これまでのシリーズで情報漏洩や医療機関が扱う情報の機微性のこと、また情報セキュリティ対策における教育や研修の重要性、運用管理規程の遵守についてお話をさせていただきました。
今回は「医療機関における情報セキュリティマネジメントシステム(ISMS)の活用」と題してISMSの簡単な説明とISMSの方法論を使った医療機関情報マネジメントについてお話しさせていただきます。
ISMSは「Information Security Management System」の頭文字を取ったもので、日本語で言うならば「情報保護(保安)のための仕組みを作る」といったところでしょうか。
近年企業のIT化が進みましたが、残念なことに情報漏洩などの問題が多く発生しています。それは医療機関も同様と言えます。
それらの問題を解決するための仕組み作りの考え方がISMSとなります。ISMSでは情報セキュリティレベルを高めるために3つの性質を維持することが大切としています。それは「機密性・完全性・可用性」で、情報セキュリティの3大要素として頭文字をとってC.I.Aと言われています。
上記3大要素を書き出しましたが、なんだか理解し難いと思いますので、医療機関で考える3大要素を簡単に表します。
簡単に言い換えると、このような感じになるかと思います。
このC.I.Aをバランス良く管理していく医療機関内での仕組みを作ることがISMSの考え方となります。
医療機関情報マネジメントシステム(仕組み)作りについて医療機関ごとの考え方や方法は様々であると思います。
そのような中でISMSの方法論を使うメリットとして挙げられることは、そこに「ルール」があるということです。
一から医療機関独自の情報マネジメントシステムを構築するには時間と労力が掛かりますがISMSの方法論を使うことで、それらが低減されるといったメリットがあります。
またISMSの方法論で情報マネジメントシステムを構築した医療機関は同じように構築した医療機関とスムーズなコミュニケーションが取ることができるといったメリットもあります。
今後は地域医療情報ネットワークの普及など、他医療機関との情報連携も増えていくと思われます。それらに参加する医療機関同士がISMSの方法論を活用していればスムーズな情報マネジメントシステム構築に繋がります。
ISMS方法論の中でも特に重要ですぐにでも活用して情報マネジメントシステム構築をすることが必要だと私が考える内容を抜粋してご紹介します。
仕組み作りに重要なことは、医療機関で継続可能な組織体制の構築が必要となります。
ある1法人1施設であれば病院長を中心とした組織作り、1法人複数病院である場合には理事長を中心とした組織作りになるかと思われます。もちろん理事長、病院長から任命を受けた方がそれらを「管理・運営」することも可能であると考えますが医療機関全体、法人全体に関わることなので経営層の関わりが重要と考えます。
組織で検討する内容としては以下が考えられます。
これらの「検討・運営」を継続的に実行する組織体制の構築が重要と考えます。
医療機関は医療の安全性確保等の施策ですでにPDCAサイクルを実施していると思いますが、ISMSでも同じようにPDCAサイクルによって仕組みが構成されています。
PDCAサイクルを的確に実行し継続的に改善することで安全な仕組み作りとなっていきます。
PDCAサイクルに適応させるため、上に記載した組織体制の中で長期的リスクの洗い出しや日々のリスクや脅威、問題点の洗い出しをします。このように「リスク・問題点」などを挙げ、それらに対してPDCAサイクルを継続的に回し対策を実施することが重要です。
また医療機関で日々発生する情報セキュリティに関連する問題点の一部はインシデントレポートなどで医療安全委員会等へ報告が上がってしまうことがあります、医療機関内でも連携を密にして問題に対する対策の取りこぼしがないようにすることが重要です。
このように「PDCAサイクルを使って継続的改善をし続けること」それがISMSで特に重視されていることになります。
実際にISMS認証取得となれば、もっと多くのことをお知らせしないといけませんが、今回はISMSの方法論を使った情報マネジメントシステム構築について手短にお話をさせていただきました。
医療の情報技術化(IT化)が進む中、情報セキュリティは必須の課題となっております。今回は全3回のシリーズとしてお話をさせていただきました。
筆者の考えが少しでも参考となり、各医療機関での情報セキュリティのお役に立つことができれば光栄です。
何かご不明な点、お困りのことがございましたら何なりとお知らせ下さい。
最後までお読みいただきありがとうございました。
