訪問診療クリニックが行うべき情報セキュリティ対策とは

訪問診療クリニックが行うべき情報セキュリティ対策とは

訪問診療クリニックを運営していく上で、情報セキュリティ対策は必要不可欠です。とはいえ、院内でどのような対策を講じればよいかわからない方がいるのではないでしょうか。


本記事では、訪問診療クリニックでおこなうべき情報セキュリティ対策を解説します。適切な管理体制を継続し、不正アクセスや情報漏洩などを防止していきましょう。


>>安心のセキュリティ!訪問診療向けクラウド型電子カルテhomisはこちら

医療情報システムの安全管理に関するガイドラインとは

医療情報システムの安全管理に関するガイドラインとは、患者さんの電子カルテなどの医療情報を適切に管理するためのガイドラインです。

近年、電子カルテなどの医療情報を活用したシステムの発展により、患者さんに対する医療の質が向上しています。

一方で、SNSやネット通販などの情報サービス事業においては、システムの脆弱性を突いた事件が多発しています。

医療情報の領域においても、安全性の高いシステムを構築する必要性が出てきたことから策定されたのが医療情報システムの安全管理に関するガイドラインです。

ガイドラインを守ることで、個人情報の漏洩や改ざん、診療録の破壊などが守られます。診療の縮小や診療そのものができなくなる事態を防止するためにも、ガイドラインを遵守することが大切です。

(参考)
医療情報システムの安全管理に関するガイドライン 第6.0版(令和5年5月)厚生労働省

訪問診療クリニックで起こり得るトラブル

訪問診療クリニックを含む医療機関では、おもに以下のトラブルが起こり得ます。

  • 紛失
  • 不正アクセス
  • 個人情報流出

上記のトラブルに発展すると、院内だけでなく患者さんの不利益につながるおそれがあるため、リスク管理を徹底することが大切です。

紛失

過去に、ある医療機関では患者さんの個人情報が含まれるUSBメモリを紛失するトラブルが発生しています。
USBメモリには、患者さんの氏名や年齢、性別や診察券番号などの個人情報が含まれていました。

場合によっては患者さんの個人情報が不正利用され、トラブルに発展するおそれがあります。そのため、安易に外部メモリに院内のデータを保存してはいけません。

不正アクセス

もし、セキュリティが脆弱な媒体でネットに接続すると、外部から不正アクセスを受けるおそれがあります。
ある医療機関では医師が私物のパソコンを院内に持ち込み、院内のLAN回線に接続したところ、外部から不正アクセスを受けた事例が報告されています。

一定のセキュリティ基準を満たしていない媒体を院内ネットワークにつなげると、トラブルに発展するおそれがあるため、注意しましょう。

個人情報流出

データの持ち出しや院内へのパソコンの持ち込みなどをおこなうと、情報漏洩につながる可能性があります。

ある医療機関では、患者さんのデータを保管するストレージの利用IDやパスワードが第三者に盗まれ、患者さんの情報が漏洩する事態が発生しました。
また、ある介護事業所では担当職員が関係機関に対して誤った申請書類を送付してしまい、法人代表1名および従業員5名分の個人情報が漏洩する事案が発生しました。

情報漏洩のリスクを減らす方法として、院内スタッフの情報リテラシーを高めるために人材教育を徹底することが大切です。
さらに、紙運用による情報漏洩を防止するために、DX化を推進していくことも必要になります。

>>安心のセキュリティ!訪問診療向け電子カルテ「homis」詳しくはこちら

訪問診療クリニックが行うべきセキュリティ対策

訪問診療クリニックが訪問先で診療する中でおこなうべきセキュリティ対策は以下のとおりです。

  • 情報セキュリティ対策の責任者を置く
  • アクセスを制御する
  • IoT機器を管理する
  • パソコンの外部持ち出しに関する⽅針や規程の整備する
  • BYODを原則禁⽌とする
  • サイバー攻撃などへの対応をする
  • バックアップデータを用いて復元する
  • 情報を破棄する
  • 出所不明な外部メモリを接続しない
  • 怪しいメールは開かない


セキュリティ対策の責任者を決め、院内スタッフ間で情報リテラシーを高め、安易な行動を控えるようにしましょう。

情報セキュリティ対策の責任者を置く

クリニック全体の安全管理対策をおこなうために、責任者を設置することが大切です。とくに、情報システム運用責任者の設置および担当者を限定することが求められます。
従業者の責任と権限を明確に定め、安全管理に関する規定や手順書を整備する必要があります。
また、院内で安全管理の整備状況を日常的に自己点検し、確認する仕組みを作ることが大切です。

アクセスを制御する

集められた診療録を適切に仕分け、誰がどの情報にアクセスできるかを定める必要があります。
アクシデントが発生した際に責任の所在を明確にするために、一人ひとりに異なるIDを発行しておくことが大切です。
また、医療情報システムの利用者を認証するときは、二要素認証としてパスワードに指紋認証を追加するなどの対策が求められます。

IoT機器を管理する

患者さんに貸し出されるホルタ心電計やSAS検査機器などのウェアラブル端末は、インターネットへの接続を前提にするものが増えています。
そのため、機器を患者さんに貸し出す際は、情報セキュリティ上のリスクを説明することが重要です。

パソコンの外部持ち出しに関する⽅針や規程の整備をする

訪問診療クリニックとして保有する情報に対し、リスク分析を実施して情報機器の持ち出しに関する方針や規定を定める必要があります。
たとえば、外部へ持ち出した情報や情報機器の管理方法、情報を保存した媒体・情報機器の盗難や紛失時の対応を規定しましょう。
また、規定した運用管理に関して、盗難や紛失時の対応方法をスタッフに周知徹底することが大切です。

BYODを原則禁⽌とする

患者さんや院内スタッフが持ち歩くスマホなどの情報通信機器(BYOD:Bring Your Own Device)※が医療情報システムへアクセスすることや公衆無線LANの利用などは禁止されています。
もし、利用する場合は、リスクを最小限にするための技術的な対応をおこなわなければなりません。

※BYODとは「Bring Your Own Device」の略で個人が私物として所有しているPCやスマートフォンを業務に使う利用形態を指します。

サイバー攻撃などへの対応をする

院内スタッフに対し、標的型メールなどのサイバー攻撃に関する教育をおこなう必要があります。
また、システム障害による個人情報漏洩や医療提供体制に支障が生じるリスクがある場合は、所轄省庁および厚生労働省医政局へ連絡しなければなりません。

バックアップデータを用いて復元する

保管した情報の毀損が生じた場合は、バックアップデータを用いて毀損前の状態に復元することが必要です。
万が一、復元が不可能な場合は、失った情報の範囲を明確化させておきましょう。

不要な情報を破棄する

使用していた情報処理機器を廃棄するときは、必ず専門的な知識を持った担当者がおこないましょう。
その際には、データが読み出せないことを確認しなければなりません。

出所不明な外部メモリを接続しない

プライベートで使用しているUSBメモリやSDカードなどを院内のパソコンに接続しないように注意しましょう。
もし、私用の外部メモリを院内のパソコンに接続すると、ウイルス感染するおそれがあります。
院内で外部メモリを使用する際は、ウイルスチェックを終えた指定のメモリのみに限定してください。

怪しいメールは開かない

セキュリティソフトなどを使用して対策をおこなっても、ウイルス付きメールを開くと、トラブルに発展するケースがあります。
サイバー攻撃では、クリニックに関係する機関や関係者になりすましてメールを送るケースがあるため、注意深く見極めることが大切です。
メールの本文内に宛名や署名が記載されているかなどを確認し、少しでも不審に思ったらクリックしないようにしましょう。

訪問診療クリニックの情報セキュリティ対策に関するよくある質問

訪問診療クリニックが行うべき情報セキュリティ対策に関するよくある質問を以下にまとめました。
院内で起こり得るリスクを把握し、適切なセキュリティ対策に努めていきましょう。

セキュリティ対策としておこなうべきリスク分析はどのような手順でやる?

院内で起こり得るリスクを分析する際は、以下の手順で進めましょう。

  1. システムで扱う情報をリストアップし、重要度ごとに分ける
  2. 分けた情報ごとにリスクの脅威を挙げる
  3. 分析したリスクに対し、必要な対策を運用管理規程で定める

知っておくべきサイバー攻撃にはどのようなものがある?

おもに以下が挙げられます。

  • 標的型攻撃(特定のユーザーグループを狙った攻撃)
  • 水飲み場型攻撃(ターゲットが頻繁に訪れるWebサイトを改ざんしてウイルスに感染させる)
  • ランサムウェア(ウイルスに感染させ、身代金を要求する)
  • エモテット(電子メールを介してウイルスに感染させる)

サイバー攻撃に狙われやすいクリニックの特徴は?

  • おもに以下の特徴が挙げられます。

    セキュリティ対策が万全でない
    一定の資金力がある
    患者さんに関する情報資産が豊富にある

まとめ

訪問診療クリニックでは、患者さんの情報漏洩や不正アクセスなどのトラブルが起こるおそれがあります。
トラブルを防止するためには、院内全体で情報リテラシーを高め、セキュリティ対策を万全にする必要があります。

患者さんの大切な医療情報を守り、医療の質を高めながら、安全管理を徹底していきましょう。

セキュリティ面も安心!訪問診療向けクラウド型電子カルテ「homis」

患者さんの個人情報が蓄積されるカルテは情報セキュリティ面も考慮して選ぶことが大切です。
訪問診療向けクラウド型電子カルテhomisは最新のセキュリティ技術で患者さんの大切な個人情報をしっかりと守ります。

>>訪問診療向け電子カルテ「homis」詳しくはこちら

安心のセキュリティ

国内のデータセンターでデータを管理しています。また、インターネット通信時の伝送データはhttpsという技術を用いて暗号化を行なっています。最新の暗号化技術でデータのやり取りを保護しているので、情報の漏洩を防止しています。
また、運営会社のメディカルインフォマティクス株式会社は情報セキュリティマネジメントシステム(ISMS)の国際規格である「ISO27001」を取得しております。

万全のバックアップ体制

データセンターのデータについても定期的にバックアップを取っているので、災害時等有事の際にも最新のデータが確保されております。

個人情報の管理

医師やスタッフが使用するPCには、電子カルテの個人情報を残しません。

くわしい機能を知りたい、使い勝手を試してみたい、セキュリティ面をチェックしたい…という方、
まずはお気軽に無料デモでお試しください。