医療情報システムの安全管理ガイドライン6.0版が5月末に公表され、医療機関への立入検査でのサイバーセキュリティ対策の取組状況の確認が必須となり、そのチェックリストも公表された。先日、「医療情報システム安全管理ガイドライン6.0版の読みこなし方」というテーマでお話をさせていただく機会をいただいたので、そのお話の中から押さえておきたいポイントと、ガイドラインだけではない、他の制度やツールを利用した対策・対応についてご紹介したい。
〇医療機関は患者の情報(患者の日記)をお預かりし、幅広く共有することを前提に
医療情報で最も大事なものは患者情報。改めて患者情報について考えてみると、情報の記録物という「モノ」は医療機関のものだが、記録の中身は患者のものといえる。だから、患者には「自己情報コントロール権」のようなものがあり、自身の情報を引き出すことができ、必要に応じては訂正を求めることもできる。医療機関とは銀行に似ているともいえる。また、これからの時代は慢性疾患患者との長く、高齢患者の増加に伴い複数の疾患を持つ患者が増えて、主治医となるかかりつけ医を持ちながらも特定の受診先に限らない付き合いが基本になっていく。そう考えると、患者情報を幅広く共有していくことが必要になっていく。今回のガイドラインのアップデートはそうした時代に合わせた見直しであり、患者にも安心して共有いただくためにサイバーセキュリティ対策を強く打ち出している。
〇サイバーセキュリティ対策チェックシートの他にも確認しておきたいツール
本年6月からは医療機関への立入検査で、サイバーセキュリティ対策への取組状況を確認することとなり、そのためのチェックシートが公表されている。
今回のガイドラインにはサイバーセキュリティに特化した解説資料もあるので、そちらも参照したい。また、ガイドラインには「経済産業省及び独立行政法人情報処理推進機構において策定している「サイバーセキュリティ経営ガイドライン」などを参考にサイバーセキュリティ対応計画の策定をすること」といった文言もある。
経済産業省のガイドラインは主に原則従業員数300名以上の一般企業を対象としているが、外部とのネットワーキングが増えている医療機関でも十分にその考え方を活用できる。また、このガイドラインに準じた取組ができているを確認する「サイバーセキュリティ可視化ツール」もあり、担当者が実施し、適宜経営観者層に報告するようにしている。医療機関でもこうしたツールを利用して定期的な確認をしておきたい。ICTもそうだが、コンピュータウィルスの種類、その利用手法も進化をするもの。常に情報のアップデートと対応状況の確認は意識しておきたい。
また、今回のガイドラインでは、医療情報システムの内部監査・外部監査の必要性を説いている。
MEDISによる医療情報システム監査人試験制度(本年は10月1日に試験)や一般社団法人医療情報安全管理監査人協会の講習会や認定者情報など確認してみるのもよいのではないだろうか。
〇システムを動かすのは人。システムに合わせるのではなく、人にシステムを合わせる。
前回の診療報酬改定で、診療録管理体制加算の見直しが行われ、400床以上病院に限定されているが、セキュリティ教育等が義務になった。今後、医療情報化支援基金を通じて電子カルテの補助が出ることを考えれば、すべての医療機関が対象になると思われる。
システムの利用も大事だが、そもそもの患者情報の扱いに注意が必要だ。特に医療は地域密着のビジネスともいえるので、情報漏洩問題は経営問題につながる。専門職者だけではなく、院内のボランティアや常駐する委託企業の従業員にも情報管理についてはしっかり伝えておくことが必要だ。また、情報の持ち出しについても改めてルールを確認しておきたい。ルールを過度に厳しくしてしまうと利便性が損なわれてしまうことに注意が必要だが、定期的に情報持ち出し状況の確認をすることを徹底しておこう。
マイナ保険証について、社会では問題視されているのは確かだが、国はそれでも利便性や行政コストの削減、重症化予防につながる診療の継続に効果があると信じ、すすめていく。それであれば、よい進め方を共に考えて、やってよかったと言われる社会にしていきたい。医療機関においては、その社会作りの基本条件が本ガイドラインを正しく利用していくということになるのではないだろうか。