［RMG10］デジタルリスクマネージャーがユーザー管理を考えるヒント十ヵ条

（執筆者）俯瞰マネジメント研究会　|　塚田智　

１．デジタル化が浸透するに従い、セキュリティ管理上他部門との協働が必要になってくる。
今回はその例としてユーザー管理を取り上げる。ユーザーとは受診者のことではなく、電子カルテのオペレーター等操作に係わる人のことである。

２．ユーザー管理を疎かにすると、退職したユーザーのIDが削除されずに、退職後も電子カルテを使える状態になっているかも知れない。最近は院外からも電子カルテを使える環境が整いそのことは良いことであるが、一方で不正利用のリスクが高まっている。ユーザー管理について、どんな状況で、どんなリスクがあり、どんな対策が必要か考えてみる。

３．ユーザー管理の基本は、業務にあたる職員にユーザーIDを割り当て、職種や役職によって必要な権限を設定することである。しかし、ひとことに職員といっても、正職員だけでなく、短期間の雇用者、毎月1日だけ勤務する人、無給を理由に人事手続きをしない人、など様々な人がいる。また、職員ではない、業務委託の人、外部から派遣された人、ボランティアで補助する人、などにもユーザー登録が必要な場合がある。職種や役職も多種多様であり、ユーザー権限を設定するルールを作るのも困難と思えるほどだ。
このような状況で、医療機関の人事担当者でさえ、職員を正確に把握できないことがある。まして、システム管理者が職員を正確に把握して適切にユーザー管理を行うことは不可能と思われる。

４．電子カルテを使える場所が施設内に限定されていれば、操作している周囲に人の目があるため、不正に利用されるリスクは低いとは言える。しかし、最近はクラウドの利用、ネットワークの整備、モバイルの普及などで、施設外からも電子カルテを使える環境が整いつつある。また、コロナ禍で医療機関でも在宅勤務することがあり、VPNやSaaSの利用が増えている。つまり、必ずしも人の目にさらされない、施設外からの利用によるリスクが高まっているのである。

５．ユーザー管理が不十分だと、どんなリスクが推定されるのだろうか。・・・