医療情報システムは、高度な機密性を持つ患者の個人情報や診療記録などを扱うため、そのセキュリティ対策は、患者のプライバシー保護と医療機関の信頼維持に不可欠である。そのため、ランサムウェアなどの被害を未然に防ぐために、セキュリティ対策の早急な推進が求められている。セキュリティ対策の基本は、サーバ機器、ネットワーク機器、ソフトウェアのバージョンアップであるが、ベンダーからは対応が先延ばしされたり、高額な作業費が要求されたりするなど、多くの医療機関はコストや人材不足などの問題を抱え、対応に苦慮している。
東北大学病院では、電子カルテ端末のパッチ適用に関して、特定の検証端末にパッチを試験的に適用し、数日間の動作検証を経てから、全端末にパッチを展開する運用を2012年から実施している。この方法により、パッチ適用によるシステム障害のリスクを最小限に抑えながら、安定的な運用を実現している。また、宮城県の地域医療連携システムでは、サーバのパッチ適用を内製化することで、コスト削減と柔軟な対応を実現してきた。サーバOSのサポート期限終了を機に、インプレースアップグレードと呼ばれる方法で、既存のアプリケーションをそのまま利用しながらOSのバージョンアップすることに成功した。この方法では、再インストールに伴うデータ移行作業や設定変更の手間を大幅に削減できる。
しかし、多くのベンダーはパッチ適用後の動作保証を担保できないことを理由に、医療機関からのパッチ適用要求に応えようとしないケースが多い。そこで、医療機関は検証環境を整備し、ベンダーの双方が協力しながら段階的にパッチ適用を進める必要がある。医療機関とベンダーが協力し、ノウハウを共有しながら、安心してセキュリティ対策に取り組める環境を整い、セキュリティ対策が円滑に実施できるようになることを期待したい。