電子カルテの普及に伴い、記録業務の利便性が大幅に向上している一方で、セキュリティ対策に関してはなおざりなケースも多く、システムダウンや情報漏えいといった、従来では考えられなかったリスクが発生しています。
医療システムの乗っ取りや患者の個人情報流出が起こった場合、本来の業務だけでなく経営にまで大きな影響を及ぼしかねません。
そこで本記事では、電子カルテを導入する医療機関のセキュリティ対策について解説します。
電子カルテには患者の病名や病状はもちろんのこと、住所、電話番号、家族構成など、さまざまな個人情報が記載されているため、慎重な取り扱いとセキュリティ対策が必要です。
セキュリティ対策が十分でないと、外部からのサイバー攻撃や職員の不注意によりシステムダウンや情報漏えいを起こす可能性もあります。
例えば、2021年10月、徳島のある病院ではランサムウェアの攻撃により院内の電子カルテが暗号化され、利用できなくなる事件がありました。
また、医療機関の職員が患者の個人情報を含むUSBメモリやタブレットPCを院外に持ち出し紛失するといった、不適切な情報管理による情報流出も少なくありません。
電子カルテのセキュリティ対策では外部からの侵入と内部からの流出、両方を防ぐことが必須といえます。
まずは電子カルテのシステム面でのセキュリティ対策についてみていきましょう。
代表的なものとして、以下の5つが挙げられます。
ファイアウォールは、インターネットと院内LANの間に設置し、ネットワークの通信を許可するか拒否するかを判断することで、外部からの攻撃や不正なアクセスを遮断する仕組みです。
火災のときに火の流れを食い止める防火壁のような役割を果たすことからファイアウォールと呼ばれます。
利用者の本人確認を行うステップで有効なのが認証システムです。
IDやパスワード、指紋などの認証要素により、正当な利用者、つまりその医療機関の職員であることを示します。
また、「職員かどうか」だけではなく、職種によって利用できる機能を制限することもできます。
例えば、看護師のIDでログインしたユーザーには薬剤の変更を許可しないというように、管理者が定めた権限の範囲内でのみ操作が許可され、それ以外の操作は制限されます。
これを、アクセス制御といいます。
インターネット上に仮想の専用線を設定することで、特定の人や施設同士のみで安全にデータをやり取りできるようになる専用ネットワークがVPN接続です。
関連病院や紹介先・紹介元との情報共有の際に、患者情報を安全に送付するために使われます。
専用のネットワークでありながら、通信の際にはデータの暗号化も組み合わせて情報が伝達されるため、更に安全性が高くなっています。
コンピュータウイルスを防ぐ有効な対策はウイルス対策ソフトの導入と、導入した対策ソフトを常にアップデートすることです。
コンピュータウイルスは日々巧妙にアップデートされているため、検知するにはウイルス対策ソフトの定義ファイルを定期的に更新する必要があります。
万が一、システムの不具合や凍結が起こった際も、データのバックアップがあれば検査データなどの個人情報を紛失することなく対応することができます。
バックアップは最低でも二重でとっておき、随時更新してなるべく最新のデータを保持するようにしておくと、緊急時でも被害を最小限に抑えることができます。
次に、電子カルテを運用する上でのセキュリティ対策について解説します。
電子カルテを安全に運用するにはルールが必要です。
厚生労働省の「医療情報システムの安全管理に関するガイドライン 第5.1版」では、機器の管理方法や個人情報の記録・保管の方法、リスクに対する予防措置、トラブル発生時の対応方法について運用管理規定を設けることが定められています。
ただし、運用管理規定を作るだけで満足せず、職員に順守させることが重要です。
運用管理規定を設け、研修で周知しても、職員の規定違反やモラルの欠如があればルールが機能しなくなるため、職員への定期的な情報セキュリティとモラルに関する教育も必須です。
取り扱っている情報の重要性を再認識し、日常業務での意識を高めることが運用管理規定の順守につながります。
最後に、セキュリティの高い電子カルテを選ぶのに、これだけは確認しておきたいポイントを2つ紹介します。
3省2ガイドラインとは、個人情報が含まれる医療情報システムを適切に管理・運用できるように、厚生労働省・経済産業省・総務省の3省により定められた2つのガイドラインです。
具体的には、厚生労働省の「医療情報システムの安全管理に関するガイドライン」、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を指します。
医療機関や電子カルテのサービス事業者はこのガイドラインに則って運用しなければならないため、ガイドラインに準拠している電子カルテを選ぶ必要があります。
個人情報の取り扱いには国際的な「ISMS認証(情報セキュリティマネジメントシステム)」や国内の「JIS Q 15001(プライバシーマーク)」といった規格があります。
これらの認証を満たす事業者の電子カルテは個人情報の適切な保護・管理に努めているので、安心して利用できるでしょう。
タックでも「ISIM認証」や「JIS Q 15001」を取得し、万全のセキュリティ体制で患者の個人情報保護に努めています。
電子カルテのセキュリティ対策では、外部からの侵入と内部からの流出を防ぐ必要があります。
ファイアウォールやVPN接続、ウイルス対策ソフトの導入、認証システムやバックアップの構築によりシステム面でのセキュリティを固めるとともに、運用管理規定を定め、職員がルールを守るように情報セキュリティ教育を定期的に行いましょう。
また、電子カルテを選ぶ際は、3省2ガイドラインに準拠しているか、「ISIM認証」や「JIS Q 15001」を取得している事業者の製品かチェックすることもポイントです。
