コラムCOLUMN
デジタルトランスフォーメーション(DX)推進のためのITガバナンスの必要性
第6回 :医療情報のセキュリティ対策
株式会社クロスオーバー ITコンサルティング事業部
前田 理子
■はじめに
デジタルトランスフォーメーション(DX)の潮流が私たちの生活を大きく変えようとしています。
医療分野においても、AIを使ってデータを分析したり、遠隔で診療を行ったり、その可能性は大きく広がっています。
一方で、このような技術の発展に伴い、リスクとなる攻撃の技術も進展していきます。
本コラムでは、DX、ゼロトラストといった情報インフラの転換期の中、技術の進展、新しい脅威の登場に強く左右されることのない医療機関における医療情報のセキュリティ対策について整理します。
1.情報セキュリティ対策の基準指針
医療情報のセキュリティ対策について基準となる指針として、代表的なものは、3省2ガイドラインです。
3省2ガイドラインとは、医療情報を取り扱う事業者が準拠すべき医療情報の保護に関するガイドラインのことであり、具体的には、厚生労働省の「医療情報システムの安全管理に関するガイドライン5.1版」、経済産業省・総務省の「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」を指します。
「医療情報システムの安全管理に関するガイドライン5.1版」は、医療、介護事業者、医療に携わる機関向けの内容が主で、「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」は、情報システム・サービスの提供事業者向けの内容が主であり、PHR事業(注1)も入ります。ただ、双方とも医療情報を対象としており、ともに理解されることが推奨されています。
また、医療情報は要配慮個人情報を含んでおり、その管理・運用については、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」があり、「個人情報保護法」と共に「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」に踏まえておく必要があります。
医療情報のセキュリティ対策として踏まえておくべきガイドライン等を下記に示します。
注1) PHR事業
PHR(パーソナルヘルスレコード)とは、個人の健康・医療・介護に関する情報をさし、PHR事業はそうした情報を管理、活用するサービス・事業のことをいう。
2.情報セキュリティ対策マネジメントシステムの構築
扱う情報の種類により、通常、ネットワーク構築では、診療系ネットワーク、情報系ネットワーク、用途別ネットワーク(複数有)のセグメントに分けられます。リスクは、セグメントの特性に応じてみるとわかりやすく整理できます。
情報セキュリティ対策には、一般的に人的対策、技術的対策、物理的対策の3つがあげられますが、医療情報でのセキュリティ対策では、この3つに組織的対策を加え4つの領域の視点にたつことを厚労省は提唱しております。医療機関は公的な役割が大きく、厚労省など監督機関の存在があることが理由かと考えられます。この4つの領域の対策例として下記のようなものが挙げられます。
まとめると、情報セキュリティ対策を施す場合、
①主に「医療情報システムの安全管理に関するガイドライン5.1版」、
「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」、
「個人情報保護法」、「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス」
という基準をベースに、
②ネットワークセグメントごとに、
③組織的対策、人的対策、技術的対策、物理的対策という4つの領域の視点で考える、
「基準」「セグメント」「対策領域」の3つの観点から、網羅的に対策することが重要です。
また、自施設のセキュリティ状況を把握することはセキュリティ対策では必要不可欠です。調査するのに参考となるものに、厚労省で作成している「医療機関のサイバーセキュリティ対策チェックリスト」があります。
安全管理ガイドライン「医療機関のサイバーセキュリティ対策チェックリスト」 (mhlw.go.jp)
チェックの主体ごとに(1)経営層向けチェックリスト (2)システム管理者向けチェックリスト、(3)医療従事者・一般のシステム利用者向けチェックリスト と3種類から構成されており、各チェックリストでは、
① 予防的手続(何か起きないように事前に予防するために必要な手続を指す)
② 発見的手続(何か起きたときに迅速に発見するために必要な手続を指す)
③ 是正的手続(何か起きた後で迅速に現状復帰等をするために必要な手続を指す)
に分類された結果が出るようになっております。
このチェックリストの特徴は、立場による役割の違いにおいて確認することができ、さらに「予防、発見、是正」の観点で把握できるということです。
このようにチェックリスト等を利用することで自施設の現状を把握し、予防的コントロール、発見的コントロール、是正的コントロールの観点で客観的に自施設を評価することができ、自施設の現状に応じた情報セキュリティ対策ができます。
3.セキュリティ監査の必要性
情報セキュリティ対策のマネジメントシステムの中に、監査をいれ、最低でも1年に一度は、監査を行うことは、インシデントの発生を未然に防ぐだけでなく、職員のセキュリティ対策への意識づけ、職員教育につながり人的対策、技術的対策、物理的対策に大きく貢献します。
技術の進歩にともない攻撃者の手法も進歩していく中、技術のみでは回避できるものではありません。
そこには日常での運用管理の監督が必要であり、定期的な監査の実施は当然ながら、インシデント、不具合があれば改善していくという監査の視点を持った日常監視が重要となってきます。
実際に、厚労省の「医療機関のサイバーセキュリティ対策チェックリスト」の経営層向けチェックリストでは、「運用管理規定等での監査の内容を入れること」、「サイバーセキュリティ観点での監査の実施」、「サーバやネットワーク機器、ウェブアプリケーションに対する脆弱性検査(診断)」で、監査の実施を求めています。
監査を行うことにより、ルールの見直し、技術的な不備の発見、外部記憶媒体やインターネットの使い方、機器の管理など職員の情報セキュリティ対する意識が高まるという効果が期待でき、定期的に監査を行うことはセキュリティインシデントを防ぐこと、発生しても被害を最小限にとどめることにつながります。
さらに、セキュリティ監査のみならず、ISMSを取得することで、体系立てたマネジメントシステムの構築を可能にし、社会的信頼性を高めることになります。
医療の情報セキュリティ対策に関して、流れをまとめます。
全体のバランスを取りながらサイバーセキュリティ対策の強化を図ることが重要となりますが、実際は、より具体的専門的な対策の構築が難しく、どこから手をつければよいか模索するのが実情かもしれません。
そのような時は、医療情報の専門的な知見をもつコンサルタントを各段階で部分的にでも利用することにより、セキュリティリスクを低減でき、効率的な構築が可能になると考えます。
2021年10月31日の徳島県のつるぎ町立半田病院のランサムウェアの事案は、記憶に新しく、「過去の診察記録が全部見られなくなった。災害レベルの事態だ。南海トラフ巨大地震を想定した非常事態と同じ対応をしている」と病院の管理者の方の説明は印象に残るものでした。
規模の大きい医療機関のみならず、中小の医療機関もサイバー攻撃の対象であることをあらためて認識した次第です。
医療機関においては、規模にかかわらず、医療情報のセキュリティ対策のマネジメントシステムの構築が必要不可欠であると考えます。
コンサルタントプロフィール
株式会社クロスオーバー
ITコンサルティング事業部
前田 理子(まえだ みちこ)
厚生労働省サイバーセキュリティ担当参事官室にてセキュリティ専門官を経て、クロスオーバーでは、システム開発プロジェクトのPMOや医療法人のセキュリティ監査に従事している。
また、大学では、脳神経内科学にて、基礎医学を学び、博士課程にて医療情報システムを専攻した。
医療情報システム全般、医療、医学についての専門知識を有する。