医療情報システム安全管理責任者がやるべきこと・令和5年度版
株式会社ヘンリーでSRE(Site Reliability Engineer)をしている戸田です。医療情報技師でもあり、お客様における医療情報システムの安全管理に関するガイドラインの対応を支援させていただくことも増えてきました。
今回はお客様からの質問を受け、同ガイドラインで定められている医療情報システム安全管理責任者について「直近で何をするべきか」を整理しました。2023年の省令改正で「サイバーセキュリティの確保について必要な措置を講じること」が医療機関の管理者が遵守すべきことと定められており、医療情報システム安全管理責任者はこれを主導する経営層だと考えられます。社会的な期待値も高いものの、手探りで対応を進められている医療機関の方もいらっしゃると思われるため、このnoteがお役に立てれば幸いです。
なお情報源となる厚生労働省の資料には都度リンクしています。詳細はそちらをご覧いただくこととし、ここではその概要と優先順位判断に役立つ情報とを中心にまとめます。
医療情報システム安全管理責任者とは
医療情報システムの安全管理に関するガイドラインに登場する、経営層の責任者です。このガイドラインで経営層が担うことを想定されている唯一の役割です。中小病院においては院長を想定していると思われます。
なお許可病床数が400床以上の保険医療機関様においては、専任の医療情報システム安全管理責任者を配置することが診療録管理体制加算の施設基準として設定されています。400床未満の場合は施設基準としては求められていませんが、令和5年度「医療機関におけるサイバーセキュリティ対策チェックリスト」にて設置が求められています。2024年度診療報酬改定の争点ともなっているようです:
厚生労働省の研修は医療情報システム安全管理責任者を「医療情報システムを安全管理上の理由から停止する判断を下す人」だと説明していました。停止する条件や停止後の運用を定める、すなわちリスクマネジメントの責任者だとも言えそうです。
厚生労働省から発信されているもの
医療情報システム安全管理責任者に対する厚生労働省からの要請には以下のようなものがあります。
医療情報システムの安全管理に関するガイドライン6.0版に目を通す
「概説編」と「経営管理編」に目を通してください。また企画管理者(中小病院においては事務長など)に「概説編」と「企画管理編」を、システム運用担当者(中小病院においてはシステム担当部門長など)に「概説編」と「システム運用編」に目を通すように指示してください。
令和5年度「医療機関におけるサイバーセキュリティ対策チェックリスト」に対応する
令和5年度のチェックリストは、今年度の立入検査で既にご利用済みの医療機関様も多いでしょう。また令和6年度の立入検査で進展の確認が行われると思われるため、立入検査が終了している医療機関様におかれましても今いちど進捗を確認いただければと思います。
https://www.hospital.or.jp/site/news/file/1686540766.pdf#page=2
特に「サーバ、端末 PC、ネットワーク機器の台帳管理」と「連絡体制図」が重要です。ここで台帳とは、サーバ、端末PC、ネットワーク機器などそれぞれについて設置場所、シリアル番号、ホスト名、利用者、IPアドレス、接続ネットワークや用途などを表にまとめたものを指します。これがあると設備更新などの施策を検討する場合に参考にできたり、有事の際にアクセスログの分析を行うのに役立ったりと様々な状況で活用できます。
この台帳は今後も継続的に更新する必要があることにご留意ください。台帳という書類を作成することではなく、機器の現在状況を把握するための体制づくりが求められているとお考えいただければ良いと思います。
チェックリストに記載されているものの多くは企画管理者やシステム運用担当者が検討・作成するものですが、中でも連絡体制図は経営的検討事項であり医療情報システム安全管理責任者の関与が大きくなると思われます。連絡体制図の例はこちらの資料に掲載があります。
令和6年度「医療機関におけるサイバーセキュリティ対策チェックリスト」に備える
令和6年度の立入検査ではこちらのチェックリストをベースに確認がなされると思われます。
https://www.hospital.or.jp/site/news/file/1686540766.pdf#page=3
特に「インシデント発生に備えた対応」はすべての医療情報システムを横断して検討する必要があり、時間がかかる可能性が高いと思われます。他の記載事項も管理システム刷新などが必要になるものがありますので、早めに企画責任者やシステム運用担当者とともに予算やスケジュールを検討されたほうが良いでしょう。
医療機関等におけるサイバーセキュリティ対策の強化について(注意喚起)に対応する
https://www.mhlw.go.jp/content/10808000/001011666.pdf
サプライチェーンリスク全体の確認などが求められております。ベンダコントロールを効率的に行うため、予め事業者にSDSを提出させてリスクの洗い出しを行いましょう。
ここに掲載されたものは、医療機関様によっては院内システム管理部門の役割を拡張・再解釈する必要があるかもしれません。その観点からは経営的検討事項と言えますので、医療情報システム安全管理責任者が中心となって読み合わせを行い、今後のTODOを検討されたほうが良いでしょう。
医療DX推進に資する取り組み
こちらは最近の世間的動向、ないしお客様の医療DXを推進する弊社の立場から、医療情報システム安全管理責任者の皆さまにご検討いただきたいと考えているものです。
端末とユーザの管理方法の刷新
令和6年度「医療機関におけるサイバーセキュリティ対策チェックリスト」の内容からひとつ先に進んだ対応となります。サーバや端末とそのオペレーティングシステムのユーザを統一的に管理したり、職員に対する個別メールアドレスや端末の付与を進めて認証認可の基盤とすることで、医療情報システムの安全管理に関するガイドライン6.0版で示されたゼロトラスト思考に則した対策の足がかりとすることができます。
もし端末を職員個人に貸与していらっしゃらない場合、弊社CEO林の記事もあわせてご覧いただければと思います:
なお徳島県つるぎ町立半田病院様のコンピュータウイルス感染事案有識者会議調査報告書にはグループポリシー設定をはじめ効果的な対策が記載されているため、システム運用担当者とともに内容を確認することをおすすめします。
閉域網神話が院内システム運営の前提となっている箇所をなくしていく
医療機関様のお話を伺っていると、まだまだ「事業者が持ち込んだサーバなので管理していない」「事業者が提供するマニュアルにアンチウイルスソフトを停止するように書かれていた」「Windows 11で動作しないソフトウェアを使っている」などの事例を耳にします。話を掘り下げて伺うと、そもそもWindows Updateや定義ファイル更新を実行できないネットワーク状況であることもあります。
そうした運用が続けられてきた前提として「閉域網だから大丈夫」が挙げられますが、これがすでに通用しないものだということは過去の事例からも明らかです。即日解決可能な問題ではないため、各事業者と調整を進めて「閉域網神話」を院内システム運営の前提としない体制作りを進めていただければと思います。なお閉域網に問題があるので無くしましょうという主張ではなく、閉域網を特別扱いするのをやめましょうという主張であることにご注意ください。
これに関係して、弊社執行役員の植村が閉域網(閉域NWと表記)についての問題意識と解き方について書いておりますので、あわせてご覧いただければと思います:
攻撃以外のサイバーセキュリティ対策を検討する
情報漏えいはサイバー攻撃によってのみ発生するものではありません。規程の整備や運用、委託先を含めた職員に対する教育もまた重要なサイバーセキュリティ対策となります。規程も教育も経営的検討事項であり、医療情報システム安全管理責任者が関係者を巻き込んで動いていくことが望ましいと思われます。また業務を見直してUSBメモリのような記録媒体の利用を減らすなど、運用見直しによるリスク低減も有効です。
これについては先日筆者が登壇したオンラインセミナーでも触れておりますので、あわせてご覧いただければと思います:
ランサムウェア対策を検討する
医療ISAC様より「医療機関向けサイバー攻撃(情報窃取/ウェブ改ざん攻撃)対応検討の手引き」が公開されております。ランサムウェア対策としてどのような観点や対策が必要となるのかを把握するのに良い資料です:
まとめ
令和5年度においては、医療情報システム安全管理責任者の皆様にはまず「医療情報システムの安全管理に関するガイドライン6.0版」ならびに「医療機関におけるサイバーセキュリティ対策チェックリスト」をご覧いただくのが最良と考えます。これらは必要な対策のうち優先度の高いものが記載されており、着手しやすいためです。
今後はオンライン資格確認システムにとどまらず、様々なシステムが医療DXを推し進めていくと思われます。それぞれの医療機関様が患者様の個人情報を含む医療情報を安全に扱うことは、医療DXを推し進めた先にある日本の新しい医療を支える地盤となります。事業者と医療機関様とで力を合わせ、安全でケアの質を高められる未来をともに作ってまいりましょう。
株式会社ヘンリーは社会課題解決を目的に設立されたスタートアップで、レセコン一体型クラウド電子カルテサービスの提供を通じて中小病院の皆様の医療DX推進を支援させていただいています。ご興味をお持ちのかたは以下のウェブサイトをご覧いただけますと幸いです。
※ UnsplashのNational Cancer Instituteが撮影した写真をアイキャッチに利用させていただきました。