「医療機関BCPとセキュリティー」現状と課題 「医療のクラウド活用」可能性をひもとく
「Ubicomホールディングス」の子会社で、レセプト点検や医療安全支援、データ分析など、医療機関向けのITソリューションを展開する「エーアイエス」の執行役員 千葉慎吾氏は、次のように指摘する。
営業担当執行役員
千葉慎吾氏
「医療情報のBCPについて十分な対策が取れず、不安を感じている医療機関は少なくありません。しかし、クラウドサービス事業者が医療情報を取り扱う際は厚生労働省、経済産業省、総務省の3省が提唱する医療情報セキュリティーガイドライン、いわゆる3省3ガイドラインに準拠する必要があり、サービス提供のハードルは高いんです。
こうした中、われわれはNTT東日本と協業し、3省3ガイドラインに準拠したクラウドサービス『SonaM(そなえむ)』をリリースします。これを機に、医療機関のBCP対策や医療データ保全の一助として、医療クラウドサービスの普及を進めたいと考えています」
扱う情報や、それが漏洩した場合のリスクを考えると、医療機関がクラウド活用に二の足を踏むのも理解できなくはない。ただ、一般企業の状況を見てもらえばわかるが、もはやそのようなフェーズではないのだ。
「現在、電子カルテはほとんどオンプレミスに置かれているため、システム管理担当者は設置場所を含め、さまざまなことで悩まなければなりません。しかし、働き方改革などでテレワークが脚光を浴びているように、医療情報も病院の中だけで見られればよい時代ではなくなってきます。
以前は、患者が病院に来るのが当たり前でしたが、訪問診療やオンライン診療が普及すると、オンプレミスよりしっかりしたセキュリティーの下であれば、クラウドでの運用を検討したほうがよいでしょう。
医学研究においては現在、多施設で患者データを大量に収集して分析するようになっていて、電子カルテがクラウド上にあれば、必要な情報を容易に集められるため、研究スピードも速くなる。新薬や新しい治療法の開発が加速されれば、患者にとっても大きなメリットになります」(美代氏)
実は、医療情報で最も身近な脅威とは?
医療の進歩に伴い、医療機関が扱うデータ量は爆発的に増加している。多くの病院は、6年ぐらいの周期で情報システムを入れ替える。オンプレミスだと将来必要なデータ量を想定しなければならないが、スケーラビリティーのあるクラウドであれば、データ量の増減を気にする必要がない。
BCPの観点に話を戻すと、実は医療情報で最も身近な脅威となっているのがランサムウェアによる攻撃である。実際、英国では2017年、医療機関の大規模なランサムウェア感染事故が発生している。
電子カルテはインターネットとつなげていないから大丈夫と思い込んでいる医療従事者もいるが、皮肉なことに、ウイルス対策ソフトのアップデートやリモートメンテナンスでつながっていることもある。
ハードディスクにバックアップを取っていても、物理的に本体とつながっていればバックアップも感染する可能性がある。だが、こうした問題も、クラウドに世代管理した形でバックアップを保存していれば復旧でき、身代金(ランサム)を支払わずに済む。
「ガチガチなセキュリティー、例えば院外で電子メールを読めないようにすると、フリーメールを使って外部で閲覧するシャドーIT化が進み、かえってリスクが高まります。システム管理者としては総合的にリスクを判断し、職員のITリテラシーも踏まえて、セキュリティーやBCP対策を考えていく必要があるでしょう」(美代氏)
