など、まだ使いこなせていない機能も多々あるかと思いますので、そうした点もクリアし、さらに情報の管理を進めていきたいです。データの取り扱いや個人情報、機密情報保護のレポーティング機能等が非常に充実しているので、これらの内容を院内に見せられるような形で共有し、情報リテラシーの向上を図っていくことも検討しています。
また、セキュリティの観点から、PC内の情報は極力持ち出さない方向性で運用していますが、ケースによっては情報を持ち出す必要もあるため、病院ならではの"持ち出す前提"の管理体制も模索する必要があると思っています。AssetView は持ち出しPCに対しても管理や制御ができるので、今後運用方法を検討していきたいと考えています。