Report:クラウド時代の医療情報セキュリティの考え方 ~国内病院の課題解決を志向するリスクコミュニケーションの重要性~

先般、一般社団法人日本病院会に加盟する病院を対象として医療ISACが行ったセキュリティアンケートの調査結果に基づくレポート(https://msjapan.sakura.ne.jp/m-isac.jp/wp-content/uploads/2021/12/Report_20211201.pdf)を公開しており、国内の病院におけるセキュリティ対応上の課題・傾向について考察を行っている。

当該レポートでは様々な課題・傾向について言及しているが、病院が置かれている現状を踏まえたうえで、実際に病院が患者情報を電子的に取り扱う上で最低限遵守しなければならないセキュリティスタンダードとしての厚生労働省「医療情報システムの安全管理に関するガイドライン」が求める要件にどのように対応すべきなのかについての解は提示できていない状況でもある。

経済産業省・総務省「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」の観点からは、医療情報システム・サービスを提供するIT事業者が、レポートで触れた国内病院の実状に照らして、ガイドラインを遵守するために必要となる技術的な対策(自社の製品・機能)の情報を積極的に発信しなければならないと言える。
病院の多くではセキュリティ対応へのリソース(情報収集・分析含む)は限られており、病院からIT事業者へ働きかけ、必要となる情報を収集することすら苦心するケースが多い。
IT事業者は病院に対して、その業務特性や構造的な課題を織り込んだ、能動的な情報発信(リスクコミュニケーション)の取組を心がけなければならない。
しかしながら、経済産業省・総務省安全管理ガイドラインのこうしたリスクコミュニケーションの重要性はあまり正しく理解されておらず、浸透していない状況が見受けられる。

今回、医療ISACは、こうした取組の重要性に共感頂いた日本マイクロソフト株式会社と共同で、医療機関の課題・傾向を踏まえた観点から、アクセス管理・ログモニタリング・非常時対応という三つの基本的な取組を対象に、どのような製品・機能が病院でも利活用できるのかについて、マイクロソフトの製品・機能を元に解説したレポートを公開する。

厚生労働省安全管理ガイドラインでは、技術的対策と運用的対策の組み合わせによりセキュリティリスクへの対応が求められているが、リソース不足に悩む国内病院の多くでは可能なかぎり技術的な対策による対応が望ましいといえる。
相対的に安価であるため財政的リソースへの負荷が低く、技術的な自動対応をサービスが行う範囲が広いため運用リソースへの負荷も低いクラウドサービスは、正しい理解のもとで導入すれば、国内病院のセキュリティ課題を解決するものと言える。

本レポートの公開により、IT事業者による病院目線のリスクコミュニケーションの拡大が推進するとともに、病院にとっても、ガイドラインが求める要件に対してクラウドサービス製品・機能が技術的にいかに適合するかについての理解が深まることを期待する。

なお、最後に本取組の重要性に共感いただき、様々な情報提供等に協力頂いた日本マイクロソフト株式会社に感謝を申し上げる。

レポートはこちらからどうぞ。