Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

クラウド電子カルテ事業者によるリスク・コミュニケーションの実践と課題 / risk-commu...

Henry Inc.
November 29, 2023

クラウド電子カルテ事業者によるリスク・コミュニケーションの実践と課題 / risk-communication

医療ISAC Security Lecture 2023 #008 にて株式会社ヘンリーの戸田が、ガイドラインで求められる事業者と医療機関とのリスクコミュニケーションについて、解説した際の発表資料です。

https://m-isac.jp/2023/11/13/sl202308/

Henry Inc.

November 29, 2023
Tweet

More Decks by Henry Inc.

Other Decks in Business

Transcript

  1. Copyrights(c) Henry, Inc. All rights reserved. 発表者の紹介 Kengo TODA 株式会社ヘンリー所属。医療情報技師。SRE(Site

    Reliability Engineer)としてクラウド型電子カルテ・レセコンシステム 「Henry」の信頼性向上につとめています。 お客様が医療DXを推進するために必要な3省2ガイドラインの 対応や、リスク・コミュニケーションの実践も 推進しています。 2
  2. Copyrights(c) Henry, Inc. All rights reserved. アジェンダ 1. リスク・コミュニケーションとは 2.

    どこからリスク・コミュニケーションを始めるか 3. サービス導入キックオフの時点でリスコミを始めよう 4. 事例の紹介 a. アカウント管理 b. リモート保守 c. 職員教育 d. 外部システム連携 e. 立入検査対応 5. まとめ 5
  3. Copyrights(c) Henry, Inc. All rights reserved. リスク・コミュニケーションとは事業者と医療機関が合意形成をすること “対象事業者は、自らが提供する医療情報システム等の安全管理に 係る説明義務を果たし、医療機関との共通理解を形成するために、医 療機関等に対して第

    4 章で情報提供すべき内容として示した事項を 含む必要な情報を文書化して提供すること。 具体的には、5.1.5 で作成した「リスク対応一覧」や後述の運用管理 規程に定められた事項に係る情報提供を通して、医療機関等との役 割分担、対象事業者として受容したリスクの内容等について、医療機 関等と合意形成すること。” 出典:医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン 第 1.1 版 5.1.6. (1) 医療機関等とのリスクコミュニケーションの実施 (33p) ※強調は引用者による 6
  4. Copyrights(c) Henry, Inc. All rights reserved. リスク・コミュニケーションを行わなかった事例(1) 「医療情報を取り扱う情報システム・サービスの提供事業者における 安全管理ガイドライン 第

    1.1 版」にコラムが掲載されています。 医療機関と事業者の間で互いに「これは相手がやるだろう」と思って いる状態になると、有事の際に迅速な対応が取れず、被害拡大にブ レーキをかけることも、証拠保全も、診療再開のための活動もできな い可能性が残ります。 8
  5. Copyrights(c) Henry, Inc. All rights reserved. リスク・コミュニケーションを行わなかった事例(2) このコラムが触れた事例では、2021年10月31日(日)朝8時にランサ ムウェアの感染確認が取れていたにも関わらず、システム事業者との 協議は11月2日(火)11時以降の開催でした。

    またこの事業者は2021 年 10 月 12 日にサポートが終了していた Silverlightを医療機関に説明せず利用を継続していたことも判明して います。 他にもVPN装置やサポートが終了していたWindows Serverをシステ ム担当部門に説明せずに設置した事例が知られています。 9
  6. Copyrights(c) Henry, Inc. All rights reserved. どこからリスク・コミュニケーションを始めるか 厚生労働省が提示するものを議論の基盤として利用できます。 1. 医療機関におけるサイバーセキュリティ対策チェックリスト

    2. サービス事業者による医療情報セキュリティ開示書(SDS) SDSは医療情報を取り扱う情報システム・サービスの提供事業者に おける安全管理ガイドラインでも「リスク対応一覧」を代えられる書類と して記載されています(32ページ)。 つまり事業者から医療機関に対してあらかじめ提出すべき書類のひと つとして扱われています。 11
  7. Copyrights(c) Henry, Inc. All rights reserved. 早い段階でリスク・コミュニケーションを始めよう 医療情報を取り扱う情報システム・サービスの提供事業者における安 全管理ガイドライン 第1.1版では「医療機関等に対して(中略)必要な

    情報を文書化して提供すること」を求めています。 このため事業者は、契約書、合意書、利用規約などの文書に必要な 情報を記載してご説明にあがる必要があります。 また導入プロジェクトのスコープやコストに影響を及ぼすことも考えら れるため、契約締結時やサービス導入の最初期などにご説明するこ とが望ましいでしょう。 12
  8. Copyrights(c) Henry, Inc. All rights reserved. 想定される医療機関様の状況の例 院内システム担当者が定まっていない 院内システム担当者が定まっている 医療情報システム安全管理責任者などが定まっている

    システム運用管理規程が定まっている 事業継続計画書 (BCP)が定まっている 端末やアカウントが集中管理されている ゼロトラストがシステム運用の前提になっている 14 ※分類はイメージです
  9. Copyrights(c) Henry, Inc. All rights reserved. 状況に応じた事業者から見たリスク 院内システム担当者が定まっていない 院内システム担当者が定まっている 医療情報システム安全管理責任者などが定まっている

    システム運用管理規程が定まっている 事業継続計画書 (BCP)が定まっている 端末やアカウントが集中管理されている ゼロトラストがシステム運用の前提になっている 15 ※分類はイメージです 担当者がいない 言った言ってない問題の可能性 代行入力などの運用規定がない 緊急時の連携が取れない
  10. Copyrights(c) Henry, Inc. All rights reserved. 状況に合わせて必要な対応も変わる 院内システム担当者が定まっていない 院内システム担当者が定まっている 医療情報システム安全管理責任者などが定まっている

    システム運用管理規程が定まっている 事業継続計画書 (BCP)が定まっている 端末やアカウントが集中管理されている ゼロトラストがシステム運用の前提になっている 16 システム運用管理規程の雛形を提供 システム運用のご提案 既存規程等とのすりあわせ 既存規程などの更新 ※分類はイメージです ご提案する 解決を 調整する
  11. Copyrights(c) Henry, Inc. All rights reserved. この観点からも、まずはチェックリストをしっかりやることが肝要です 院内システム担当者が定まっていない 院内システム担当者が定まっている 医療情報システム安全管理責任者などが定まっている

    システム運用管理規程が定まっている 事業継続計画書 (BCP)が定まっている 端末やアカウントが集中管理されている ゼロトラストがシステム運用の前提になっている 17 医療機関におけるサイバー セキュリティ対策チェックリスト 令和5年度分 対応範囲 ※分類はイメージです リスコミを進める前にチェックリストを使ってセル フチェックをしておきましょう
  12. Copyrights(c) Henry, Inc. All rights reserved. 共用アカウントの利用をやめよう 受付用アカウントを受付スタッフで共有したり、代行入力のために医師 のアカウントを医師でないスタッフが使ったりという運用が考えられま す。また退職者のアカウントを新しく配属されたスタッフに割り当てる

    運用も考えられます。 これは医療情報の真正性を保つ観点からも、情報セキュリティの観点 からも、望ましくないため避けるようにします。 もちろんガイドラインにも記載があります(医療情報システムの安全管 理に関するガイドライン 第6.0版 Q&A 企 Q-44)。 20
  13. Copyrights(c) Henry, Inc. All rights reserved. VPN装置メンテナンスは誰がやる? 各種報道を見て、まず注目されるのは「なぜVPN装置の脆弱性が放 置されたのか」です。 -

    電子カルテ事業者が持ち込んだので事業者が保守するべき - 院内ネットワークの一部なのだからNW業者が保守するべき - 医療機関の資産なので医療機関が管理するべき 様々な考え方があると思われます。貴院ではどのようにお考えでしょ うか。そのお考えには各事業者が同意されていますか。 23
  14. Copyrights(c) Henry, Inc. All rights reserved. 責任分界点を明確にしよう 責任分界点とは、どこからどこまでが誰の責任かを切り分ける 境界です。責任分界の詳細は医療情報システムの安全管理に関する ガイドライン

    第6.0版の企画管理編2.に記載があります。 例えばリモート保守の場合、以下について検討が必要です。 - インターネット回線 - 利用するソフトウェアやVPNサーバなど - 利用するソフトウェアのユーザやパスワード - 利用するソフトウェアが稼働するOS - 利用するソフトウェアが稼働するハードウェア 24
  15. Copyrights(c) Henry, Inc. All rights reserved. 弊社における責任分界点の事例 26 対象 責任分担

    利用するクラウドサービスの維持管理 弊社(電子カルテ事業者) インターネット 医療機関様 利用するソフトウェアの維持更新 医療機関様 利用するソフトウェアのワンタイムパスワード 医療機関様 利用するソフトウェアの稼働するOS 医療機関様 利用するソフトウェアの稼働するハードウェア 医療機関様
  16. Copyrights(c) Henry, Inc. All rights reserved. 説明さしあげている内容の例 27 対象 責任分担

    利用するクラウドサービスの維持管理 弊社(電子カルテ事業者) インターネット 医療機関様 利用するソフトウェアの維持更新 医療機関様 利用するソフトウェアのワンタイムパスワード 医療機関様 利用するソフトウェアの稼働するOS 医療機関様 利用するソフトウェアの稼働するハードウェア 医療機関様 ひとつのワンタイムパスワードを 複数の事業者に提供することは 避けてください。 ワンタイムパスワードが悪意ある人に 見られないよう、端末を離れる場合はWindows の画面をロックしましょう。 リモート保守が完了したら リモート保守に必要なソフトウェアを 終了させてください。
  17. Copyrights(c) Henry, Inc. All rights reserved. なぜ職員教育が重要なのか どんなにシステムやネットワークが素晴らしいものでも、職員の「使い 方」に問題があると様々な問題が発生します。 -

    生産性が上がらない - 情報の漏洩が発生する - カルテの真正性など、求められる要件を満たせない ここで「使い方」とは規定で定めた運用だけでなく、職員のリテラシーも 含んでいます。これを底上げするために職員教育が重要です。 29
  18. Copyrights(c) Henry, Inc. All rights reserved. 大学病院の委託先が情報漏えいをした事例も “受付業務の委託先(中略)の社員(当時、以下 元社員A)が、患者様 1名の診療情報を故意に外部に流出させたことが発覚しました。

    元社員Aは、業務中に友人である患者B氏が当院を受診したことを知 り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電 子カルテを表示したパソコン画面を動画で撮影し、共通の友人である C氏にSNSを通じて送信しました。” 近畿大学病院で発生した診療情報の流出事案について ※強調は引用者による 30
  19. Copyrights(c) Henry, Inc. All rights reserved. 教育や訓練によって情報の漏洩リスクを下げられます 医療提供者が起こした個人情報漏え いの事故原因に関する研究(大分県 立看護科学大学)でも”規定の整備な

    どの組織的安全管理対策の見直し、 従業員や委託先に対しての教育・訓練 といった人的安全対策の実施”が有効 なケースがあるとしています。 31
  20. Copyrights(c) Henry, Inc. All rights reserved. 医療機関様の負担を減らすためにできる工夫 幸い厚生労働省が「医療機関向けセキュリティ教育支援ポータルサイ ト」(MIST:Medical Information

    Security Training)を公開しており、 教育コンテンツを流用できます。 また情報処理推進機構(IPA)も教育用コンテンツを多く出しており、IT パスポートのような資格試験も提供しています。医療情報技師育成部 会の「病院情報システムの利用者心得」も職員教育に役立つでしょ う。 まずはこういった既存コンテンツを流用し、職員教育サイクルを回し始 めることから始めてみてはいかがでしょうか。 33
  21. Copyrights(c) Henry, Inc. All rights reserved. 事例 外部システム連携 医療情報システムは必ず連携して動作します。単独で動作するシステムはありま せん。各システムは異なる事業者から提供されるため、システム

    連携には事業者の壁を超えたコミュニケーションが必ず必要です。このため認識 の齟齬による責任分界点のあいまい化に注意を払ってください。 34
  22. Copyrights(c) Henry, Inc. All rights reserved. 事業者と事業者の関係性 「医療情報を取り扱う情報システム・サービスの提供事業者における 安全管理ガイドライン 第1.1版」に医療情報システム等の代表的な提

    供形態についての記載があります。 大きく分けて「1 社で提供するケース」「複数の事業者が提供するケー ス」そして「医療機関等が複数事業者と契約するケース」が説明されて います。 35
  23. Copyrights(c) Henry, Inc. All rights reserved. 事業者と事業者のコミュニケーション 弊社のようなクラウド型電子カルテの場合「医療機関等が複数事業者 と契約するケース」が最も近いものとなります。この場合、事業者間に は相互に選定・管理を行う関係にはありません。

    医療機関にて各事業者が提供する機能や APIを知り、連携方法を検討することが 必要になります。 まず各事業者の責任分界点を明確にする ことが、有事の際に事業者間調整に 工数を取られる事態を予防するためにも 有効です。 36
  24. Copyrights(c) Henry, Inc. All rights reserved. 連携に用いる端末における権限管理 共有ファイルシステムを用いたファイル連携を行う場合、その共有ファ イルシステムには複数の端末(ユーザ)が読み書きを行えることから、 情報漏洩の機会となりやすいはずです。

    共有ファイルシステム周りはファイアウォールの設定も複雑化しやす い傾向です。管理権限やアクセス権限は慎重に設計します。 複数のネットワークをハブのように繋ぐ構成になることもあり、攻撃に さらされやすいことに留意します。 37
  25. Copyrights(c) Henry, Inc. All rights reserved. まとめ • 事業者と医療機関は、ともにリスク・コミュニケーションや責任分界 点の明確化を積極的に進めるべきです。

    • 報告書から失敗事例を学べます • SDSやチェックリストがとても役に立ちます • 職員がどう業務を回しているかを見ることが大切です。 • 規程やマニュアルに定めていることができているか • 「付箋にパスワード」などの兆候がないか • 実情に合う職員教育を実施できているか 42
  26. Copyrights(c) Henry, Inc. All rights reserved. 医療機関の皆さんが明日からできること 事業者とコミュニケーションすべきリスクを知るために、 1. 「医療機関におけるサイバーセキュリティ対策チェックリスト」を2年

    分埋めてみる 2. 事業者に「サービス事業者による医療情報セキュリティ開示書 (SDS)」を提出するように求める 3. 事業者と協議して責任分界点を明確にする 4. 協議結果と「医療情報システムの安全管理に関するガイドライン」 を踏まえてシステム運用管理規程を作成する、または見直す 43
  27. Copyrights(c) Henry, Inc. All rights reserved. 情報システム運用規程が整ったら… 情報システム運用規程の整備が不備なく完了していることを医療 ISAC規定認証や医療ISAC監査認証をもって確認することで、まだコ ミュニケーションしていないリスクを発見する一助になると期待できま

    す。もちろん医療機関として情報システムの安全性を高めるためにも 有効です。 また攻撃を想定したガイダンスも出ていますので、チェックリストだけ では不足する課題を洗い出しに活用できます。 - 医療機関向けランサムウェア対応検討ガイダンス - 医療機関向けサイバー攻撃(情報窃取/ウェブ改ざん攻撃)対応検 討の手引き 44
  28. Copyrights(c) Henry, Inc. All rights reserved. 事業者の皆さんが明日からできること 医療機関とコミュニケーションすべきリスクを知るために、 1. 「医療機関におけるサイバーセキュリティ対策チェックリスト」を2年

    分埋めてみる 2. 「サービス事業者による医療情報セキュリティ開示書(SDS)」を作 成して提出する 3. 医療機関や関係事業者と協議して責任分界点を明確にする 4. TODOが見えてくるので開発計画などを進める 45
  29. Copyrights(c) Henry, Inc. All rights reserved. 弊社が認識している今後の課題 - 職員教育コンテンツの提供(前述) -

    運用パターンご提案の強化 - 事業継続計画書 (BCP)ひな形の提供 - 令和6年度の「医療機関におけるサイバーセキュリティ対策チェックリスト」 で求められているため - 導入済み医療機関様にアップデートされた情報を届けるすべ - 技術や機能のアップデート、弊社の経験蓄積に応じてリスコミの内容は増 えていくはず - 関連機能開発など 46
  30. Copyrights(c) Henry, Inc. All rights reserved. こちらは各所で指摘されている通りだと考えます。 ただリスクは改定や補助金を待ってくれないため、優先度をつけてや れるところから対応を進めるべきです。 今回は中小規模を想定して優先度について話しましたが、もし

    話が壮大にすぎると感じられた場合は医療情報システムの 安全管理に関するガイドライン第6.0版に付属の小規模医療機関等向 けガイダンスも参考にされると良いかもしれません。 人材・資金の面で対応が難しい 48
  31. Copyrights(c) Henry, Inc. All rights reserved. 責任分界点は役割分担のため? 少々異なると考えています。もちろん紛争に備え役割を明確にすると いう性格も無いではないですが、より患者様の情報を守るための連携 を可能にする方が重要です。

    例えば「衛る技術」の価値を最大化することを目指しているハードニン グプロジェクトでは、その「HARDENING宣言」の中で以下を表明して います: 2. それは、強固な計画よりも柔軟な変化を必要とする。 3. それは、役割分担よりも連携と協働を必要とする。 状況に応じた柔軟な連携と協働を実現するため、リスコミをご活用くだ さい。 49