このテーマは情報部門担当が考慮すればいいということではなく、経営層の方々にも熟知しておいてほしいという思いで投稿させていただく。
コンピュータウイルスによるサイバー攻撃については、2021年の徳島県の公立病院や2022年の大阪府の医療センターはまだ記憶に新しいと思われるが、どちらもランサム(身代金)ウェアによる被害であり約2カ月間のシステム停止を余儀なくされた。これらは事業継続に関わる深刻な脅威であるため経営層を含めた病院全体で取り組むべき課題であることを再度認識していただきたい。
サイバーセキュリティとは、デジタル化された情報やシステム、ネットワーク、コンピュータなどをサイバー攻撃やその他の脅威から守るための対策を指す。具体的には、以下のような対策が含まれる。
最近よく耳にする言葉にマルウェアというものがあるが、これは悪意のあるソフトウェアの総称でウイルスもその一つである。
これらのマルウェアを駆使して身代金を要求してくるのがランサムウェアである。
院内における医療情報システム(以下HIS)は、過去は院外と物理的に遮断しUSBメモリーなどの媒体を介さない限りウイルス感染することはなかった。しかし、HISの役割や機能が拡大するにつれて外部との接続を行わざるを得ない状況となり、完全ではないもののファイアウォールやプロキシなどの導入を行い外部との境界線を設けるような形でリスクヘッジしているのが実情である。
更にHISの世界でもオンライン資格確認や電子処方箋をはじめ様々なクラウドサービスが登場してきており、これらに対応するには従来の考え方では防ぎきれないというのが現在の状況である。
そのような状況の中、厚生労働省から出ている指針が医療情報システムの安全管理に関するガイドライン(以下ガイドライン)であり、最新版は2023年5月の第6.0版である。この第6.0版での見直しのポイントは以下の通りである。
特徴的なのは経営管理編で、主に医療機関等において組織の経営方針を策定し、意思決定を担う経営層に認識していただく考え方や関連法制度等が示されている。
また、ゼロトラスト思考も新たに出てきたキーワードである。
一言でいうと「何も信頼しない」という考え方である。物理的、論理的に関わらず従来の内側が安全で外側は脅威という境界線を設ける考え方に対して、ネットワークの内外全てに対して信頼しないということを前提とする考え方である。具体的な対策としては、多要素認証や通信の暗号化、ログ管理などがあげられる。
ただし、これは従来の境界型を否定するものではなく、可能であれば併用してよりセキュリティレベルをアップすることが望ましいと考える。
2024年6月に施行された診療報酬改定でもこのサイバーセキュリティに関連する項目がある。診療録管理体制加算1、2が診療録管理体制加算1、2、3に再編された。内容は以下の通りである。
画像をクリックすると拡大表示します。
令和6年度診療報酬改定の概要 (医科全体版)より
ポイントは診療録管理体制加算1が400床以上から200床以上に対象が広がったことである。この規模の施設において専任の医療情報システム安全管理責任者を配置することは大きな課題である。また、施設基準に「年1回程度、定期的に当該BCPに基づく訓練・演習を実施」など運用面での要件も追加された。
このコラムをご覧の皆様の施設でも新たに対象になられたところが多いのではないかと思うが、この施設基準はかなりハードルが高いものとなっている。
しかし、この項目は単に対応が難しいので加算をあきらめるといことではなく、すぐには無理かもしれないが、確実に準備を進める必要があると考える。ぜひ経営層自ら指揮をとって取り組んでいただきたい。
今回はサイバーセキュリティの基本的な考え方とガイドラインの概要についてご紹介させていただいた。なぜ病院全体で取り組むべき課題であるかは概ねご理解いただけたのではないだろうか。「病院を守る=患者を守る」という理念においてご参考になれば幸いである。
次回はセキュリティ対策における具体的な製品群やそれらの課題についても触れながら更に掘り下げてみたい。
