一口にセキュリティと言っても、様々なものがある。ここでは、医療機関の経営者として、また医療機関と取引をする企業としても知っておきたいセキュリテイ関連の制度について紹介する。
最近話題のサイバー攻撃に対応するための法律で、国の戦略や対策についてその方針を定めたもの。サイバーセキュリティ対策は国の責務となっている。
小規模事業者を除く企業で、ICTの利活用が必要不可欠な企業経営者に対して、サイバーセキュリティ対策を推進するためのリーダーシップをとるためのガイドライン。最近、企業だけではなく、病院でもCIO(Chief Information Officer、最高情報責任者)を配置するケースが目立つようになってきているが、そのCIOと経営者の関係性についてもまとめてある。
医療機関、介護事業所で勤務するスタッフのための患者及び利用者情報の取扱いに関するガイドライン。対象は生存する個人に限定しているものだが、患者・利用者が死亡した後も情報を保有する場合は漏洩等が起きないように、個人情報と同等の安全管理が求められる。
不正アクセス行為による犯罪を取り締まる法律。なお、不正アクセス行為とは以下のようなものを言う。
・他人のID、パスワード(アイパス)を無断で利用して本人になりすましてPC等を利用
・他人のアイパスを取得、保管
・他人にアイパスを(偽サイトなどに誘導し)不正に入力させる
・他人のアイパスを本人や本人が所属する組織等の管理者以外に提供する
なお、実際に被害が発生していなくとも罰することができる。
通称「迷惑メール防止法」。広告・宣伝を目的とした電子メールを、受信者の承諾を得ないままに一方的に送ることを規制するのが目的。
プロバイダとはインターネット接続サービス事業者のこと。そうしたプロバイダが運営するWebサイト上で、利用者等の個人情報が流出した場合や特定の個人に対する誹謗中傷などが掲載された場合(よくあるネット掲示板への悪意のある書き込みなど)に、プロバイダの損害賠償責任の範囲が制限されたり(プロバイダが個人の情報流出や誹謗中傷されていることを知らなかった場合は責任は制限されるが、知っていながら情報を掲載し続けるなど放置したままであれば責任は制限されない)、誹謗中傷を受けた被害者が誹謗中傷の書き込みをした個人(発信者)の氏名や連絡先などの情報開示を求めることができるようにする法律。
以上、代表的なものについて列挙してみた。気をつけたいのは、被害者になることもあるが、知らず知らずのうちに加害者になってしまうこともありうるということ。そのどちらにもならないように、改めて法律・制度の根幹と基本だけは押さえておきたい。