塚田智のデジタルリスクマネジメント十ヵ条

倶楽部オベリスク(eアカデミア)で毎月配信中のマネジメントに役立つヒント十ヵ条の一部を公開しています。

[RMG10]デジタルリスクマネージャーがユーザー管理を考えるヒント十ヵ条

(執筆者)俯瞰マネジメント研究会 | 塚田智 


1.デジタル化が浸透するに従い、セキュリティ管理上他部門との協働が必要になってくる。
今回はその例としてユーザー管理を取り上げる。ユーザーとは受診者のことではなく、電子カルテのオペレーター等操作に係わる人のことである。

2.ユーザー管理を疎かにすると、退職したユーザーのIDが削除されずに、退職後も電子カルテを使える状態になっているかも知れない。最近は院外からも電子カルテを使える環境が整いそのことは良いことであるが、一方で不正利用のリスクが高まっている。ユーザー管理について、どんな状況で、どんなリスクがあり、どんな対策が必要か考えてみる。

3.ユーザー管理の基本は、業務にあたる職員にユーザーIDを割り当て、職種や役職によって必要な権限を設定することである。しかし、ひとことに職員といっても、正職員だけでなく、短期間の雇用者、毎月1日だけ勤務する人、無給を理由に人事手続きをしない人、など様々な人がいる。また、職員ではない、業務委託の人、外部から派遣された人、ボランティアで補助する人、などにもユーザー登録が必要な場合がある。職種や役職も多種多様であり、ユーザー権限を設定するルールを作るのも困難と思えるほどだ。
このような状況で、医療機関の人事担当者でさえ、職員を正確に把握できないことがある。まして、システム管理者が職員を正確に把握して適切にユーザー管理を行うことは不可能と思われる。

4.電子カルテを使える場所が施設内に限定されていれば、操作している周囲に人の目があるため、不正に利用されるリスクは低いとは言える。しかし、最近はクラウドの利用、ネットワークの整備、モバイルの普及などで、施設外からも電子カルテを使える環境が整いつつある。また、コロナ禍で医療機関でも在宅勤務することがあり、VPNやSaaSの利用が増えている。つまり、必ずしも人の目にさらされない、施設外からの利用によるリスクが高まっているのである。

5.ユーザー管理が不十分だと、どんなリスクが推定されるのだろうか。・・・

倶楽部オベリスクのeアカデミアコースでは、マネジメントを”考えるためのヒント”を提供しています。三人寄れば文殊の知恵です。ここではその一部を公開しています。もしご興味がございましたら、是非倶楽部オベリスクのeアカデミアコースへご加入ください。

(公開日 : 2021年10月14日)
医療事務関係者のためのポータルサイト
倶楽部オベリスク
外来レセプト請求から文章指導・法律相談まで、”今” 医事現場に必要とされる情報やニュースを提供します。