一般社団法人 日本医療情報学会

[2-H-2-OP8-3] 「政府機関等の情報セキュリティ対策のための統一基準群」と病院情報セキュリティポリシーの適合性についての考察

小南 亮太, 石割 大範, 中川 陽介, 美代 賢吾 (国立研究開発法人 国立国際医療研究センター)

背景
平成28年度サイバーセキュリティ基本法の改正に伴い、内閣サイバーセキュリティセンター(以下NISC)より「政府機関等の情報セキュリティ対策のための統一基準群」(以下統一基準群と言う)が決定され、全国の独立行政法人等も同等の情報セキュリティ規程の整備が要求されている。
国立国際医療研究センター(以下NCGM)でも統一基準群に合わせて規程改訂を行ったが、統一基準群の適用が難しい課題が散見されたため、医療機関に適用する際の課題の考察を行う。
調査方法
1.統一基準群の概要
統一基準群とは、NISCが規模・業種の如何を問わず行政機関等のサイバーセキュリティに関する対策の基準として策定したものである。
2.各規程のNCGMへの適用の可否の検討
各項目について内容の精査を行い、医療機関の特性上そのまま適用できない項目の抽出を行った。
結果と考察
規程117項目のうち医療機関の課題となり得る項目は10項目であった。
代表的な課題として、下記項目が挙げられる。
1.セキュリティエリアのクラス分け
情報取扱場所での施錠や個人の出入の記録等、厳密な管理を求められているが、患者等も出入りする病棟内をセキュリティレベルの区域ごとに厳密に対応することは現実的ではない。
2.体制の整備
システムごとにセキュリティ責任者を設けることを求められているが、利用部門に運用・報告・対処の責任を負わせることは困難である。
3.外部委託
多様なシステムを保有する医療機関では構築を外部委託することが多いが、委託やクラウド、Webサービスの利用にあたって、委託者による監査の受入や委託先個人情報の提出を求めることは敷居が高く、業者の選定を阻害する恐れがある。
上記事項を技術的に解決するにはセンサー設置等コストを必要とする。そのため統一基準群を医療機関に沿うように修正し、区域対策の改変、システム管理体制の集約化、委託業者選定基準を変更することで、対応する必要がある。