一般社団法人 日本医療情報学会

[2-J-1-03] 情報セキュリティ自己点検とサイバーセキュリティ対策について

*松浦 正1、江苅 孝2、日野 和彦3、和田 悠久4、曽根 洋平5、杉村 剛6、田中 義人7、塚本 庸明8、三浦 健9、友寄 雅之10、中山 徳江11、福田 秀樹12、藤岡 和美12、橋本 雄貴12 (1. 医療法人徳洲会 宇和島徳洲会病院, 2. 医療法人徳洲会 羽生総合病院, 3. 医療法人徳洲会 新庄徳洲会病院, 4. 医療法人徳洲会 湘南鎌倉総合病院, 5. 医療法人徳洲会 高砂西部病院, 6. 医療法人徳洲会 神戸徳洲会病院, 7. 医療法人徳洲会 松原徳洲会病院, 8. 医療法人徳洲会 名古屋総合病院, 9. 医療法人徳洲会 屋久島徳洲会病院, 10. 医療法人徳洲会 中部徳洲会病院, 11. 医療法人徳洲会 榛原総合病院, 12. 徳洲会インフォメーションシステム株式会社)

Cyber security, Self-inspection, Enhanced security

背景・目的:
「徳洲会グループ」(以下グループ)では、グループ70病院約160名のSEで構成する「情報システム管理部会」(以下SE部会)内に設置した法令順守部門とグループのIT部門である「徳洲会インフォメーションシステム株式会社」、さらに外部機関「一般社団法人医療ISAC」の協力も得て2019年4月よりグループ病院に対するシステム監査を開始した。
これは厚生労働省の「医療情報システムの安全管理に関するガイドライン」を基に作成したグループ共通の『情報システム運用管理規程』を用いて、各病院に対し現地訪問と新型コロナウイルスの影響下においてはWeb会議システムを用いたオンライン監査を行っている。
その折に徳島と大阪の病院でのサイバー攻撃による被害発表を受け、現状把握とサイバーセキュリティ対策を実施するために全病院対象で自己点検を実施した。

方法:
自己点検はシステム監査時に用いた『情報セキュリティチェックシート(計70項目)』を基にセキュリティに特化した25項目のチェックリストを作成し各病院で実施した。
この結果に基づき、法令順守部門からフィードバックと改善方法の提案や、SE部会からの支援を繰り返し行うことで各病院のセキュリティ対策の強化を図った。

結果・考察:
自己点検を実施したチェックシートを集約し、支援が必要な病院に対して法令順守部門から現状のヒアリングと改善方法のフォローを行った。
その結果、各病院のセキュリティレベルに予想以上の差があることや多くの病院に共通する弱点が判明した。
今後はグループ全体のセキュリティ強化のため継続的に働きかけを行うと共に、必要に応じてWEB会議や現地訪問を重ねて支援を継続していく。