クラウド電子カルテ事業者によるリスク・コミュニケーションの実践と課題 / risk-communication

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Copyrights(c) Henry, Inc. All rights reserved. 発表者の紹介 Kengo TODA 株式会社ヘンリー所属。医療情報技師。SRE（Site Reliability Engineer）としてクラウド型電子カルテ・レセコンシステム「Henry」の信頼性向上につとめています。お客様が医療DXを推進するために必要な3省2ガイドラインの対応や、リスク・コミュニケーションの実践も推進しています。 2

Slide 3

Slide 3 text

Copyrights(c) Henry, Inc. All rights reserved. 本日のねらい各種ガイドラインが求める事業者と医療機関におけるリスク・コミュニケーション（リスコミ）について、なぜ必要なのかを確認します。また実践を通じてどのような課題が生まれ、どのように解決したかをご紹介します。医療機関と事業者のどちらに所属する方にとっても、リスコミの優先度決定や対応プロセスの参考にしていただけます。 3

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

Copyrights(c) Henry, Inc. All rights reserved. リスク・コミュニケーションとは事業者と医療機関が合意形成をすること “対象事業者は、自らが提供する医療情報システム等の安全管理に係る説明義務を果たし、医療機関との共通理解を形成するために、医療機関等に対して第 4 章で情報提供すべき内容として示した事項を含む必要な情報を文書化して提供すること。具体的には、5.1.5 で作成した「リスク対応一覧」や後述の運用管理規程に定められた事項に係る情報提供を通して、医療機関等との役割分担、対象事業者として受容したリスクの内容等について、医療機関等と合意形成すること。” 出典：医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第 1.1 版 5.1.6. (1) 医療機関等とのリスクコミュニケーションの実施 (33p) ※強調は引用者による 6

Slide 7

Slide 7 text

Slide 8

Slide 8 text

Copyrights(c) Henry, Inc. All rights reserved. リスク・コミュニケーションを行わなかった事例（１）「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第 1.1 版」にコラムが掲載されています。医療機関と事業者の間で互いに「これは相手がやるだろう」と思っている状態になると、有事の際に迅速な対応が取れず、被害拡大にブレーキをかけることも、証拠保全も、診療再開のための活動もできない可能性が残ります。 8

Slide 9

Slide 9 text

Copyrights(c) Henry, Inc. All rights reserved. リスク・コミュニケーションを行わなかった事例（２）このコラムが触れた事例では、2021年10月31日（日）朝８時にランサムウェアの感染確認が取れていたにも関わらず、システム事業者との協議は11月2日（火）11時以降の開催でした。またこの事業者は2021 年 10 月 12 日にサポートが終了していた Silverlightを医療機関に説明せず利用を継続していたことも判明しています。他にもVPN装置やサポートが終了していたWindows Serverをシステム担当部門に説明せずに設置した事例が知られています。 9

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Copyrights(c) Henry, Inc. All rights reserved. どこからリスク・コミュニケーションを始めるか厚生労働省が提示するものを議論の基盤として利用できます。 1. 医療機関におけるサイバーセキュリティ対策チェックリスト 2. サービス事業者による医療情報セキュリティ開示書（SDS） SDSは医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドラインでも「リスク対応一覧」を代えられる書類として記載されています（32ページ）。つまり事業者から医療機関に対してあらかじめ提出すべき書類のひとつとして扱われています。 11

Slide 12

Slide 12 text

Copyrights(c) Henry, Inc. All rights reserved. 早い段階でリスク・コミュニケーションを始めよう医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版では「医療機関等に対して（中略）必要な情報を文書化して提供すること」を求めています。このため事業者は、契約書、合意書、利用規約などの文書に必要な情報を記載してご説明にあがる必要があります。また導入プロジェクトのスコープやコストに影響を及ぼすことも考えられるため、契約締結時やサービス導入の最初期などにご説明することが望ましいでしょう。 12

Slide 13

Slide 13 text

Slide 14

Slide 14 text

Copyrights(c) Henry, Inc. All rights reserved. 想定される医療機関様の状況の例院内システム担当者が定まっていない院内システム担当者が定まっている医療情報システム安全管理責任者などが定まっているシステム運用管理規程が定まっている事業継続計画書（BCP）が定まっている端末やアカウントが集中管理されているゼロトラストがシステム運用の前提になっている 14 ※分類はイメージです

Slide 15

Slide 15 text

Copyrights(c) Henry, Inc. All rights reserved. 状況に応じた事業者から見たリスク院内システム担当者が定まっていない院内システム担当者が定まっている医療情報システム安全管理責任者などが定まっているシステム運用管理規程が定まっている事業継続計画書（BCP）が定まっている端末やアカウントが集中管理されているゼロトラストがシステム運用の前提になっている 15 ※分類はイメージです担当者がいない言った言ってない問題の可能性代行入力などの運用規定がない緊急時の連携が取れない

Slide 16

Slide 16 text

Copyrights(c) Henry, Inc. All rights reserved. 状況に合わせて必要な対応も変わる院内システム担当者が定まっていない院内システム担当者が定まっている医療情報システム安全管理責任者などが定まっているシステム運用管理規程が定まっている事業継続計画書（BCP）が定まっている端末やアカウントが集中管理されているゼロトラストがシステム運用の前提になっている 16 システム運用管理規程の雛形を提供システム運用のご提案既存規程等とのすりあわせ既存規程などの更新 ※分類はイメージですご提案する解決を調整する

Slide 17

Slide 17 text

Copyrights(c) Henry, Inc. All rights reserved. この観点からも、まずはチェックリストをしっかりやることが肝要です院内システム担当者が定まっていない院内システム担当者が定まっている医療情報システム安全管理責任者などが定まっているシステム運用管理規程が定まっている事業継続計画書（BCP）が定まっている端末やアカウントが集中管理されているゼロトラストがシステム運用の前提になっている 17 医療機関におけるサイバーセキュリティ対策チェックリスト令和5年度分対応範囲 ※分類はイメージですリスコミを進める前にチェックリストを使ってセルフチェックをしておきましょう

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Copyrights(c) Henry, Inc. All rights reserved. 共用アカウントの利用をやめよう受付用アカウントを受付スタッフで共有したり、代行入力のために医師のアカウントを医師でないスタッフが使ったりという運用が考えられます。また退職者のアカウントを新しく配属されたスタッフに割り当てる運用も考えられます。これは医療情報の真正性を保つ観点からも、情報セキュリティの観点からも、望ましくないため避けるようにします。もちろんガイドラインにも記載があります（医療情報システムの安全管理に関するガイドライン第6.0版 Q&A 企 Q－44）。 20

Slide 21

Slide 21 text

Copyrights(c) Henry, Inc. All rights reserved. 付箋でパスワード管理する危険性個別にアカウントを管理すると、各職員にパスワードを管理する責務が生じます。またガイドラインではパスワードに十分な強度を求めているため、他のサービスで利用していない充分に長いパスワードを使う必要もあります。こうしてパスワードを付箋で利用端末に貼る、という動機が生まれます。職員教育や就労環境観察を通じてこれをなくしていく必要があるでしょう。 21

Slide 22

Slide 22 text

Slide 23

Slide 23 text

Copyrights(c) Henry, Inc. All rights reserved. VPN装置メンテナンスは誰がやる？各種報道を見て、まず注目されるのは「なぜVPN装置の脆弱性が放置されたのか」です。 - 電子カルテ事業者が持ち込んだので事業者が保守するべき - 院内ネットワークの一部なのだからNW業者が保守するべき - 医療機関の資産なので医療機関が管理するべき様々な考え方があると思われます。貴院ではどのようにお考えでしょうか。そのお考えには各事業者が同意されていますか。 23

Slide 24

Slide 24 text

Copyrights(c) Henry, Inc. All rights reserved. 責任分界点を明確にしよう責任分界点とは、どこからどこまでが誰の責任かを切り分ける境界です。責任分界の詳細は医療情報システムの安全管理に関するガイドライン第6.0版の企画管理編２．に記載があります。例えばリモート保守の場合、以下について検討が必要です。 - インターネット回線 - 利用するソフトウェアやVPNサーバなど - 利用するソフトウェアのユーザやパスワード - 利用するソフトウェアが稼働するOS - 利用するソフトウェアが稼働するハードウェア 24

Slide 25

Slide 25 text

Copyrights(c) Henry, Inc. All rights reserved. リモート保守は攻撃の経路になりますリモート保守は問題を迅速に解決するとともに、保守にかかる金額を抑えひいては医療費を抑えるために重要です。しかし過去の事例からも明らかなように、攻撃の糸口として使われることも多々あります。リモート保守を安全なものとするためには、事業者と医療機関双方の運用が重要です。リスクを認識いただき、何が必要かを事業者と協議ください。 25

Slide 26

Slide 26 text

Copyrights(c) Henry, Inc. All rights reserved. 弊社における責任分界点の事例 26 対象責任分担利用するクラウドサービスの維持管理弊社（電子カルテ事業者）インターネット医療機関様利用するソフトウェアの維持更新医療機関様利用するソフトウェアのワンタイムパスワード医療機関様利用するソフトウェアの稼働するOS 医療機関様利用するソフトウェアの稼働するハードウェア医療機関様

Slide 27

Slide 27 text

Copyrights(c) Henry, Inc. All rights reserved. 説明さしあげている内容の例 27 対象責任分担利用するクラウドサービスの維持管理弊社（電子カルテ事業者）インターネット医療機関様利用するソフトウェアの維持更新医療機関様利用するソフトウェアのワンタイムパスワード医療機関様利用するソフトウェアの稼働するOS 医療機関様利用するソフトウェアの稼働するハードウェア医療機関様ひとつのワンタイムパスワードを複数の事業者に提供することは避けてください。ワンタイムパスワードが悪意ある人に見られないよう、端末を離れる場合はWindows の画面をロックしましょう。リモート保守が完了したらリモート保守に必要なソフトウェアを終了させてください。

Slide 28

Slide 28 text

Slide 29

Slide 29 text

Copyrights(c) Henry, Inc. All rights reserved. なぜ職員教育が重要なのかどんなにシステムやネットワークが素晴らしいものでも、職員の「使い方」に問題があると様々な問題が発生します。 - 生産性が上がらない - 情報の漏洩が発生する - カルテの真正性など、求められる要件を満たせないここで「使い方」とは規定で定めた運用だけでなく、職員のリテラシーも含んでいます。これを底上げするために職員教育が重要です。 29

Slide 30

Slide 30 text

Copyrights(c) Henry, Inc. All rights reserved. 大学病院の委託先が情報漏えいをした事例も “受付業務の委託先（中略）の社員（当時、以下元社員Ａ）が、患者様 1名の診療情報を故意に外部に流出させたことが発覚しました。元社員Ａは、業務中に友人である患者Ｂ氏が当院を受診したことを知り、スマートフォンを用いて氏名、生年月日、診察記録が記載された電子カルテを表示したパソコン画面を動画で撮影し、共通の友人である C氏にSNSを通じて送信しました。” 近畿大学病院で発生した診療情報の流出事案について ※強調は引用者による 30

Slide 31

Slide 31 text

Slide 32

Slide 32 text

Copyrights(c) Henry, Inc. All rights reserved. 職員教育は手間がかかるが、事業者での完結は現実的ではない事業者側で職員教育の一部を引き受けることや、コンテンツを提供することは可能だと考えます。特にサービス固有のリスクについては実装や制約にもっとも詳しい事業者がコンテンツを作成することが適当でしょう。一方で職員教育は実施だけでは終わらず、その後の経過観察も重要です。職員の行動を変えられたか、変わらないならどう働きかけるかは、事業者による実行・決断が難しい領域です。 32

Slide 33

Slide 33 text

Copyrights(c) Henry, Inc. All rights reserved. 医療機関様の負担を減らすためにできる工夫幸い厚生労働省が「医療機関向けセキュリティ教育支援ポータルサイト」（MIST：Medical Information Security Training）を公開しており、教育コンテンツを流用できます。また情報処理推進機構（IPA）も教育用コンテンツを多く出しており、IT パスポートのような資格試験も提供しています。医療情報技師育成部会の「病院情報システムの利用者心得」も職員教育に役立つでしょう。まずはこういった既存コンテンツを流用し、職員教育サイクルを回し始めることから始めてみてはいかがでしょうか。 33

Slide 34

Slide 34 text

Slide 35

Slide 35 text

Copyrights(c) Henry, Inc. All rights reserved. 事業者と事業者の関係性「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン第1.1版」に医療情報システム等の代表的な提供形態についての記載があります。大きく分けて「1 社で提供するケース」「複数の事業者が提供するケース」そして「医療機関等が複数事業者と契約するケース」が説明されています。 35

Slide 36

Slide 36 text

Copyrights(c) Henry, Inc. All rights reserved. 事業者と事業者のコミュニケーション弊社のようなクラウド型電子カルテの場合「医療機関等が複数事業者と契約するケース」が最も近いものとなります。この場合、事業者間には相互に選定・管理を行う関係にはありません。医療機関にて各事業者が提供する機能や APIを知り、連携方法を検討することが必要になります。まず各事業者の責任分界点を明確にすることが、有事の際に事業者間調整に工数を取られる事態を予防するためにも有効です。 36

Slide 37

Slide 37 text

Copyrights(c) Henry, Inc. All rights reserved. 連携に用いる端末における権限管理共有ファイルシステムを用いたファイル連携を行う場合、その共有ファイルシステムには複数の端末（ユーザ）が読み書きを行えることから、情報漏洩の機会となりやすいはずです。共有ファイルシステム周りはファイアウォールの設定も複雑化しやすい傾向です。管理権限やアクセス権限は慎重に設計します。複数のネットワークをハブのように繋ぐ構成になることもあり、攻撃にさらされやすいことに留意します。 37

Slide 38

Slide 38 text

Slide 39

Slide 39 text

Copyrights(c) Henry, Inc. All rights reserved. 保健所による立入検査でチェックリストが使われます医療機関におけるサイバーセキュリティ対策チェックリストは実際に立入検査で利用されています。チェックが入らない項目をどう改善していくかを考え説明する必要が生じるため、まだ立入検査が来ていない医療機関様におかれましても、先手を打ってチェックリストを使い自発的に確認を進めることをおすすめします。 39

Slide 40

Slide 40 text

Copyrights(c) Henry, Inc. All rights reserved. 事業者は医療機関にSDSを提出して内容を説明しよう先述の通り、事業者は医療機関に対してサービス事業者による医療情報セキュリティ開示書（SDS）あるいはこれに準ずる資料を提出する必要があります。事業者は予めチェックリストに記入しておき、医療機関の求めに応じて提出できるようにします。 SDSの記入と参照にはJAHISから公開されているユーザーズガイドを参考にしてください。 40

Slide 41

Slide 41 text

Slide 42

Slide 42 text

Copyrights(c) Henry, Inc. All rights reserved. まとめ • 事業者と医療機関は、ともにリスク・コミュニケーションや責任分界点の明確化を積極的に進めるべきです。 • 報告書から失敗事例を学べます • SDSやチェックリストがとても役に立ちます • 職員がどう業務を回しているかを見ることが大切です。 • 規程やマニュアルに定めていることができているか • 「付箋にパスワード」などの兆候がないか • 実情に合う職員教育を実施できているか 42

Slide 43

Slide 43 text

Copyrights(c) Henry, Inc. All rights reserved. 医療機関の皆さんが明日からできること事業者とコミュニケーションすべきリスクを知るために、 1. 「医療機関におけるサイバーセキュリティ対策チェックリスト」を2年分埋めてみる 2. 事業者に「サービス事業者による医療情報セキュリティ開示書（SDS）」を提出するように求める 3. 事業者と協議して責任分界点を明確にする 4. 協議結果と「医療情報システムの安全管理に関するガイドライン」を踏まえてシステム運用管理規程を作成する、または見直す 43

Slide 44

Slide 44 text

Copyrights(c) Henry, Inc. All rights reserved. 情報システム運用規程が整ったら… 情報システム運用規程の整備が不備なく完了していることを医療 ISAC規定認証や医療ISAC監査認証をもって確認することで、まだコミュニケーションしていないリスクを発見する一助になると期待できます。もちろん医療機関として情報システムの安全性を高めるためにも有効です。また攻撃を想定したガイダンスも出ていますので、チェックリストだけでは不足する課題を洗い出しに活用できます。 - 医療機関向けランサムウェア対応検討ガイダンス - 医療機関向けサイバー攻撃（情報窃取/ウェブ改ざん攻撃）対応検討の手引き 44

Slide 45

Slide 45 text

Copyrights(c) Henry, Inc. All rights reserved. 事業者の皆さんが明日からできること医療機関とコミュニケーションすべきリスクを知るために、 1. 「医療機関におけるサイバーセキュリティ対策チェックリスト」を2年分埋めてみる 2. 「サービス事業者による医療情報セキュリティ開示書（SDS）」を作成して提出する 3. 医療機関や関係事業者と協議して責任分界点を明確にする 4. TODOが見えてくるので開発計画などを進める 45

Slide 46

Slide 46 text

Copyrights(c) Henry, Inc. All rights reserved. 弊社が認識している今後の課題 - 職員教育コンテンツの提供（前述） - 運用パターンご提案の強化 - 事業継続計画書（BCP）ひな形の提供 - 令和6年度の「医療機関におけるサイバーセキュリティ対策チェックリスト」で求められているため - 導入済み医療機関様にアップデートされた情報を届けるすべ - 技術や機能のアップデート、弊社の経験蓄積に応じてリスコミの内容は増えていくはず - 関連機能開発など 46

Slide 47

Slide 47 text

Slide 48

Slide 48 text

Copyrights(c) Henry, Inc. All rights reserved. こちらは各所で指摘されている通りだと考えます。ただリスクは改定や補助金を待ってくれないため、優先度をつけてやれるところから対応を進めるべきです。今回は中小規模を想定して優先度について話しましたが、もし話が壮大にすぎると感じられた場合は医療情報システムの安全管理に関するガイドライン第6.0版に付属の小規模医療機関等向けガイダンスも参考にされると良いかもしれません。人材・資金の面で対応が難しい 48

Slide 49

Slide 49 text

Copyrights(c) Henry, Inc. All rights reserved. 責任分界点は役割分担のため？少々異なると考えています。もちろん紛争に備え役割を明確にするという性格も無いではないですが、より患者様の情報を守るための連携を可能にする方が重要です。例えば「衛る技術」の価値を最大化することを目指しているハードニングプロジェクトでは、その「HARDENING宣言」の中で以下を表明しています： 2. それは、強固な計画よりも柔軟な変化を必要とする。 3. それは、役割分担よりも連携と協働を必要とする。状況に応じた柔軟な連携と協働を実現するため、リスコミをご活用ください。 49