セキュリティー確保策「まずは自院の状況把握を」
京大・黒田教授

　ネットワークに侵入してデータを暗号化し、復元のための身代金を要求する「ランサムウェア」の被害が病院でも相次いでいる中、暗号化することなくデータを盗み取って対価を要求する新たな手口による被害も国内で複数確認されている。こうしたサイバー攻撃に、医療機関はどう備えるべきか－。京大医学部附属病院の黒田知宏教授（医療情報企画部）は、「まずは自院の情報システムの状況を知ることが重要だ」と指摘する。また、医療分野の情報セキュリティーレベルの底上げを図るため、地域の他の病院や診療所と連携して専門知識のある人員を派遣する体制をつくる医療機関について診療報酬で評価することを提言している。【松村秀士】

「敵を知り、己を知れば百戦危うからず」。中国春秋時代の兵法書『孫子』に出てくるこの一文を黒田氏は引用し、情報セキュリティー確保策でまずは自院のことを知るべきだと強調する。具体的には、自院の情報セキュリティー部門の構成メンバーや、どのような情報システムが構築されていてそれがどことつながっているかを把握することだ。

　これらは情報セキュリティー確保策の基本的な取り組みだが、2022年10月にランサムウェアの攻撃を受けて大規模なシステム障害に追い込まれた大阪急性期・総合医療センターは充分できていなかったという。

　「サイバー攻撃をする敵を知るのは専門家でないと難しい場合もあるが、己を知るのは可能だ。まずは己を知ることを徹底的にやってほしい」と黒田氏は話す。

　組織が情報セキュリティー確保策を講じる際には、責任者や専門知識のある人など人員体制の整備が重要になる。厚生労働省が5月に改定した「医療情報システムの安全管理に関するガイドライン第6.0版」（経営管理編）では、医療情報システムでの統制上の留意点として安全管理を直接実行する医療情報システム安全管理責任者（以下、管理責任者）らを設置するよう医療機関などに求めている。診療報酬上でも、「診療録管理体制加算」の施設基準で許可病床数が400床以上ある医療機関に専任の管理責任者の配置などを求めている。

　1日に開かれた中央社会保険医療協議会の総会では、管理責任者の配置要件について議論され、支払側が算定要件の対象範囲を400床未満の医療機関にも広げるべきだと主張。これに対して診療側は、「現実離れしている」などと反対した。

　医療情報の専門家である黒田氏は、同加算の要件の対象範囲を400床未満の医療機関にも広げるべきだという立場だが、管理責任者の配置には相応の人件費が掛かるため何らかの財政支援がなければ現実的には無理だと考える。

　また、情報技術に関する最低限の知識を持ち、さらに医療の知識もある人を院内に配置することは重要だが、そのような人を全ての医療機関に配置できるわけではないと指摘。そのため、「専門知識のある人の配置を診療報酬の評価で後押しするのが現実的だ」という。では、診療報酬でどのような対応が考えられるのか－。

　黒田氏は、「情報セキュリティーに関する人員派遣のネットワークを構築している医療機関を評価してはどうか」と提言する。イメージしているのは、現行の感染対策向上加算を応用した新たな評価だ。

　この加算は、新興感染症の発生を想定して地域ぐるみでの感染対策を促すため、22年度の診療報酬改定で新設された。他院の支援を行う基幹病院向けの加算1（入院初日に710点）、支援を受ける連携先の加算2（同175点）と加算3（入院初日と90日ごとに75点）（感染制御チームの体制によって適用が変化）がある。加えて、支援を受ける診療所向けには外来感染対策向上加算（月1回6点）等も設定されている。

　この加算の仕組みを情報セキュリティー確保策に応用し、例えば専門知識のある人を有する病院が地域の中小の病院や診療所に対して人員派遣や業務支援をする体制を整備したことへの評価を作るのが最適だと黒田氏は主張する。

　医療分野における情報セキュリティーの確保を巡っては、「一般社団法人医療サイバーセキュリティ協議会」が22日に会合を開催する。そこで黒田氏が登壇し、医療分野でのサイバーセキュリティーの底上げをテーマに講演。また、医療機関でのサイバーリスク・コントロールやリスク対応などについて有識者による講演やパネルディスカッションも行う予定だ。

▽第14回医療サイバーセキュリティ協議会

https://medcsc.org/archives/1533

　　出典：医療介護CBニュース

採用のご相談や各種お問合せ・資料請求はこちら【無料】