病院のDX推進のためのセキュリティとの向き合い方

ヘンリー 開発統括執行役員の植村と申します。

ヘンリーは先日の記事で触れましたが、お客様に電子カルテを導入して終わりではなく、長く運用し続ける中で業務改善をしてもらいたいと考えています。

そのため、電子カルテ導入をDXのための起爆剤に出来るようにIT導入に関してのフォローを出来る仕組み作りをし始めています。
今日はヘンリーの導入の際に向き合うことになる病院様のIT導入に伴うセキュリティの話に対して、ヘンリーとしての問題認識と解き方をまとめてみようと思います。

病院のネットワークの構成概要

現在、コスト的にもITに投資が難しい中小病院のネットワーク(NW)構造を簡単にまとめると以下になります。

• 情報系NWと閉域NW(診療系NW)の2つを保持することが多い

  • 情報系NWでインターネットに接続する。無線WiFiなども最近はようやく増えてきている

• 閉域系NW側にオンプレ電子カルテ/レセコンやオンライン資格端末、PACS用のサーバー・クライアント等が置かれている

  • 正確にはオンライン資格端末はオンライン資格NWという更に特殊な個別NWに設置される

それぞれのNWごとに問題点を抱えており、それを整理していきます。

情報系NWが抱えている問題点

大きく以下2つの問題を抱えていることが多い認識です。
今後、DXを進めていく中でこのNWが全ての基盤になっていく事は間違いないと思いますが、コスト的に妥当な構成を問題点2を起因にして組むことが難しいという構造になっていることが非常に多くなってしまっています。

• 問題点1. 病院間連携が増えてきており、そもそも大事な患者情報なども情報系NWで扱うことも増えてきている。

  • 入退院患者様の管理のために地域連携をインターネット経由ですることも多くなっており、そもそも患者情報は情報系NWにも滲み出てきている

  • そのため、本来は防御レベルとしては閉域NWと同等を保つ必要があるが、外部連携を行うNWという性質があるため、閉域にすること自体がそもそも出来ない

• 問題点2. IT運用・セキュリティの専門家を抱えているケースが非常に少なく、ここ10年来の対策のトレンドを適用しきれていないことが多い

  • パッチ適用・アンチウイルスソフトだけでは防ぎきれない攻撃も増えてきているが、専門家不在な状況なため、啓蒙活動や技術的運用対策がやりきれていないことも多くなっている

閉域NWが抱えている問題点

こちらも大きく3つの問題を抱えている認識です。
問題点2により閉域だから安心という神話が崩れてしまっていますが、問題点3もあり、最適な選択肢を取りづらい状況になってしまっており、こちらも最適な解が選べなくて困っていることが多くなってきています。

また、歴史的な経緯として、この閉域網自体が病院様が作りたくて作ったわけではなく、PACSベンダーがリモート保守するために作ったといった経緯も大きいことが管理者不在、改善されづらい土壌になっている原因の一つになっているケースも多々あります。

• 問題点1. 主要な対策が感染経路を減らす対策のみが実施されてる状態であり、攻撃を受けてしまった場合には容易に感染する

  • 攻撃を受けない前提で考えており、攻撃を受けた場合に検知する仕組み(ファイアウォール, IDS, EDRなど)が入ってるケースも少ない傾向

• 問題点2. そもそも閉域NWが完全に閉域にすることが出来ない状態である

  • 外部連携やクラウド連携などが少しずつ入ってきており、完全な閉域を確保しきれていないケースが増えてきている

  • 病院単独で保守が出来ないことも多く、リモートからベンダーが接続してくることも多いがそのベンダーの対応に穴があると閉域を守りきれない

    • 昨年にはベンダーNW側からの侵入を許し、患者データを人質に取られる事態にまで発展したケースも発生

• 問題点3. 保守切れになってしまった製品群がコスト的な問題により置き換えが出来ずにパッチが当てられない状態で利用継続してしまっているケースが出てきてしまっている

  • 動いているOSやアプリケーションのセキュリティホールがそのままに残ってしまっており、無菌状態で抵抗力が無い状態で放置されている

  • バージョンアップしようとした場合、OSのみならず利用しているアプリケーションのバージョンアップも必須になっており、費用がかさみすぎるため投資判断の難易度が非常に高い

起きてる問題点と向き合った場合に取れる方向性の比較

ITを最大活用し業務を効率化するのであればここまでに上げている問題点に向き合う必要があります。
では向き合うとした場合にどういう選択肢があるかと考えると、以下大きく2つの道が存在しています。

1. コストをかけ、閉域NWも情報系NWと同等のセキュリティ対策を施し、大事なセキュリティ情報を守る

2. クラウド型電子カルテ・レセコンを利用するなどをして閉域NWにあるシステムはクラウドサービス側に設置し、情報系NWから利用することを前提とした運用にし、閉域NWを無くす・減らす

無限の資金がありセキュリティ100%を目指すのであれば1の選択肢もありえますが、現実的に1の選択肢を取れるのは資金が豊富な一部医療機関のみであり、現実的な投資金額では非常に困難なケースが多くなっています。

実際にセキュアなシステムをしっかりと閉域で運用するためには専門家の継続的なアサインと防御のための装置類への投資も必要不可欠ですが、これは大企業でも非常に難易度が高い状況でもあります。

そのため、医療以外の業界に関してもこの問題には向き合うためにクラウドを最大活用する形に舵が切られてきたのがこの10年の動きでもあり、明確に選ばないと、医療業界に関しても自然と2の方向を選択ざるを得ない状況になっていくことが予想されます。

しかし流されて2の状況にゆったりと遷移してしまう間に様々なインシデントが起きてしまったのも歴史であり、しっかりと他業界の経験を生かした上で最短で改善が出来る姿を目指すべきではないでしょうか

クラウド利用を前提とした場合にどうしたらいいか?

現実的な選択肢を取ろうとした場合に閉域を減らしていきクラウド利用に舵を切る場合、大きく以下3つの施策を実施することになると思います。

• 施策1. 情報系NWをクラウド利用を前提とし、マルウェアの侵入が発生しづらい対策を取る

• 施策2. インシデントも起きることを前提として被害を最小限に食い止める体制を作る

• 施策3. オンプレのサーバー類の利用を順次クラウド利用に切り替えていく

施策1に関しては技術的に取りうる構成はかなり市場の技術も熟れてきたため、今から新規にIT環境整備を行うならばかなり安価に最短ルートを走れる目処も立ってきているため、ヘンリーでも規模に応じて最適な構成を提案すべく日々技術検証とその支援が出来る体制を整備していっています。

施策2に関しては運用規約が無い病院さんに対しては規約草案をお渡しすることやリスクコミュニケーションをしっかり取ることで問題が起きても耐えられる体制づくりの支援も行い始めました。

施策3に関してはまさしくHenryの導入を起点にして、クラウド利用を加速することで初期投資金額を落とした形でオンプレからの移行と業務効率化の両輪を回すことが可能になっています。サービス利用に切り替える事で現実的なコストでセキュリティ対策を行うことも可能になってきます。

国/関係機関の動向

医療に関しては国の政策による影響も気になるところです。
以下に現在のDX・セキュリティ関連の動向をまとめます。

医療DX

厚労省が2030年までの医療DX工程表を2023/06に発表していますが、その基本的な考え方でも以下のようにクラウド技術を用い、閉域の見直しを行うことを推奨しています。
今後、国が医療業界全体のDXを推進していく際の前提としてクラウドサービスの利用を前提としていくことは間違いないため、病院自体がDX推進を低コストに出来る状況に持っていくことは病院経営的にも必要不可欠ではないでしょうか。

クラウド技術 等の活用によりサイバーセキュリティ対策を強化しつつ、閉域のネットワークの見直し などにより、コスト縮減の観点も踏まえながら、モダンシステムへの刷新を図っていく。

https://www.cas.go.jp/jp/seisaku/iryou_dx_suishin/dai2/siryou1.pdf
医療 DX の推進に関する工程表

医療DX推進本部｜内閣官房ホームページ

3省2ガイドライン

医療機関は3省2ガイドラインとも呼ばれる医療情報システムの安全管理に関するガイドラインの遵守が求められています。しかし非常に量も多く、全てを理解して対策を打つことは非常に難しいため、同ページにある医療機関等におけるサイバーセキュリティ対策チェックリストはせめて達成するように等、段階的な対応になっているのも実情です。また、こちらのチェックリストは保健所の立入検査でも利用されています。

医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）

JAHIS「製造業者/サービス事業者による医療情報セキュリティ開示書 SDS」ガイド Ver.4.1

3省2ガイドラインの中でも特に医療機関が事業者を利用する時に事業者があが適切な対応が行われてるかどうかを確認するための方法として、JAHISが作成した「製造業者/サービス事業者による医療情報セキュリティ開示書」SDSを利用して事業者に情報開示を行う方法があります。

現状、最新版の3省2ガイドライン第5.2版を元にして作成されているため、近日中に6.0版バージョンが作成される可能性もあります。

ヘンリーはSDSの開示要求に対して開示実績ももちろんあります。

JAHIS「製造業者/サービス事業者による医療情報セキュリティ開示書」ガイドVer.4.1 （MDS/SDS) | 一般社団法人保健医療福祉情報システム工業会

医療ISAC

医療機関向けのISAC(Information Sharing and Analysis Center)として医療ISACがあります。

医療ISAC – Medical ISAC Japan

医療ISACでも本ページで言及した情報系NWのセキュリティ強化の話は 先日公開されてる資料でも言及されています。

ヘンリーとしてもセキュリティに関する取り組みは医療ISACとも協力して今後さらに進めていくべく、今月末にはリスク・コミュニケーションの実践と課題というタイトルでセミナーを開催予定となっています。

• タイトル: クラウド電子カルテ事業者によるリスク・コミュニケーションの実践と課題

• 講師：戸田健互（とだ けんご） 

• 日時：2023 年 11 月 29 日（水）15:00～16:00 Google Meet によるライブ配信

• 詳細： https://m-isac.jp/wp-content/uploads/2023/11/SecurityLecture2023_008_guide.pdf

まとめ、2024の目標

病院様の置かれてる状況として非常にコスト的にも厳しい中でDXを武器にして効率化を図ることは保険診療を継続するためにも非常に重要な要素になってきていると思います。

ヘンリー自身、今年頭にようやく病院様向けの電子カルテのリリースを行った段階であり、まだまだ病院様のDX化ノウハウは溜めていくフェーズではありますが、他業界で多種多様な経験を持ったメンバーが集まりつつあり、今後は電子カルテベンダーとしてだけでなく、DX推進パートナーとしても強く貢献していきたいと考えています。

来年はプロフェッショナルサービスとして、電子カルテ運用開始後の継続的な病院のDX自体にも貢献出来るサービスの検討も行っており、中小病院様を起点にして医療DXに革新を起こしたいと考えています。

以上、植村が記載致しました。最後まで読んで頂き、誠に有難うございました。

また、記事の中で書かれている情報系NWのクラウド利用を前提とした構成に関しては来月の弊社開発blogで掲載予定です。

ネットワーク設計エンジニア

事業開発担当者(Tech)