医療情報システム安全管理責任者がやるべきこと・令和6年度版
株式会社ヘンリーでSRE(Site Reliability Engineer)をしている戸田です。医療情報技師でもあり、医療情報システムの安全管理に関するガイドラインへの対応も担当しております。
さて昨年度に引き続き、医療機関様の医療情報システム安全管理責任者が本年度求められていることを整理したいと思います。昨年度の内容を踏まえて説明しておりますので、令和5年度版もあわせてご確認ください:
なお情報源となる厚生労働省の資料には都度リンクしています。詳細はそちらをご覧いただくこととし、ここではその概要と優先順位判断に役立つ情報とを中心にまとめます。
令和6年度「医療機関におけるサイバーセキュリティ対策チェックリスト」に対応する
令和6年度の「医療機関におけるサイバーセキュリティ対策チェックリスト」が先日より厚生労働省のサイトにて配布されております。令和5年度の要請に加えて、以下3点の検討が求められています。
サーバの管理を強化する
令和5年度は「利用者の職種・担当業務別の情報区分毎のアクセス利用権限」「退職者や使用していないアカウント等、不要なアカウントの削除」「アクセスログの管理」が求められていました。まずはこれらの対策が済んでいることをご確認ください。今年度の立入検査でも、昨年からの進捗を確認されると思われます。
令和6年度はこれらに加えて「セキュリティパッチ(最新ファームウェアや更新プログラム)の適用」「バックグラウンドで動作している不要なソフトウェア及びサービスの停止」が求められています。
なかでもセキュリティパッチの適用が最もハードルが高いのではないでしょうか。マニュアルに記載されている補足を以下に引用しますが、何らかの理由で古いOSを使用している医療機関様におかれましては、OSの更新ひいてはご利用されている医療情報システムの更新・変更を実行しなければならない場合もありそうです:
古い OS(Operating System の略。コンピュータを動作させるための基本的機能を提供するシステム全般のこと)を使用している等の理由で、動作確認ができずパッチが適用されていない場合がありますが、こうした機器がサイバー攻撃の対象になることがありますので、本項目を通じてシステム状況を確認することが重要です。
またバックグラウンドで動作している不要なソフトウェアやサービスを停止することも求められております。OSにログインできる人が限定されるサーバにおいて、これを確認・徹底することは難しくないと期待されます。サーバ内でどのようなプロセスが走っているのか、そのプロセスに依存している業務は何かを、あらためて棚卸しする良い機会かもしれません。
端末PCの管理を行う
端末PCの管理が本年度からスコープに入ってきています。すべての端末PCで最新のセキュリティパッチがあたっていることを確認・保証するためには、端末PCの中央管理が有効です。あらためて医療情報システムの安全管理に関するガイドライン(システム運用編)の利用機器・サービスに対する安全管理措置をご確認いただき、端末PCをどのように管理するかを戦略的にご検討いただく必要があります。
中央管理の費用感としては、ID管理やEDRも含めて従業員あたり月々ざっくり1万円くらいはかかると思ったほうが良いでしょう。もちろん医療機関様の従業員数やシステム利用状況等にもよりますので、予算感を掴むためにもシステム運用担当者と必要な投資の見積を進められることをおすすめします。
なお私物端末の業務利用(BYOD)を医療情報システムの安全管理に関するガイドラインに沿った形で運用することは、非常に難しいと思われます。貸与端末をなくせば管理対象資産が減って楽ができる……ということも無く、むしろ多様な私物端末を管理下に置くための交渉が必要となるため、管理コストは上がることがほとんどでしょう。
災害とサイバー攻撃を想定したBCPを策定する
BCPそのものについては医療情報システムの安全管理に関するガイドライン経営管理編にて述べられています。また災害を想定したBCPについては、厚生労働省が手引きを公開しております。
しかしサイバー攻撃を想定したBCPの策定についての解説は、5月23日時点で情報がありません。企画管理編にその観点や求められる対策は記載されていますが、これをもって本年度のBCP策定スケジューリングを引けるかというと難しいのではないでしょうか。
今後厚生労働省から BCP 策定に関する手引きが公開されるようですし、現時点では情報収集につとめるのが良いと思われます。たとえばPwC様のサイトがよく情報がまとまっています:
またBCPとは平時とは異なる経験のない状況を想像して準備することですから、想定をするうえで過去の事例や他の医療機関様の情報を集めることも大切です。筆者が読んだ中では、医療福祉建築 No.205が縮災(Disaster Resilience)のような基本的な考え方から発電能力のような具体的な項目まで網羅していて勉強になりました。周りに災害対応やサイバー攻撃に詳しい方がいらっしゃるなら、相談してみるのもよさそうですね。
2024年6月25日追記:厚生労働省より「サイバー攻撃を想定した事業継続計画(BCP)策定の確認表等」が公開されました。手引きや確認表に加えてひな型も用意されております。
医療情報システムの契約における当事者間の役割分担等を確認する(2024年6月25日追記)
経済産業省から「医療情報システムの契約における当事者間の役割分担等に関する確認表」が公開されました。こちらは医療機関様が事業者と契約を締結する際に確認すべき事柄が記載されております。
添付資料には新規システムの導入に際しての利用方法が解説されていますが、新規システム導入に限らず、既存システム契約の評価・見直しにも利用できると思われます。医療機関様と事業者の間で宙に浮いてしまっている責任が無いか、これを機会に洗い直しても良いでしょう。
なお確認表に登場するMDS/SDSは事業者の自己申告に過ぎないため、その受領をもってPart2を確認完了とすることはできません。たとえば事業者が「できる」としている場合でも、医療機関様の運用によっては「できない」に該当する場合が考えられますし、その逆もありえます。よってMDS/SDSだけでなく契約やサービス利用規約等を踏まえ、院内の医療情報システム運用管理規程と照らし合わせて確認を進める必要があります。
また事業者とのコミュニケーションの重要性については、情報処理学会・学会誌「情報処理」でも紹介されておりますのでご覧ください。
診療録管理体制加算の施設基準に対応する
新しい診療録管理体制加算1を算定する場合、新しい施設基準に対応する必要があります。ここでは割愛しますがBCPに直結する施設基準ですから、医療機関システム安全管理責任者による旗振りは必要になると思われます。
まとめ
令和6年度において医療情報システム安全管理責任者がやるべきことについてまとめました。今後も厚生労働省などから関係する情報が発信されていくはずですので、本ページは都度更新してまいります。
株式会社ヘンリーは社会課題解決を目的に設立されたスタートアップで、レセコン一体型クラウド電子カルテサービスの提供を通じて中小病院の皆様の医療DX推進を支援させていただいています。ご興味をお持ちの方は以下のウェブサイトをご覧いただけますと幸いです。
※ UnsplashのDomenico Loiaが撮影した写真をアイキャッチに利用させていただきました。