[4-G-2-06] 電子カルテにおけるプライバシー保護の取り組み
privacy protection, unauthorized access, patient information, electronic medical record
【はじめに】電子カルテでは、業務目的以外で職員が患者情報を取得することを防ぐ必要がある。意図したカルテの不正閲覧を防止するためには、職員教育に加え、閲覧を試みた際の抑止力が必要となる。一方、入院患者一覧画面では、知人や著名人の入院を意図せず把握する可能性がある。
【目的】職員による電子カルテの不正閲覧を防止すること。
【方法と結果】抑止力として、患者カルテ起動後のトップページへのアクセスログの表示と、閲覧制御登録を行った患者カルテを起動した際の警告メッセージの表示を行った。トップページのアクセスログには、担当登録されている職員や入院病棟所属の看護職員のログは表示されない仕組みとした。閲覧者が自身のアクセスログが表示されていることが分かるため、一定の抑止効果があると考えられた。警告メッセージは、2段階に警告レベルを設定できる仕組みとした。通常レベルでは警告メッセージの表示をオーバライドして患者カルテを表示できるが、VIPレベルでは、閲覧理由を入力しなければ、患者カルテを起動できない。業務を円滑に進めるため、通常レベルでは担当職員や入院病棟の看護職員、入院病棟の電子カルテでは警告メッセージは表示されない設定としたが、VIPレベルでは入院病棟の電子カルテはその対象から外した。入院患者一覧では、一覧画面に表示する患者氏名を変更できる機能を導入した。患者カルテ起動後の患者氏名は正しく表示され、診療記録は正しい氏名で記録される。病歴管理委員会でVIP患者、氏名変更を行う患者の定義を行い、運用を開始した。
【考察】システム導入後、トップページのアクセスログをもとに主治医から不正閲覧の可能性を指摘する連絡が入るようになり、不正閲覧に対する職員の意識が高まった。VIP患者や氏名変更が必要な著名人等は改修後、使用機会がなく効果の検証はできていない。
【目的】職員による電子カルテの不正閲覧を防止すること。
【方法と結果】抑止力として、患者カルテ起動後のトップページへのアクセスログの表示と、閲覧制御登録を行った患者カルテを起動した際の警告メッセージの表示を行った。トップページのアクセスログには、担当登録されている職員や入院病棟所属の看護職員のログは表示されない仕組みとした。閲覧者が自身のアクセスログが表示されていることが分かるため、一定の抑止効果があると考えられた。警告メッセージは、2段階に警告レベルを設定できる仕組みとした。通常レベルでは警告メッセージの表示をオーバライドして患者カルテを表示できるが、VIPレベルでは、閲覧理由を入力しなければ、患者カルテを起動できない。業務を円滑に進めるため、通常レベルでは担当職員や入院病棟の看護職員、入院病棟の電子カルテでは警告メッセージは表示されない設定としたが、VIPレベルでは入院病棟の電子カルテはその対象から外した。入院患者一覧では、一覧画面に表示する患者氏名を変更できる機能を導入した。患者カルテ起動後の患者氏名は正しく表示され、診療記録は正しい氏名で記録される。病歴管理委員会でVIP患者、氏名変更を行う患者の定義を行い、運用を開始した。
【考察】システム導入後、トップページのアクセスログをもとに主治医から不正閲覧の可能性を指摘する連絡が入るようになり、不正閲覧に対する職員の意識が高まった。VIP患者や氏名変更が必要な著名人等は改修後、使用機会がなく効果の検証はできていない。