当記事にはプロモーションが含まれます。

医療現場のサイバーセキュリティ対策

医療情報
2023.09.08
スポンサーリンク

医療情報システムとは?

医療情報システムとは「医療分野における情報システム」です。

くろねこ
くろねこ

なんかざっくりしてる。電子カルテとか?

医療情報システムの安全管理に関するガイドライン 第6.0版には医療情報システムについて以下のように書かれています。

本ガイドラインが対象とする医療情報システムは、医療情報を保存するシステムだけではなく、医療情報を扱う情報システム全般を想定する。これには、医療情報システム・サービス事業者により提供されるシステムだけでなく、医療機関等において自ら開発・構築されたシステムが含まれる。

病院内のほとんどすべてのシステムを対象としています。

病院情報システム

病院全体で利用される医療情報システムを表していることが多いが

  • 電子カルテシステムやオーダリングシステムそのものをさす場合
  • 部門システムを含めたすべての情報システムをさしている場合

などがあります。

病院情報システムの目的

病院情報システムの目的は

  • コミュニケーション
  • 情報活用
  • コスト請求
  • モノを動かす
  • 記録

になります。では、それぞれ見ていきましょう。

  • コミュニケーション

医師からの指示や処方箋がコメディカルに伝わります。その依頼情報に対して実施したという情報が医師に伝わることからコミュニケーションのツール

  • 情報活用
  • 検査結果、画像などは医師が参照し診断を行うための根拠となるため実施されます。実施するために依頼をかけ、依頼情報(オーダ)に紐づけられ検査結果情報や画像情報になります。これら情報は看護師など多職種を参照します。
  • 患者ID、氏名、性別、生年月日などの患者基礎情報やアレルギー、感染症の情報も共有されます。
  • コスト請求
  • 検査や処置などの医療行為は患者、保険者に対して診療報酬(コスト)を請求します。検査実施情報が他部門、医事課などに伝達され実施状況を集約して料金計算します。
  • 悪性腫瘍得意物質治療管理料は検査実施のみならず検査結果に基づく治療方針を医師がカルテに記載して初めて診療報酬を算定できます。
  • モノを動かす

処方、注射の指示があった場合、薬剤部門が薬剤を準備し病棟へ搬送されるため、モノを運ぶ手段と言えます。

モノを搬送する手段は

  • 患者へ指示単位で随時搬送
  • あらかじめ病棟に決められた数が定数で配置され、使用されるたびに随時補充
  • 病棟に配置されている患者の単位では補充せず、すくなくなったら補充

などがあります。

  • 記録

患者に対して行った診療記録は診療録に記録

電子カルテシステム

電子カルテシステムは

診療記録を電子的に記録し、保存・管理するシステム

をさします。

しかし現場では医師、看護師などが操作するシステム全体をさすことが多く、その場合はオーダリングシステム予約システムなどの病院情報システムを包含しています。

オーダリングシステム

オーダリングシステムは

医師や看護師からの検査や処方などの指示(オーダ)をそれぞれの中央部門システムや医事会計システムに対して送付するシステム

です。オーダリエントリシステムとも呼ばれています。

部門システム

部門システムとは

病院内には臨床検査部門、放射線部門、薬剤部門、臨床工学部門など様々な部門があり、各部門の業務が効率的に行えるよう導入されたシステム

です。

部門士システムは検体検査システムや放射線情報システム、生理検査システム、病理検査システム、輸血管理システム、調剤支援システム、手術管理システム、栄養管理システム、機器管理システムなど多数存在します。

患者情報を取り扱う機器

患者情報を取り扱う機器はサーバや診療に用いられる検査機器、治療装置などがあります。

サーバはデータベースや電子カルテや各部門システムとの送受信やユーザ認証などに用いられ、サーバ室で管理されています。

マルウェアとは

近年では「ランサム(ransom:身代金)ウェア」により患者さんのデータにアクセス不能になり、電子カルテなどの病院システムが使用不能になる事例が増えてきています。

ランサムウェアとは

侵入先のコンピュータ内データ、つまり患者データなどを暗号化することによって、暗号化解除を対価に身代金を要求する「マルウェア」

です。

ではマルウェアとは何でしょうか。

悪意のあるソフトウェア(malicious software)を略して「マルウェア(malware)」

と言います。マルウェアの種類は以下の通りです。

  • コンピュータウイルス

伝染するソフトウェア。実行されるとコンピュータ内の他のソフトウェアに侵入して自分自身の複製を作りソフトウェア実行のときにあわせて実行される。

  • ワーム

自己増殖するソフトウェア。ワーム自身が独立して実行可能なプログラム。

  • トロイの木馬

役立つと見せかけて不正動作するプログラム。

海外の医療現場では

  • 2016年:アメリカ
  • 2017年:イギリス
  • 2018年:ノルウェー
  • 2020年:ドイツ

と世界各国で「ランサムウェア」の攻撃を受けています

日本でも奈良や福島、東京、大阪と「ランサムウェア」の被害は増加しています。

くろねこ
くろねこ

サイバーセキュリティ対策は必須!

では、次に日本のサイバーセキュリティ対策について見ていきましょう。

サイバーセキュリティ対策

サイバーセキュリティとは

不正ソフトウェアによる感染被害や、外部から不法に医療情報システムに侵入し、データを盗み取ったり、または破壊したりするような被害を受けるか、または被害には至らなくとも対応が必要になる事象に対する対応。

のことをさします。

では、医療現場のサイバーセキュリティ対策に対する法律はあるのでしょうか。

「医療法」にあります。正確には「医療法施行規則第14条 第2項」に新しくできました。

くろねこ
くろねこ

医療法施行規則第14条 第2項にはなんて書いてあるの?

第十四条 

病院又は診療所の管理者は、その病院又は診療所に存する医薬品、医療機器及び再生医療等製品につき医薬品医療機器等法の規定に違反しないよう必要な注意をしなければならない。

2.病院、診療所又は助産所の管理者は、医療の提供に著しい支障を及ぼすおそれがないように、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)を確保するために必要な措置を講じなければならない

令和5年3月に公布、4月より施行されています。

つまり、2023年からサイバーセキュリティ対策を講じなければならなくなった

ということになります。

対策を講じているかどうかは「立ち入り検査」で確認されます。

医療法第25条第1項の規定に基づく立入検査要綱には「2-19 サイバーセキュリティの確保」が新しく追加されています。

また、「立ち入り検査」は

医療法第 25 条第1項の規定に基づく立入検査は、医療法に基づくすべての病院を対象とし、原則年1回実施する。

とされているため、すべての病院で「サイバーセキュリティ対策」を行わなければならなくなったということです。

では、どのような対策を行えばいいのでしょうか。

くろねこ
くろねこ

どんな対策をすればいいの?

「立入検査要綱」には

医療機関において優先的に取り組むべき事項として、「『医療機関におけるサイバーセキュリティ対策チェックリスト』及び『医療機関におけるサイバーセキュリティ対策チェックリ ストマニュアル~医療機関・事業者向け~』について」(令和5年6月9日医政参発 0609第1号)で示す、「医療機関におけるサイバーセキュリティ対策チェックリス」に必要な事項が記入されていることを確認する。

と書かれています。

くろねこ
くろねこ

医療機関におけるサイバーセキュリティ対策チェックリスト?

では、医療機関におけるサイバーセキュリティ対策チェックリストについてみていきます。

医療機関におけるサイバーセキュリティ対策チェックリスト

医療機関におけるサイバーセキュリティ対策チェックリストは以下で確認することができます。

医療情報システムの安全管理に関するガイドライン 第6.0版

このガイドラインは

  • 概説編(Overview)
  • 経営管理編(Governance)
  • 企画管理編(Management)
  • システム運用編(Control)

に分かれています。

ここで医療機関におけるサイバーセキュリティ対策チェックリストを確認してみると

以下項目は令和5年度中もしくは令和6年度中にすべての項目で「はい」にマルが付くよう取り組んでください。

と記載されています。

よって、法律的にも早急に対策する必要があると言えます。

でも、システムのメーカーが全部対応してくれるんでしょ?

と思うかもしれませんが、この「医療機関におけるサイバーセキュリティ対策チェックリスト」は「医療機関確認用」と「事業者確認用」があります。

つまり、「医療機関」と「メーカー」双方が確認しなければなりません。

医療機関では令和5年までに

・体制構築(医療情報システム安全管理責任者の設置)

・医療情報システムの管理・運用(医療情報システム全般、サーバ、ネットワーク機器)

・インシデント発生に備えた対応

令和6年までに

・医療情報システムの管理・運用(サーバ、端末PC)

・インシデント発生に備えた対応

を達成するようにと、書かれています。

より具体的に書くと、令和5年までに

・医療情報システム安全管理責任者を設置

・インシデント発生時における組織内と外部関係機関(事業者、厚生労働省、警察等)への連絡体制図作成

医療情報システム全般

・サーバ、端末 PC、ネットワーク機器の台帳管理

・リモートメンテナンス(保守)を利用している機器の有無を事業者等に確認

・事業者から医療情報セキュリティ開示書(MDS/SDS)を提出

サーバ

・利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定

・退職者や使用していないアカウント等、不要なアカウントを削除

・アクセスログを管理

ネットワーク機器

・セキュリティパッチ(最新ファームウェアや更新プログラム)を適用

・接続元制限

を達成しなければなりません。

令和6年までに

サーバ

・セキュリティパッチ(最新ファームウェアや更新プログラム)を適用

・バックグラウンドで動作している不要なソフトウェア及びサービスを停止

端末PC

・利用者の職種・担当業務別の情報区分毎のアクセス利用権限を設定

・退職者や使用していないアカウント等、不要なアカウントを削除

・セキュリティパッチ(最新ファームウェアや更新プログラム)を適用

・バックグラウンドで動作している不要なソフトウェア及びサービスを停止

インシデント発生に備えた対応

・インシデント発生時に診療を継続するために必要な情報を検討し、データやシステムのバックアップの実施と復旧手順を確認

・サイバー攻撃を想定した事業継続計画(BCP)を策定、又は令和6年度中に策定予定

となります。

こうしてみるとすごいボリュームですね。

では、次に医療情報セキュリティ開示書(MDS/SDS)について見ていきたいと思います。

医療情報セキュリティ開示書(MDS/SDS)

医療情報セキュリティ開示書(MDS/SDS)とはいったい何でしょうか。

詳細は下記リンクにのっています。

JAHIS「製造業者/サービス事業者による医療情報セキュリティ開示書」ガイド Ver.4.1

この開示書ができる前は各々の医療情報システムに対するセキュリティ機能に関する説明に標準的記載方法の定めがなく、記載されている内容が各メーカーよりけり、だったそう。

そこで

  • 一般社団法人保健医療福祉情報システム工業会(JAHIS)医療システム部会セキュリティ 委員会
  • 一般社団法人日本画像医療システム工業会(JIRA)医用画像システム部会セキュリティ委 員会

が製品のセキュリティに関する説明を日本での標準書式とすることを想定して

  • 製造業者による医療情報セキュリティ開示書(略称:MDS(Manufacturer Disclosure Statement))
  • サービス事業者が提供する医療情報サービスを対象とした医療情報セキュリティ開示書(略称:SDS(Servicer Disclosure Statement))

を作成しました。

これらはチェックリストになっていて基本的には「はい」、「いいえ」、「対象外」で答える様式になっています。

くろねこ
くろねこ

じゃあ、MDSとSDSってなに?

MDSとは「製造業者による医療情報セキュリティ開示書」です。製造業者が行うチャックリストであるため

  • ソフトウェアやシステム製品事体

を対象にしています。ソフトウェアやシステム製品事体が対称になっているため

たとえばAというシステムを使用している際、そのシステムにBというオプションがついていたらAとB、両方MDSでチェックする必要があります。

次にSDSについてです。

SDSとは「サービス事業者が提供する医療情報サービスを対象とした医療情報セキュリティ開示書」です。ソフトウェアやシステムではなく、サービスを対象としているため、

リモートメンテナンスやクラウドサービス

が対象となります。

このMDSとSDS、チェック項目が多数あります。

なんとMDSのチェック項目は31個、SDSのチェック項目は106個!!

くろねこ
くろねこ

多いっ!!

MDSの大きな項目は

・医療機関等における情報セキュリティマネジメントシステムの実践

・物理的安全対策

・技術的安全対策

・情報及び情報機器の持ち出しについて

・災害、サイバー攻撃等の非常時の対応

・外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理

・法令で定められた記名・押印を電子署名で行うことについて

・真正性の確保

・見読性の確保

・保存性の確保

・診療録等をスキャナ等により電子化して保存する場合について

です。

つづいてSDSです。SDSの大きな項目は

・診療録及び診療諸記録を外部に保存する際の基準

・医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践

・組織的安全管理対策(体制、運用管理規程)

・物理的安全対策

・技術的安全対策

・人的安全対策

・情報の破棄

・医療情報システムの改造と保守

・情報及び情報機器の持ち出し並びに外部利用について

・災害、サイバー攻撃等の非常時の対応

・外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理

・法令で定められた記名・押印を電子署名で行うことについて

・真正性の確保

・見読性の確保

・保存性の確保

・診療録等をスキャナ等により電子化して保存する場合について

です。

ちなみに「真正性、見読性、保存性」とは「電子カルテの3原則」になります。

真正性:記入した人物が分かるようにし、責任の所在を明らかにしておくこと

見読性:データの内容をすぐに確認でき、必要な場合は印刷できること

保存性:カルテに入力された情報が真正性を持ち、保存期間中は復元できる状態で保存しておくこと

と、たくさんの項目があります。

しかし、現状のシステムは

各々の医療情報システムに対するセキュリティ機能に関する説明に標準的記載方法の定めがなく、記載されている内容が各メーカーよりけり

のため、各メーカーが急ピッチでMDS/SDSを参考に各々のシステムにあったチェックリストを作成しているところ、だと思います。

さいごに

今回は「医療現場におけるサイバーセキュリティ対策」について書いていきました。

病院内には電子カルテのみならず、各種部門システムなど様々なシステムがあります。

それらシステムに対応2023年度はサイバーセキュリティ対策で忙しくなると思います。

↓医療情報システム関連記事

医療機器とシステム連携する上で知っておきたいこと【臨床工学技士】
医療機器とシステム連携する上で知っておきたいことをまとめました。システム連携する上で「医療機器側」の設定について。
krnk-book.com
2023.10.02

参考図書・PR

  • 医療情報 第7版 情報処理技術編

コメント

タイトルとURLをコピーしました