Upgrade to Pro — share decks privately, control downloads, hide ads and more …

医療機関向けシステムの信頼性 / Reliability of systems for medical institutions

Kengo TODA
February 22, 2023

医療機関向けシステムの信頼性 / Reliability of systems for medical institutions

2023年2月22日似開催したSRE Online Meetupで使用したスライドです。
https://henry.connpass.com/event/273871/

Kengo TODA

February 22, 2023
Tweet

More Decks by Kengo TODA

Other Decks in Technology

Transcript

  1. 医療機関向けシステムの信頼性
    2023年2月22日
    株式会社ヘンリー SRE Kengo TODA

    View full-size slide

  2. 医療機関向けシステム
    の信頼性とは
    - 可用性
    - 快適なレスポンス
    - 3省2ガイドライン
    2

    View full-size slide

  3. ヘンリーの可用性 アクセス可能性はほぼ100%を担保できている。これは設
    計はもちろん、Cloud Runによる複数インスタンス同時稼
    働、ないしローリングアップデートの実現に依るところが大
    きい。
    機能の可用性についてはまだ計測方法を検討中だが、お
    おむね97~99%となっている。マスタの変更などによって
    算定のルールが変わった場合、新しい業務をターゲットに
    入れた場合、RDBのスキーママイグレーションを実行した場
    合に不安定になることが多い傾向にある。
    3

    View full-size slide

  4. 可用性 医療機関の営業時間内にはサービスが利用可能な状態が
    継続することが期待される。
    また365日ずっと同じアクセスパターンというわけではなく、
    例えば毎月の1日~10日は診療報酬請求作業のためアク
    セスが増える。計算機資源の伸縮性があるとランニングコ
    ストを最適化する余地が生まれる。
    2年に1度の診療報酬改定に加え、関係省庁などが断続的
    に更新するマスターの即時反映も求められるため、デリバ
    リの速さも重要となる。
    4

    View full-size slide

  5. 快適なレスポンス ユーザ体験の基本となるもの。ユーザを何秒も待たせるこ
    となくサービスを提供する。
    カルテとレセコンを含むシステムのため、診察時のみならず
    会計や処方箋の印刷でも利用される。レスポンスが遅いと
    処方や会計が遅れ、患者様にご迷惑をおかけすることにも
    繋がる。
    インフラストラクチャの設計や監視に加えて、リトライの導
    入、同時編集機能の提供(カルテをロックしない)といった
    実装面でやれることも多い。
    なお電子カルテ・レセコンには診療報酬請求作業のような
    月次処理もある。アプリケーションサーバで同期的に処理
    するか、キューを介して非同期に処理するかなど、実行方
    法にも工夫が必要。
    5

    View full-size slide

  6. 3省2ガイドライン 厚生労働省と経済産業省、総務省が策定した
    2つのガイド
    ラインのこと。
    1. 医療情報システムの安全管理に関するガイドライン
     
    第5.2版(令和4年3月)
    ○ 医療機関向け
    2. 医療情報を取り扱う情報システム・サービスの提供
    事業者における安全管理ガイドライン
    ○ サービス提供事業者向け
    6

    View full-size slide

  7. ガイドラインが求めるも

    - 組織体制の明確化
    - 継続的な従業員教育の実践
    - 端末やネットワークの管理
    - VPNまたはクライアント証明書の利用
    - ログの保全
    - プログラムの変更や脆弱性の管理
    - 認証認可、パスワードポリシー
    - などなど
    7

    View full-size slide

  8. ガイドラインが求めるも

    ~端末やNWの管理~
    - “法令で定められた医療機関等に対する義務や行政
    手続の履行を確保するために、医療情報及び当該
    情報に係る医療情報システム等が国内法の執行の
    及ぶ範囲にあることを確実とする

    - “持ち出した情報を取り扱う情報機器には、必要最小
    限のアプリケーションのみをインストールすること。
    業務に使用しないアプリケーションや機能について
    は削除又は停止するか、業務に対して影響がないこ
    とを確認する”
    - “オープンなネットワークにおいて、
    IPsec による
    VPN 接続等を利用せず HTTPS を利用する場合、
    TLS のプロトコルバージョンを TLS1.3 以上に限定し
    た上で、クライアント証明書を利用した TLS クライア
    ント認証を実施する”
    8

    View full-size slide

  9. ガイドラインが求めるも

    ~ログの保全~
    - “取り扱う医療情報に法定保存年限が設けられてい
    る場合は、当該医療情報に関するアクセスを記録し
    たログについて、法定保存年限以上の保存期間を
    設けること”
    - “対象事業者は、事故発生時の対応方法及び医療
    機関等への報告方法として、情報セキュリティ事故
    が発生した場合の被害拡大防止のための対応方法
    や緊急時の代替手段、原因調査のためのログ等の
    記録の保全及び医療機関等への報告タイミングや
    報告フローを運用管理規程に含めること

    - “アクセスログへのアクセス制限を行い、アクセスロ
    グへの不当な削除/改ざん/追加等を防止する対
    策を講じなければならない

    9

    View full-size slide