Japan Association for Medical Informatics

[4-G-3-02] 情報セキュリティ自己点検とオンラインシステム監査について

*Takashi Ekari1, Kazuhiko Hino2, Yukyu Wada3, Yohei Sone4, Takeshi Sugimura5, Tadashi Matsumura6, Norie Nakayama7, Hideki Fukuda8, Kazumi Fujioka8 (1. 埼玉医療生活協同組合 羽生総合病院, 2. 医療法人徳洲会 新庄徳洲会病院, 3. 医療法人沖縄徳洲会 湘南鎌倉総合病院, 4. 医療法人沖縄徳洲会 高砂西部病院, 5. 医療法人沖縄徳洲会 神戸徳洲会病院, 6. 医療法人沖縄徳洲会 宇和島徳洲会病院, 7. 医療法人沖縄徳洲会 榛原総合病院, 8. 徳洲会インフォメーションシステム株式会社)

Information Security Self-check, Online system audit, Information System Operations Management Stipulation

背景・目的:
徳洲会グループ(以下グループ)では、グループ65病院約140名のSEで構成する情報システム管理部会(以下SE部会)内に設置した法令順守部門とグループのIT部門である徳洲会インフォメーションシステム株式会社、さらに外部機関(一般社団法人医療ISAC)の協力も得て、2019年4月よりグループ病院に対するシステム監査を開始した。これはグループ共通の『情報システム運用管理規程 第5版』に基づき、各病院で医療情報システムの運用及び患者情報の取り扱いが適切に行われているか、事前提出文書と現地訪問により監査を行い病院が一定のセキュリティを確保できるよう支援する目的で行われるものである。しかし監査は1ヵ月に1~2病院の実施が限度であり、全病院の監査完了までに2~3年を要することから、各病院でセキュリティに関する自己点検を行うこととした。

方法:
自己点検はシステム監査用の『情報セキュリティチェックシート(計79項目)』を用いて各病院で実施した。この結果に基づき監査を継続する予定だったが、新型コロナウイルスの影響を考慮して一旦中断、監査員が現地を訪問しない監査方法を検討し、2021年1月にZoomによる初のオンライン監査を実施した。

結果・考察:
SE部会法令順守部門で各病院の自己点検結果を集約・分析した結果、各病院のセキュリティレベルに予想以上の差があることや多くの病院に共通する弱点等も判明し、グループのセキュリティ対策の課題を明らかにすることができた。またオンライン監査は綿密な事前準備と受審病院の協力もあり、訪問監査と遜色ない内容で監査を行えたと考える。
今後はこの結果に基づき、急ぎ対策が必要な病院に優先して監査あるいは個別の支援を行う、多くの病院に共通する改善が必要な事項はSE部会の会議等で積極的にアナウンスする等、各病院とグループ全体のセキュリティレベル向上の支援を継続していきたい。