複雑化するネットワーク環境とBCP 情報リテラシーの定期的なアップデート
令和6年6月の診療報酬改定に伴い医療 DX 推進体制整備加算が算定可能となった。医療 DX の推進と共に今後はネットワーク関連のセキュリティ対策がより多くの医療機関等に共通して求められることとなる。
弊社レセプト経営支援室では、オンライン資格確認システムを導入の際に、ネットワーク環境調査に多くの時間を費やした。まず、施設にネットワーク環境が構築できているか。その場合、インターネット環境が診察室のみなのか、院内全体が網羅されているのか。オンライン資格確認システムが導入できるプロトコルが整備されているのか。このような施設の院内のネットワーク環境を正確に把握出来ている職員は規模にもよるが、改めて少ないと感じた。しかし、今後も医療 DX 化の推進と共にネットワーク環境はより複雑化していく。
厚生労働省でも、医療機関への立入検査に利用される「医療機関等におけるサイバーセキュリティ対策チェックリスト」において、「サイバー攻撃を想定した事業継続計画書(BCP)」を令和6年度中に策定することとしており、その中にもネットワーク構成図・システム構成図の整備が組み込まれている。実際、複数の医療施設よりどのように取り組むべきかといったご相談を多く頂いている。そのような背景から今回は、サイバー攻撃を想定したBCPについて深堀りしていく。
近年の事例からサイバー攻撃をひとたび受けると、来院された患者さんのカルテが閲覧不可状態となり、既往歴や服用歴といった診療情報を確認できなくなることは容易に想定できる。そういった場合でも必要最低限の医療を提供するための手順書にあたるのが BCP だ。
サイバー攻撃を想定した BCP は主に平時・検知・初動対応・復旧処理・事後対応の5項目から構成される。大規模災害の様な有事の際には柔軟な対応が求められる一方、サイバー攻撃を受けた場合を想定すると、明確な行動計画を以ていかに迅速かつ的確な対応ができるかが重要となる。そこで推奨したいのが、組織内の必要事項の洗い出しである。
例えば、平時における非常時を見据えたサイバーセキュリティ体制整備を行う際、ハード面(テクニカル)とソフト面(人的要因)の2つに分類される。ハード面の必要事項として、パソコンの OS や IP アドレス等のサーバー端末情報や院内設備の VPN 装置、ルーター等の所在と、使用用途等を明記する。ソフト面では、誰がどの手順でどの情報に触れているのか。また、どの業者が関わっているのか、その連絡先まで書き出していく。これを検知・初動対応・復旧処理と各項目で同様に情報の棚卸しを行っていく。
普段個人情報に触れる機会の多い医療従事者だからこそ、業務に携わるスタッフの情報リテラシーの向上が重要だ。BCP の作成や最新の防御システムを導入しても、人的要因でウィルスの侵入を許してしまうケースは多い。サイバー攻撃を受けない組織づくりこそが最も重要なのである。貴施設では定期的な勉強会を設けているだろうか?メールの誤送信報告や、個人の USB メモリーの差し込み禁止が規則等に明記されているだろうか?軽微な事象の積み重ねが重大な事象を引き起こす。
システムやセキュリティも更新を行っていく様に、医療施設のスタッフも情報リテラシーのアップデートを行い、組織としての「器」をより強固にしていくべきだ。
※この記事に関するお問い合わせは、以下の公式LINEまで
弊社公式ホームページはこちらから