PR※当ページのリンクにはプロモーションが含まれています。

診療報酬

知らないと危険!医療情報システムの安全管理に関するガイドライン第6.0版がわからない医療系管理者へ

参考:医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)

昨今の政府は医療現場のデジタル化、いわゆるDXを推し進めています。そしてサイバー犯罪は日々巧妙化しています。そこで、医療情報システムの安全管理に関するガイドラインがアップデートされ、第6.0版が策定されました。

医療機関のシステムは従来サーバとクライアント機があるいわゆるオンプレミス型のシステムが多かったのですが、クラウドサービス普及により外部サービスの利用についての内容が整理され、サイバー犯罪の巧妙化に伴い内容の更新が再度されています。

第1 改定の趣旨
 保険医療機関・薬局においては令和5年4月からオンライン資格確認の導入が原則義務化されており、今後はガイドラインに記載されているネットワーク関連のセキュリティ対策がより多くの医療機関等に共通して求められることとなる。よって、医療機関等にガイドラインの内容の理解を促し、医療情報システムの安全管理の実効性を高めるため、構成の見直しを行う。また、医療等分野及び医療情報システムに対するサイバー攻撃の一層の多様化・巧妙化が進み、医療機関等における診療業務等に大きな影響が生じていること等を踏まえ、医療機関等に求められる安全管理措置を中心に内容の見直しを行う。

第2 改定の概要
1.全体構成の見直し
本文を、概説編、経営管理編、企画管理編及びシステム運用編に分け、各編で想定する読者に求められる遵守事項及びその考え方を示すとともに、Q&A等において現状で選択可能な具体的な技術にも言及するなど、構成の見直しを行う。
2.外部委託、外部サービスの利用に関する整理
クラウドサービスの特徴を踏まえたリスクや対策の考え方を整理するとともに、医療機関等のシステム類型別に責任分界の考え方等を整理する。
3.情報セキュリティに関する考え方の整理
ネットワークの安全性の考え方や認証のあり方を踏まえて、ゼロトラスト思考に則した対策の考え方を示すほか、サイバー攻撃を含む非常時に対する具体的な対応について整理する。
4.新技術、制度・規格の変更への対応
オンライン資格確認の導入に必要なネットワーク機器等の安全管理措置等について整理する。

参考:医療情報システムの安全管理に関するガイドライン 改訂の趣旨、概要

医療情報システムの安全管理に関するガイドライン第6.0版は四編(概説編経営管理編企画管理編システム運用編)と別添、特集、Q&Aがあるボリュームのあるものです。

とりあえずDI室の薬剤師、またはとりあえず管理薬剤師をシステム運用担当者にしてしまう医療機関・調剤薬局はたくさんあるのではないでしょうか。システム運用担当者になってしまった場合に関係が深いシステム運用編をピックアップして解説いたします。

システム運用担当者が注意する4つの運用のポイントとは

photo of woman in deep thought
Photo by Andrea Piacquadio on Pexels.com

システム運用担当者が注意する運用のポイントは4つあります。

  1. システムの監視
  2. セキュリティ対策の実施
  3. 情報の適切な取り扱い
  4. システムの構成管理

システムの監視はシステムの稼働状況やログの監視、不具合の早期発見・対応が挙げられます。

利用しているサービスが安定稼働しているか、システムのメンテナンス時間が業務に影響を及ぼさないかを確認し、システムの不具合が疑われる症状を知ったら早期にシステム提供元のカスタマーサポートに問い合わせするなどの対応が必要となります。

セキュリティ対策の実施について具体的な内容には、パスワードの適切な管理や、不正アクセスの防止策の実施が挙げられます。

パスワードについて医療情報システムの安全管理に関するガイドライン6.0版では、 推測されにくいものであること、定期的に変更されること、長さが十分であること、8文字以上が推奨されます。

具体的には、大文字・小文字・数字・記号を組み合わせた8文字以上のものに設定し、二ヶ月に一度は変更をするがパスワードは再利用しないことです。

パスワードの対策をした上で、次に進みます。

医療機関で特に重要な不正アクセスの防止策には何があるの

  1. アクセス制限の実施
  2. パスワードの適切な管理
  3. セキュリティホールの対策
  4. 通信の暗号化
  5. 無線LANの電波特性の勘案
  6. アクセスログの記録と確認

1.アクセス制限の実施

不正アクセスを防止するために、アクセス制限を実施することが求められます。具体的には、MACアドレスによるアクセス制限や、IPアドレスによるアクセス制限が挙げられます。

医療機関の内部のPCは出入りは少ないのではないでしょうか。持ち込んだPCでシステムにアクセスできないのはもちろん、ネットワークを分けることでそもそもアクセスできない構成にするのも有効です。

2. パスワードの適切な管理

パスワードの適切な管理を行うことにより、不正アクセスを防止することができます。運用のポイントで既出のため事項へ進みます。

3. セキュリティホールの対策

セキュリティホール(脆弱性)が報告されているソフトウェアへのパッチ適用や、利用していないサービスや通信ポートの非活性化などの対策を実施することにより、不正アクセスを防止することができます。

脆弱性が判明したソフトウェアはアップデートが必要となりますし、脆弱性につながるプログラムはインストールしてあるだけでもリスクとなります。eのアイコンでおなじみのインターネットエクスプローラーは存在そのものが脆弱性と揶揄されており、古い端末に入っていることはないでしょうか。

4. 通信の暗号化

通信を暗号化することにより、不正アクセスによる情報漏洩を防止することができます。具体的には、WPA2-AESやWPA2-TKIPなどの暗号化方式を利用することが挙げられます。通信に利用しているルータ機器があれば、現在主流の暗号化の方式に対応しているか確認してみましょう。

5. 無線LANの電波特性の勘案

無線LANの電波特性を勘案して、通信を阻害しないものを利用することにより、不正アクセスを防止することができます。具体的には、周波数帯や電波強度などを考慮して、適切な無線LAN機器を選定することが挙げられます。市販の無線LAN機器は5Ghzと2Ghzが利用できるものが一般的です。2Ghzは5Ghzよりも遮蔽物に強い特性がありますが、必要以上に強い電波を出して駐車場から不正アクセスされるような事態は避けましょう。

6. アクセスログの記録と確認

アクセスログを記録確認することで、不正アクセスを早期に発見することができます。明らかに営業時間外にアクセスがあった場合、時差のある海外からの不正アクセスが疑われてきます。不正アクセスがマスクされないように業務時間の管理も併せて行う必要があるでしょう。

これらの対策を総合的に実施することにより、不正アクセスを防止することができます。

なかなか専門的な領域に及んできたのではないでしょうか。

上記内容の元は医療情報システムの安全管理に関するガイドライン第6.0版システム運用編をご覧ください。

システム運用担当者が作成すべき文書類には何があるの

システムの操作マニュアル、情報セキュリティインシデント対応手順、構成管理に関する手順

システムの操作マニュアル

医療情報システムの利用者が適切にシステムを利用できるようにするためのマニュアルの整備が求められます。

非常時や情報セキュリティインシデント対応手順

非常時や情報セキュリティインシデントが発生した場合の手順や対応策を作成し、企画管理者の承認を得る必要があります。

情報漏洩があった場合、専用の問い合わせ窓口を設けて調査をします。といった内容を承認を受けてトップダウンで実現できる状態にしておく必要があるということです。

構成管理に関する手順

システム運用担当者は、構成管理に関する手順に従った計画を策定し、実施する必要があります。具体的には、ソフトウェアのバージョン管理や構成管理の手順が適切に実施されているかを確認することが求められます。

これらの文書類の整備により、システム運用担当者は適切な手順やマニュアルを提供し、医療情報システムの安全な運用を確保することができます。

システム利用者が遵守するべき内容には何があるの

大きく4つのポイントがあります。

  1. システムの目的に沿った利用
  2. セキュリティ対策の遵守
  3. 情報の適切な取り扱い
  4. システムの利用状況の報告

システムの利用目的に沿った利用

システムの利用者はシステムの利用目的に沿った利用を行うことが求められます。不適切な例として発注をするための端末に個人情報を不必要に入れたり、システムに負荷がかかるソフトをインストールすることが挙げられます。

セキュリティ対策の遵守

システムのセキュリティに関する規定や手順を遵守することが求められます。情報の漏洩を防止するための措置の実施や、情報セキュリティに関わる研修を受けることが挙げられます。

システムの利用状況の報告

システムの利用者はシステムの利用状況に関する報告を行うことが求められます。具体的にはシステムの不具合を報告したり、利用できない障害が起きている等の報告が挙げられます。

要は「決まりを守って使え。変なことをするな。何かあったら報告しなさい。」というものです。システムの管理に関わると、社員から「何もしていないのにPCがおかしくなった」と連絡が来ますが、内容を確認すると海外の有害サイトからセキュリティアラートを無視して何かをダウンロードしたといった、滅茶苦茶なことをしていることはあるあるエピソードです。

システム利用者の監視には管理上限界があるでしょうから、社内ルールのような形で明文化して遵守させることが重要となるのではないでしょうか。

職場のPCに私的なソフトウェアをインストールしたり、サーバーに負荷がかかるような処理を入れるなどはもってのほかです。

これらの内容を遵守することにより、システム利用者は医療情報システムの安全な運用に貢献することができます。

内容の確認にはチェックリストの利用が効果的です。

厚労省から医療機関におけるサイバーセキュリティ対策チェックリストが出されていますので、併せて確認してみましょう。

医療機関におけるサイバーセキュリティ対策チェックリストマニュアル[977KB]別ウィンドウで開く ~医療機関・事業者向け~(令和5年6月)

-診療報酬
-, ,