こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。
今回は、医療情報システムの管理・運用の中でも、まず取り組みたい
「機器台帳」
と
「アカウント管理」
についてお話しします。
サイバーセキュリティ対策というと、ウイルス対策ソフトやファイアウォール、二要素認証など、技術的なものを思い浮かべる方が多いと思います。
もちろん、それらも大切です。
ただ、最初に確認していただきたいのは、もっと基本的なことです。
自院に、どの機器があるか。
どのパソコンで電子カルテを使っているか。
どのサーバがどこにあるか。
どのネットワーク機器を使っているか。
誰がどのIDを使っているか。
退職者のIDが残っていないか。
ここです。
令和7年度版のチェックリストでは、サーバ、端末PC、ネットワーク機器の台帳管理が求められています。
この台帳は、単なる備品台帳ではありません。
医療情報システムとして使っている機器を、セキュリティの観点から管理するための台帳です。
たとえば、次のような項目を整理します。
管理番号。
機器の種類。
メーカー。
OS。
ソフトウェア名。
ソフトウェアのバージョン。
IPアドレス。
設置場所。
利用者。
登録日。
稼働中か停止中か。
最初から完璧な台帳を作ろうとしなくて大丈夫です。
まずは、院内を歩いて、医療情報に関係する機器を書き出してください。
受付のパソコン。
診察室のパソコン。
処置室のパソコン。
レセコン。
電子カルテサーバ。
画像システム。
オンライン資格確認端末。
ルータ。
Wi-Fi機器。
バックアップ装置。
こうしたものを一覧にするだけでも、大きな前進です。
なぜ台帳が必要なのでしょうか。
理由は簡単です。
何があるか分からなければ、守れないからです。
古いパソコンが残っている。
使っていない端末がネットワークにつながったままになっている。
Windowsのサポートが切れている。
電子カルテの古いバージョンが残っている。
誰も管理していないWi-Fi機器がある。
こうした状態は、サイバー攻撃の入口になる可能性があります。
台帳を作ることは、院内のリスクを見える化することです。
次に、アカウント管理です。
これも非常に重要です。
電子カルテやレセコン、予約システムなどには、職員ごとにIDが発行されていると思います。
ここで確認したいのは、次のような点です。
退職者のIDが残っていないか。
異動した職員に、以前の権限が残っていないか。
全員が同じIDを使っていないか。
管理者権限を持つ人が多すぎないか。
非常勤職員や外部業者のIDが放置されていないか。
特に注意したいのは、退職者IDと共通IDです。
退職者のIDが残っていると、不正アクセスの入口になる可能性があります。
また、全員で同じIDを使っていると、誰が何をしたのか追跡できません。
アクセスログを取っていても、共通IDでは意味が弱くなってしまいます。
もちろん、医療現場では、忙しさやシステム仕様の関係で、理想通りにいかないこともあります。
だからこそ、まずは実態を把握することが大切です。
いま、どのIDがあるのか。
誰が使っているのか。
権限は適切か。
不要なIDは削除または無効化されているか。
これを一覧にしてください。
また、管理者権限は最小限にすることが基本です。
管理者権限を持つアカウントが攻撃されると、被害が一気に広がる可能性があります。
「便利だから」
「何かあったとき困らないから」
という理由で、多くの職員に管理者権限を付けるのは避けるべきです。
第3回でお伝えしたい行動は、次の4つです。
1つ目。
電子カルテ、レセコン、オンライン資格確認、画像システムなど、医療情報に関係する機器を一覧化する。
2つ目。
サーバ、端末PC、ネットワーク機器を台帳にする。
3つ目。
利用者IDを一覧化し、退職者や未使用IDが残っていないか確認する。
4つ目。
管理者権限を持つアカウントを確認し、必要最小限にする。
サイバーセキュリティ対策の第一歩は、自院の状態を知ることです。
高度な対策を考える前に、まずは台帳とID管理から始めてください。
次回は、電子カルテ業者や保守会社など、事業者に確認すべきポイントについてお話しします。
