[2-C-5-04] グループ病院でのセキュリティ対応とその課題~システム監査を中心に
Cybersecurity, System Audits, Security Guidelines for Medical Information Systems
徳洲会は全国に76病院をはじめ400超の施設を有する医療・介護のグループである。病院だけを見ても、都市部に位置する600床超の超急性期医療を担う病院から、離島の50床程度の療養中心の病院まで多種多様である。
徳洲会グループのサイバーセキュリティに関する取り組みとして、まず厚生労働省の「医療情報システムの安全管理に関するガイドライン」にもとづく共通ルールブックである「徳洲会グループ:情報システム運用管理規程」を策定して全病院に適用している。
2019年からはこの運用管理規程に定められたルールが病院で順守され、適正かつ安全な診療情報の取り扱いとシステム運用が行われているかを文書類や電子カルテの設定情報等の確認、また病院現場での職員インタビュー等によりチェックを行うシステム監査(セキュリティ監査)を順次行い、コロナ禍での中断はあったがこれまで15病院で実施している。監査に用いるチェックシートは事前に病院へ共有しており、病院ではこれにもとづく監査準備のプロセスでセキュリティ関連の整備が行われる。また監査当日の総評と後日病院に提出する監査報告書で問題点を指摘し、病院は3ヵ月をかけてその改善に取り組み結果を報告する。
このようにシステム監査はグループ病院のセキュリティレベル向上に一定程度の寄与をしてきたと考えるが、昨今のサイバーセキュリティリスクにも効果を上げられるような監査項目の見直し、また病院を類型化しそれに合わせた監査項目や方法の策定、さらにはグループ外の医療機関にも適用できる監査についての検討を行っている。これらの取り組みについて報告するとともに、病院ごとの監査結果に大きな差が生じていること、つまり適切な運用が行われている病院がある一方、ルールの理解・周知が不十分でセキュリティリスクの高い病院があり、そこから読み取れる課題、その原因および対策についても考察する。
徳洲会グループのサイバーセキュリティに関する取り組みとして、まず厚生労働省の「医療情報システムの安全管理に関するガイドライン」にもとづく共通ルールブックである「徳洲会グループ:情報システム運用管理規程」を策定して全病院に適用している。
2019年からはこの運用管理規程に定められたルールが病院で順守され、適正かつ安全な診療情報の取り扱いとシステム運用が行われているかを文書類や電子カルテの設定情報等の確認、また病院現場での職員インタビュー等によりチェックを行うシステム監査(セキュリティ監査)を順次行い、コロナ禍での中断はあったがこれまで15病院で実施している。監査に用いるチェックシートは事前に病院へ共有しており、病院ではこれにもとづく監査準備のプロセスでセキュリティ関連の整備が行われる。また監査当日の総評と後日病院に提出する監査報告書で問題点を指摘し、病院は3ヵ月をかけてその改善に取り組み結果を報告する。
このようにシステム監査はグループ病院のセキュリティレベル向上に一定程度の寄与をしてきたと考えるが、昨今のサイバーセキュリティリスクにも効果を上げられるような監査項目の見直し、また病院を類型化しそれに合わせた監査項目や方法の策定、さらにはグループ外の医療機関にも適用できる監査についての検討を行っている。これらの取り組みについて報告するとともに、病院ごとの監査結果に大きな差が生じていること、つまり適切な運用が行われている病院がある一方、ルールの理解・周知が不十分でセキュリティリスクの高い病院があり、そこから読み取れる課題、その原因および対策についても考察する。