<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

医療現場の情報セキュリティ。電子カルテなどの個人情報漏洩対策は?

bvm_tb.jpg

看護士の仕事と情報管理

病棟内に鳴り響くナースコール、コードブルーや急患対応する医師のサポートなど、患者さんの命を預かる看護師の仕事は、責任が重い職業のひとつです。中でも、重要となるもののひとつが、患者さんの情報管理です。看護師は立場上、患者さんの住所、電話番号、家族構成など、個人情報を直接聞く立場でもあります。病棟に勤務する看護師であれば、患者さんやその家族とかかわる機会も増えるので、さらにプライベートな情報を得ることもできるでしょう。

看護師など医療従事者が勤務中に得る、患者さんの個人情報を管理するのがカルテです。患者さんの情報が紙のカルテに手書きで記録されていたのは、ほんのひと昔前です。しかし、近年のインターネット技術の急速な発展にともない、多くの医療機関で電子カルテやタブレット端末などITシステムが導入されるようになりました。電子カルテが登場したことで、患者さんの病態や検査結果、日々の記録などありとあらゆる個人情報が、パソコンがあれば確認できるようになったのです。

ITシステム導入よる弊害

一般に、患者さん1人につき、医師や看護師、薬剤師、そのほかの医療職など、さまざまな職種がかかわりを持つものです。そのため、IT機器による患者さんの情報管理は、不特定多数の医療職が患者さんの情報を共有できるので、大変な便利なツールといえます。一方で、IT機器を導入したことによる弊害も少なからずみられています。

meduseful01.jpg

たとえば、看護師の場合、患者さんの症状の記録や看護記録はもちろんですが、医師の指示受けから患者さんに行ったケアを、毎日ひとつひとつクリックをしながらチェックしなければなりません。これは、紙のカルテ時代にはなかった業務であり、勤務中に多くの時間を、患者さんとの会話ではなく、パソコン入力に費やしていることになります。また、中高年の看護師では、パソコン機器の扱いに慣れていないこともあるため、なかなか電子カルテが使いこなせないというケースもあるでしょう。

さらに、膨大な情報を多数の医療職が扱う電子カルテシステムは、日常的にフリーズを起こしてしまうこともあり、院内の専任IT管理者の介入が必要になることはめずらしいことではありません。その一方で、医療機関内に専任IT管理者が常駐していないところもあるため、電子カルテシステムに問題が起きた場合、解決するまで時間を要するケースもあるのです。

ITによる患者情報の管理

近年、個人情報保護法が制定されたことにより、患者さんの情報管理についてはより厳しさが増したといえるでしょう。たとえば、患者さんの家族が病院へ電話して病状を聞くのは難しくなり(本人の特定ができないため)、医療機関によっては、入院患者さんの名札をあえてつけない場合もあります。

以前までは情報管理というと、芸能人の極秘入院などを週刊誌へもらさないなど、患者さんの情報を院外の他者へ口外しないことが主流でした。しかし、最近になってSNSや個人ブログを利用して自ら情報発信する機会も増えているため、気づかないうちに、患者さん個人が特定されるような情報をネット上に公開してしまうということも少なくありません。

また、看護師や医師などの医療職者が集まると、患者さんの病状などが自然に話題になることがあるため、ほかの患者さんに聞かれないようにするなどの配慮も必要です。患者さんの情報管理に誤るとクレームの対象となることもあるので、医療機関ごとのマニュアルや対策などに従うようにしたいものです。

<参考>2017年に発生した日本の医療機関における情報漏洩事件・事故 (出典:当社Web調査及びSecuruty Next)

  • 2017年3月
O大学病院の患者の個人情報を含む医療用端末2台がマルウェアに感染
  • 2017年6月
I県立中央病院の医師が、患者の個人情報を保存したUSBメモリを紛失
  • 2017年6月
K県立保健医療大学のウェブサイトが、不正アクセスにより改ざん
  • 2017年7月
B薬品会社の従業員が、服薬に関するアンケート調査に協力した患者のカルテを無断 で取得し、論文などへ利用
  • 2017年9月
H市民病院において、業務で利用している患者の個人情報を含むUSBメモリを紛失
  • 2017年9月
H県立総合医療センターにおいて、患者を撮影した画像が含まれるデジタル カメラを紛失
  • 2017年10月
Sクリニックで、患者の個人情報が保存された外付けハードディスクを紛失
  • 2017年11月
Y大学付属市民総合医療センターで、医師が誤って持ち帰った病理報告書を紛失

電子カルテが不正に使用されることも

日常の業務の中でも、取扱いに注意が必要な患者さんの個人情報ですが、なかでも重要となるのが電子カルテの管理です。通常、電子カルテは院内の制限されたネットワーク上で利用されていますが、ウイルスなどサイバー攻撃を受けると、電子カルテのシステムそのものがダウンしてしまったり、パソコンのネット回線を経て、個人情報が拡散してしまう危険性もあるのです。

実際に2017年5月には、イギリス政府が運営する47の医療機関でウイルス感染により電子カルテシステムがダウンし、診療や手術の中止で20万人の患者に影響が及び、半年を経ても復旧していない事例があります。また、ITシステムによる事例でなくても、医療従事者が患者情報を入れたUSBや書類を紛失した事例は多くあります。個人情報の漏洩の事例によっては、裁判による賠償につながるだけでなく、病院の信用が失われ、存続が危うくなることも考えられるでしょう。

医療機関に勤める多くの職員は、なんらかの医療従事者であるため、IT技術については詳しく知っているという人は少ないかもしれませんが、医療従事者の1人ひとりが、電子カルテなどのITシステムやそれ以外のものから得る個人情報について、いかに慎重に取り扱うかを考えることが重要です。

医療機関が個人情報保護のために行うべきこと

しかしサイバー犯罪の手口はますます巧妙化していきます。日常で治療や看護の業務に専念しなければならない医療従事者が、個々の意識や努力だけでこれらに対抗するには限界があります。経営者のリーダーシップのもと、適切な投資を行い、医療機関全体の基本方針の策定やツールの導入、定期的、継続的にPDCAサイクルを回せる体制づくりが必要であり、それには情報セキュリティ専門家の参画が不可欠です。

JBサービスの総合セキュリティ運用サービス「OPTi Secure」では、長年にわたって培ってきた情報セキュリティに関する高度な技術・経験ノウハウを活かし、医療機関さまの情報セキュリティ対策をトータルにご支援します。ぜひお気軽にご相談ください。

contact1.png

関連サービス
OPTi Secure(統合セキュリティ運用サービス )について

OPTi Secure(統合セキュリティ運用サービス )について

OPTi Secureは、Web、ネットワーク、エンドポイント、監査というセキュリティの4領域に対し、米NIST(国立標準技術研究所)のセキュリティ標準に準拠した5ステップ(特定・防御・検知・対応・復旧)に基づき、クラウドおよびオンプレミスの双方で各種サービスをご提供しています。

詳しく »