ICT中級講座 F/U NO.14

メディカルICTリーダー養成講座【中級】フォローアップ
≪サーバー保守学≫
医療現場のサーバーやシステム保守運用業務に役立つ情報を定期的に配信しています。

サーバ保守学(13)

(執筆者)亀田医療情報株式会社 塚田智 


みなさん、こんにちは、サーバー保守学第13回です。新型コロナウイルスの感染拡大は、少し落ち着いた時期になったようです。緊急事態宣言が解除され、自粛要請もほとんど無くなるまでになりました。これからは、新しい生活様式で社会生活や経済活動を回復させる段階になります。みなんさんの勤務する医療機関でも、手術を再開したり、外来患者さんが増えたりと目に見える変化があることでしょう。診療を再開するにあたり感染予防対策を新しくしたり、医療機関の経営上の問題を解決したりと、やることはたくさんあります。いままでのやりたくてもできなかった状態よりは前進したと考えて、積極的に取り組みましょう。

さて、今回のコラムでは、コロナに関連した、電子カルテの情報流出と不正アクセスの事案から、医療機関のセキュリティ確保の取り組みを考えていきましょう。

  

不正アクセスを防止する組織的な取り組み


1.電子カルテの画像がSNSで流出した

青森の公立病院で、新型コロナウイルス感染症の患者さんの電子カルテを印刷したものを撮影した画像が流出した事案です。病棟勤務の看護師が、自分の携帯で撮影し、SNSで同僚と親族に漏洩させ、そこからさらに別の同僚と親族に漏洩され、計6名が参照したとのことです。

電子カルテのデータが直接でなく、印刷したものを撮影した画像が流出したとのことで、システムでの対策は難しそうです。電子カルテのどの部分を印刷したか不明ですが、通常はカルテ(医師の診療録)を印刷することは無く、ワークシートなどの一時的なメモのようなものしか印刷しないと思います。電子カルテから印刷することを日常的な運用にしないことが一番の対策でしょう。もし印刷するのであれば、印刷は最低限に留め、重要な個人情報は印刷せず、利用後すぐに廃棄または保管する運用にしましょう。

携帯電話で撮影したとのことですが、病棟に勤務中の看護師が私用の携帯電話を所持していたのでしょうか。少し前まではBYOD(Bring Your Own Device)が流行していて、私用携帯を業務で使うこともありましたが、最近は携帯(スマホ)の価格が安定してきたことと、セキュリティの観点からBYODには否定的な意見が多くなっています。勤務開始時に私用携帯はロッカーに保管するなどして、勤務中は私用携帯を所持しない、という対策は無理のないことだと思います。

SNSで情報が流出したというのは、現代の情報リテラシーとして特徴的なことです。SNSを介して、特定の人達とだけ親密なコミュニケーションを取ることが日常化しているために、どこで何を誰と共有してよいか、共有してはいけないかという判断をしなくなっているのだと思います。患者さんの情報は医療機関のシステム内のみで医療機関内の人としか共有してはいけない、という基本的な認識が、日常的で私的な出来事をSNSで共有することと混同されているのだと思います。


2.院内から電子カルテに不正アクセス

鳥取の公立病院で、新型コロナウイルス感染症の患者さんの電子カルテに、院内から不正アクセスがありました。不正アクセスされた患者さんは2名、不正アクセスしたのは看護師、検査技師、クラークなど28名に及ぶとのことです。28名は全て病院職員で、病院外部への流出は無いとのことですが、病院内部といえども診療に無関係な職員が電子カルテを参照することは、外部へ流出したことと変わらない事案でしょう。

電子カルテは患者情報の共有が最大の利点とも言えますので、職員が電子カルテにアクセスすることは、できるだけ制限したくありません。しかし業務上で不必要なアクセスは断固として無くすべきものです。アクセスログにより、誰がいつ誰の何を参照したかのか、比較的簡単に調査できます。調査できることが分かっていれば不必要な参照は削減されることでしょう。

政治家や芸能人など有名人が入院すると、興味本位でカルテを見てしまう事案は、紙カルテの時代にもありました。紙カルテは物理的にアクセスが制限されていたので、問題になりにくかったのです。電子カルテの不正アクセスは、カルテにアクセスし易くなったことの副作用とも言えます。電子カルテの製品によっては、特定の患者さんは、特定の職員しか参照できないような権限管理の機能があります。権限管理は人手のかかる作業ですが、今後はより厳格な管理が求められることでしょう。


3.システムの機能だけではなく組織的な取り組みが必要

青森の病院を運営しているのは、複数の市町村が集まった広域連合です。3つの病院と2つの診療所を持ち、それらの医療機関で電子カルテを共有し、診療の質を高めることを特徴としています。電子カルテを積極的に利用する中で、電子カルテから情報が流出したことはとても残念です。また、この広域連合と該当病院のWEBサイトには、今回の事案の報告がありませんでした。今後も電子カルテを活用して、患者さんの信頼を得るには、事実を詳細に公表し、対応策を明確にすべきだと思います。

鳥取の病院は、WEBサイトの先頭の目立つ場所に事案の概要とお詫びの文章が記載されています。さらに、その対策も記載(注1)されていました。対策は6つあり、どれも納得できるものです。6つのうち3つは、職員研修、注意喚起、運用規定の周知といった職員の教育と運用に関わる組織的な取り組みです。システムの機能だけでセキュリティを確保しようとすると、非常に使いにくいシステムになってしまいます。システムの機能と、運用ルールと、それを遵守させる組織的な取り組みのバランスが必要です。


今回紹介した2つの事案は、新型コロナウイルスの感染拡大という、特殊な状況で表面化した事案です。潜在的には表面化していない事案があると推測されます。電子カルテをはじめ患者さんの個人情報を扱うシステムを運用しているからには、医療機関全体で個人情報の扱い方の教育を徹底し、個人情報の重要性を認識し、それが医療機関の常識になるように啓蒙し続けることが重要だと思います。


[脚注]