[2-L-1-PP2-5] 「当院における病院情報システムに対するセキュリティ対策の報告 ~内部監査継続等で改善されたこと、今後の課題~」
[背景]放射線医学総合研究所病院(以下、当院)では、平成18年から継続的に医療情報システムに対するセキュリティ対策としてPDCAサイクルを立案し実施している。主な内容は①医療情報セキュリティ講習会、②セルフチェック、③内部監査であり、医療情報を取り扱う職員を対象にセキュリティに対する意識の向上を図っている。
[方法]本研究では②セルフチェックと③内部監査について、職員の意識の変化など継続的に実施した結果を評価し、その効果について検証する。なお、セルフチェックは、医療情報システムを取り扱う全職員を対象に、個人情報、パスワード、USBメモリなどの取り扱いについてアンケート形式で実施している。また、内部監査は、対象とする部門を18に分け、3年を1サイクルとし年に5~6部門を対象に実施し、監査項目は当院で定める医療情報セキュリティ手順書に基づき選定している。
[結果]2012年度と2016年度に実施したセルフチェックの回答を比較すると、全6項目の質問事項について「実施している」と回答した割合が1項目を除き10ポイント以上向上した。内部監査について一例を示すが、2013年度実施時、診療情報を含むファイルを保管している棚や居室の施錠に不備があった。しかし、内部監査を繰り返し行うことで施錠の徹底などを図ることができた。このように、監査対象部門において前回の指摘事項は概ね改善された。これらの結果からこのような対策を定期的に実施することにより職員の意識改革に一定の効果が得られることがわかった。
[考察]パスワードの変更に関しては、自発的に変更するのは困難、短期間で変更すると忘れてしまい業務に影響が出る、など定期的な変更への否定的な意見があった。当院では静脈認証も一部実施しているが、今後は運用的な視点と経済的な視点を含め、他の手法なども考慮しセキュリティ対策について検討を進める必要があると考える。
[方法]本研究では②セルフチェックと③内部監査について、職員の意識の変化など継続的に実施した結果を評価し、その効果について検証する。なお、セルフチェックは、医療情報システムを取り扱う全職員を対象に、個人情報、パスワード、USBメモリなどの取り扱いについてアンケート形式で実施している。また、内部監査は、対象とする部門を18に分け、3年を1サイクルとし年に5~6部門を対象に実施し、監査項目は当院で定める医療情報セキュリティ手順書に基づき選定している。
[結果]2012年度と2016年度に実施したセルフチェックの回答を比較すると、全6項目の質問事項について「実施している」と回答した割合が1項目を除き10ポイント以上向上した。内部監査について一例を示すが、2013年度実施時、診療情報を含むファイルを保管している棚や居室の施錠に不備があった。しかし、内部監査を繰り返し行うことで施錠の徹底などを図ることができた。このように、監査対象部門において前回の指摘事項は概ね改善された。これらの結果からこのような対策を定期的に実施することにより職員の意識改革に一定の効果が得られることがわかった。
[考察]パスワードの変更に関しては、自発的に変更するのは困難、短期間で変更すると忘れてしまい業務に影響が出る、など定期的な変更への否定的な意見があった。当院では静脈認証も一部実施しているが、今後は運用的な視点と経済的な視点を含め、他の手法なども考慮しセキュリティ対策について検討を進める必要があると考える。