医療情報システムの安全管理に関するガイドラインに対応するために必要な基礎知識やシステムについて
- INDEX
-
医療情報システムの安全管理に関するガイドラインの存在は知っているが、セキュリティに疎くて対応できているのか不安に感じてはいませんか。実際に本来の職域とセキュリティに関する知識が縁遠い場合、対応や対策が疎かになってしまうのは仕方がない側面もあります。
今回は医療情報システムの安全管理に関するガイドラインの基礎知識、ガイドラインに対応するために必要な基礎知識および基盤、そしてガイドラインへの対応に苦慮している時に着手すべきポイントについてお話します。
医療情報システムの安全管理に関するガイドラインの基礎知識
はじめに医療情報システムの安全管理に関するガイドラインの基礎知識について簡単に説明します。医療情報システムの安全管理に関するガイドラインとは
医療情報システムの安全管理に関するガイドラインとは、厚生労働省が策定した医療分野の情報システムにおけるガイドラインです。最新の第5.1版においては、クラウドサービスの普及に伴うセキュリティリスクなどにも対応するための改定が行われており、医療分野・医療関係におけるIT技術の利用や基幹システムの利用、外部委託などの細かい部分まで丁寧に説明がされています。参考元:厚生労働省- 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)
まずは上記参考元、厚生労働省の医療情報システムの安全管理に関するガイドラインの最新版をチェックし、細かい部分まで目を通しておくようにしましょう。
医療情報システムの安全管理に関するガイドラインの概要
・電子的な医療情報を取り扱う際の責任のあり方・情報の相互運用性と標準化について
・医療情報システムの基本的な安全管理
・電子保存の要求事項について
・診療録及び診療諸記録を外部に保存する際の基準
・診療録等をスキャナ等により電子化して保存する場合について
上記は下記参考元URLのPDF資料の目次から抜粋した項目です。
参考元: 医療情報システムの安全管理に関するガイドライン 第5.1版(PDF)
一般的にはITやセキュリティに関する知識や経験は専門分野であり、医療従事者の方であれば意味はわかっても、システム的・技術的にどのように対応すべきかは難しい項目とも言えます。実際問題として畑違いの分野であることを考えると、実務と切り分けて管理する側や雇用する側が対応すべき問題であることがわかります。
セキュリティやITに疎い場合にどうすべきか
基本的には、現場で働く医療従事者がセキュリティやITに関して悩まなくて済む環境を構築する必要があります。ガイドラインに対応する場合も同様であり、セキュリティを維持するためのシステムの利用方法や作業手順を用意し、セキュリティインシデントやサイバー攻撃に関する諸情報の共有は必要ですが、各々がセキュリティよりも医療行為に専念できるようにすべきと言えます。そのため、管理する側や雇用する側がガイドラインに対応できるシステム的な基盤を構築すべきですが、セキュリティやITに疎い場合にどうすれば良いか悩むことになります。しかし、セキュリティやITに疎いと足踏みしていては、安心・安全な環境を手に入れることはできません。ガイドラインに対応し、安心・安全な環境を構築するために、どのような基礎知識や基盤が必要かを把握することから始めてみましょう。
ガイドラインに対応するために必要な基礎知識および基盤
次にガイドラインに対応するために必要な基礎知識および基盤について解説します。IT資産管理および情報資産管理という仕組み・考え方
一般的な企業や組織において、企業活動を安心・安全に運営するための手段・方法として、IT資産管理および情報資産管理という仕組み、考え方があります。IT資産管理とは、パソコンや外部記憶装置、電子的な機器を一元管理することを指します。情報資産管理とは、電子化およびデータ化された情報を資産として安心・安全に管理することです。IT資産管理や情報資産管理に適したツールやソフトウェアは開発されており、セキュリティ性を確保するために導入や普及が進んでいます。
IT資産管理・情報資産管理は医療情報システムの安全管理に関するガイドラインに対応するための基盤を整えやすくなる仕組み・考え方でもあります。まずはIT資産管理や情報資産管理を可能とするツール・ソフトウェアを導入することで、ガイドラインに対応しやすくなるということを知っておきましょう。
管理する側のセキュリティ意識の向上とともにシステム的な対策が必要
ガイドラインに対応するためには管理する側のセキュリティ意識の向上、そしてセキュリティへの強い興味・関心が必須です。その上でシステム的な対策をすることが求められます。医療分野・医療関係における情報と言えば、直接的に個人に直結するものばかりです。言い換えれば個人情報を常に利用する現場・分野であることから、情報資産としてシステム的に管理することは必然的と言えます。
現実問題として、個人情報のセキュリティについては、ただ単に情報漏えい対策だけをしておけば良いというものではありません。サイバー攻撃や内部不正、データ改ざん、もしくはデータの削除などあらゆる脅威への対策が必要となります。
そして、あらゆる脅威へ対策するためには統合的なセキュリティ管理を可能とするシステム的な対策が最も効果的です。
ガイドラインは最低限の目安や指標として一段上のセキュリティ対策を
ガイドラインへの対応を考える際、ガイドラインを満たせばOKという考え方になりがちです。しかし、未知のサイバー攻撃や脅威・リスクのことを考えると、ガイドラインは最低限の目安、指標として対応すべきと言えます。個人の健康状態や医療に関する情報はプライバシーの観点から見ても、安全性・信頼性を確実に確保しておく必要があることを考えると、ガイドラインに対応した上で、一段上のセキュリティ対策を行うこと、セキュリティインシデントを起こさないように最大限の配慮をするという意識と具体的な行動が必要になります。
ガイドラインへの対応に苦慮している時に着手すべきポイント
次にガイドラインへの対応に苦慮している時に着手すべきポイントをご紹介します。ISMS(情報セキュリティマネジメントシステム)に注力する
ガイドラインには「医療機関における情報セキュリティマネジメントシステムの実践」という項目があります。ISMSとは情報を安心・安全に取り扱うための規格であり、現場や実務に携わる人間がPDCAサイクルなどを利用してセキュリティ性を高める仕組みと言えます。セキュリティに関する興味や関心がない、ITやセキュリティに疎いという環境であれば、まずはISMSの構築を目指すこと、同時に統合的なセキュリティツール・ソフトを導入することから始めると良いでしょう。
専任者の配置が難しいならセキュリティベンダーを利用するのが近道
本来であれば情報システム部の設置、セキュリティ担当の配置によって日常的にセキュリティ対策をすべきではありますが、医療分野や医療機関に限らず、専任のセキュリティ担当の配置や情報システム部の設置が難しいことがあります。その場合は、統合的なセキュリティツールやソフトを提供するベンダーとつながりを作るようにしましょう。統合的なセキュリティを導入するためのサポート、継続的にセキュリティ性を確保するための技術的リソースが手に入れられるためです。
逆に言えば、セキュリティやITに乏しい状態で、医療従事者のみでゼロからセキュリティ基盤を構築するのは避けてください。セキュリティ性を確保できないどころか、さらなる脆弱性・セキュリティホールが生まれる可能性があるためです。餅は餅屋というように、セキュリティはセキュリティベンダーに任せるという意識を持ちましょう。
現場や実務の担当者がセキュリティを意識し過ぎずに済む安全性を確保することが大事
ガイドラインに対応するために統合的なセキュリティ基盤の構築が進んでくれば、ISMSとの相乗効果でセキュリティが強化されていくようになります。管理する側がセキュリティ性を確保し、医療に従事する現場の人間が実務で注意すべきセキュリティリスクに関するPDCAを回すのですから、強化されるのは当然と言えます。大切なのは現場や実務の担当者がセキュリティを意識し過ぎずに済むよう安全性を確保することです。セキュリティに関する最大限の配慮と対策は管理する側が行うこと、現場や実務で働く人間は、実際の作業や業務の中で最低限守るべきセキュリティを守るだけで済むようにすべきということです。ガイドラインを守ることと同時に、医療従事者が本業である医療行為に専念できるようにすることも、管理する側の義務・責任であることを忘れないようにしましょう。
まとめ:ガイドラインに対応しきれない時こそセキュリティの抜本的な改革を行おう!
今回は医療情報システムの安全管理に関するガイドラインの基礎知識、ガイドラインに対応するために必要な基礎知識および基盤、そしてガイドラインへの対応に苦慮している時に着手すべきポイントについてお話しました。ガイドラインに対応しきれない時こそ、ひとつひとつの課題を解決しようとするのではなく、セキュリティの抜本的な改革をした方がスムーズであり、何よりも首尾一貫した安全性を手に入れることができます。
当社の提供するIT資産管理ツール・情報資産管理ソフト「AssetView」シリーズを組み合わせることで、ガイドラインに対応するためのセキュリティ基盤の構築や抜本的な改革につながります。セキュリティ性に不安を感じており、具体的な対策の導入を検討しているのであれば、ぜひともこの機会にご相談、お問い合わせください。
