災害や事故、テロなどが発生した場合、事業者は直接的な被害を受けるだけでなく、事業を停止しなければならない状態に追い込まれる可能性がある。これを最小限にとどめつつ、事業の継続や早期復旧を行うための計画がBCP(事業継続計画)だ。
業界や企業規模にかかわらず、平常時から準備しておく必要があるが、緊急事態でも事業を止めてはならないものの1つが医療である。カルテなどの医療情報の重要性は言うまでもないだろう。
医療情報基盤センター センター長
美代賢吾氏
国立国際医療研究センターで医療情報基盤センター長を務める美代賢吾氏は次のように説明する。
「災害で医療情報が失われたときに問題となるのが薬の処方です。自分が飲んでいる薬の名前を正確に覚えている方はほとんどおらず、『小さくて丸くて白いもの』といったレベルから推測して処方しなければならないこともあります。慢性疾患の場合、時間をかけて薬の量を増減しながら様子を見て、よい状態になる量や組み合わせを探っていくのですが、それがリセットされてしまいます」
一般的な病院は、医療情報のバックアップを取り、稼働しているシステムとは別の場所に保管していることが多い。大規模病院やより強くBCPを意識している病院では、遠隔の病院と提携し、相互にバックアップを保管し合う取り組みを行っているところもある。
ただ、維持コストの大きさもさることながら、バックアップを遠隔地に置くべきかどうかの判断も難しい。サーバー室が壊れてしまうような大地震が発生したら、バックアップが遠隔地にあっても診療そのものの復旧は困難だ。一方、患者が被災地を離れ避難した先で医療情報を得られれば、それまでと同様の治療を継続できる。
東日本大震災で被災したある病院では、電力網がストップし自家発電でサーバーを動かすことはできたものの、サーバー室の空調が自家発電につながっておらず、室温が上がりすぎたためサーバーが使えないといった状況に。こうした場合でも簡易的に医療情報を閲覧できる仕組みがあれば、診療をある程度継続できる。
意外に見落とされがちだが、サーバー室は地下に設置されることが多いため、台風や豪雨のように、大震災よりも発生頻度の高い水害対策は、BCPにおいてより考慮すべき問題だろう。
3省3ガイドラインに準拠したサービス提供の難しさ
こうした問題の解決策として注目されているのが、クラウドを活用したバックアップである。アップロードすればクラウド側で自動的に地域を分散してデータを保管してもらえ、災害が生じても、ネットがつながれば医療情報を取り出すことができる。
しかし、医療機関においてクラウドサービスが普及しているとは言いがたい状況だ。これは、センシティブな個人情報を取り扱う医療特有の課題があるからだ。
「Ubicomホールディングス」の子会社で、レセプト点検や医療安全支援、データ分析など、医療機関向けのITソリューションを展開する「エーアイエス」の執行役員 千葉慎吾氏は、次のように指摘する。
営業担当執行役員
千葉慎吾氏
「医療情報のBCPについて十分な対策が取れず、不安を感じている医療機関は少なくありません。しかし、クラウドサービス事業者が医療情報を取り扱う際は厚生労働省、経済産業省、総務省の3省が提唱する医療情報セキュリティーガイドライン、いわゆる3省3ガイドラインに準拠する必要があり、サービス提供のハードルは高いんです。
こうした中、われわれはNTT東日本と協業し、3省3ガイドラインに準拠したクラウドサービス『SonaM(そなえむ)』をリリースします。これを機に、医療機関のBCP対策や医療データ保全の一助として、医療クラウドサービスの普及を進めたいと考えています」
扱う情報や、それが漏洩した場合のリスクを考えると、医療機関がクラウド活用に二の足を踏むのも理解できなくはない。ただ、一般企業の状況を見てもらえばわかるが、もはやそのようなフェーズではないのだ。
「現在、電子カルテはほとんどオンプレミスに置かれているため、システム管理担当者は設置場所を含め、さまざまなことで悩まなければなりません。しかし、働き方改革などでテレワークが脚光を浴びているように、医療情報も病院の中だけで見られればよい時代ではなくなってきます。
以前は、患者が病院に来るのが当たり前でしたが、訪問診療やオンライン診療が普及すると、オンプレミスよりしっかりしたセキュリティーの下であれば、クラウドでの運用を検討したほうがよいでしょう。
医学研究においては現在、多施設で患者データを大量に収集して分析するようになっていて、電子カルテがクラウド上にあれば、必要な情報を容易に集められるため、研究スピードも速くなる。新薬や新しい治療法の開発が加速されれば、患者にとっても大きなメリットになります」(美代氏)
実は、医療情報で最も身近な脅威とは?
医療の進歩に伴い、医療機関が扱うデータ量は爆発的に増加している。多くの病院は、6年ぐらいの周期で情報システムを入れ替える。オンプレミスだと将来必要なデータ量を想定しなければならないが、スケーラビリティーのあるクラウドであれば、データ量の増減を気にする必要がない。
BCPの観点に話を戻すと、実は医療情報で最も身近な脅威となっているのがランサムウェアによる攻撃である。実際、英国では2017年、医療機関の大規模なランサムウェア感染事故が発生している。
電子カルテはインターネットとつなげていないから大丈夫と思い込んでいる医療従事者もいるが、皮肉なことに、ウイルス対策ソフトのアップデートやリモートメンテナンスでつながっていることもある。
ハードディスクにバックアップを取っていても、物理的に本体とつながっていればバックアップも感染する可能性がある。だが、こうした問題も、クラウドに世代管理した形でバックアップを保存していれば復旧でき、身代金(ランサム)を支払わずに済む。
「ガチガチなセキュリティー、例えば院外で電子メールを読めないようにすると、フリーメールを使って外部で閲覧するシャドーIT化が進み、かえってリスクが高まります。システム管理者としては総合的にリスクを判断し、職員のITリテラシーも踏まえて、セキュリティーやBCP対策を考えていく必要があるでしょう」(美代氏)
