こんにちは。M&Cパートナーコンサルティング代表の村上佳子です。
今回は、医療情報システムの安全管理で避けて通れない
「事業者確認」
についてお話しします。
クリニックや病院では、さまざまな医療情報システムを使っています。
電子カルテ。
レセコン。
画像システム。
予約システム。
問診システム。
オンライン資格確認。
ネットワーク機器。
バックアップサービス。
これらの多くは、外部の事業者が提供し、保守しています。
そのため、院長先生や事務長さんからは、よくこう言われます。
「システムのことは業者さんに任せています」
「専門的なことは分かりません」
「何かあれば保守会社に連絡します」
もちろん、事業者の協力は必要です。
むしろ、事業者と連携しなければ、セキュリティ対策は進みません。
ただし、大事なのは、任せっぱなしにしないことです。
令和7年度版のチェックリストでは、医療機関側の確認だけでなく、事業者確認用のチェックリストも使うことが想定されています。
複数の医療情報システムを利用している場合には、システムを提供している事業者ごとに確認を求める必要があります。
ここでまず確認したいのが、リモートメンテナンスです。
リモートメンテナンスとは、事業者が院外からシステムに接続して、保守作業を行うことです。
これは便利です。
トラブル時にすぐ対応してもらえる。
現地訪問を待たずに設定確認ができる。
更新作業も遠隔でできる。
一方で、リモート接続の経路が攻撃されるリスクもあります。
そのため、どの機器にリモート接続があるのか。
どの事業者が接続できるのか。
いつ接続するのか。
接続時の認証はどうなっているのか。
不要なときは接続を止められるのか。
これを確認しておく必要があります。
次に、MDS/SDSです。
これは、医療情報セキュリティ開示書のことです。
簡単にいうと、医療情報システムやサービスのセキュリティ機能について、事業者側が整理して開示する資料です。
院長先生や事務長さんが、すべての技術仕様を理解する必要はありません。
ただ、MDS/SDSがあるか。
事業者から提出してもらえるか。
どのようなセキュリティ機能があるか。
医療機関側で対応すべきことは何か。
これを確認することが重要です。
次に、セキュリティパッチです。
パッチとは、ソフトウェアや機器の脆弱性を修正するための更新プログラムです。
サイバー攻撃では、古いOSや更新されていないソフトウェアが狙われることがあります。
ここで問題になるのが、医療情報システムでは、簡単に更新できない場合があるということです。
電子カルテの動作確認が必要。
医療機器との接続がある。
古いOSでしか動かないシステムがある。
保守契約上、医療機関側で勝手に更新できない。
こうした事情があります。
だからこそ、事業者に確認する必要があります。
現在のOSは何か。
パッチはいつ適用しているのか。
適用できない場合、理由は何か。
代替策はあるのか。
次回更新時にどう対応するのか。
この確認を記録に残してください。
もうひとつ、パスワード管理も事業者確認が必要です。
サーバやネットワーク機器のパスワードを、事業者が管理している場合があります。
その場合、医療機関側では中身が見えません。
しかし、確認は必要です。
出荷時パスワードのままではないか。
複数施設で同じパスワードを使い回していないか。
管理者パスワードは適切に管理されているか。
二要素認証や接続元制限はあるか。
ここは、事業者確認用チェックリストを使って確認しましょう。
事業者に聞くことを遠慮する必要はありません。
これは、責めるためではありません。
患者情報を守り、診療を継続するために、医療機関と事業者が役割分担を確認する作業です。
第4回でやっていただきたいことは、次の4つです。
1つ目。
自院が契約している医療情報システム事業者を一覧化する。
2つ目。
事業者ごとに、事業者確認用チェックリストの回答を依頼する。
3つ目。
リモートメンテナンスの有無と対象機器を確認する。
4つ目。
MDS/SDS、パッチ適用、パスワード管理、バックアップについて確認記録を残す。
サイバーセキュリティ対策は、医療機関だけでも、事業者だけでも完結しません。
大切なのは、任せっぱなしにしないこと。
「うちは何を担当し、事業者は何を担当するのか」
この役割分担を明確にすることです。
次回は、パスワード、USB、二要素認証、アクセスログなど、日常運用で見落としやすいポイントについてお話しします。
