ここから本文です。
医療情報ガイドライン第6.0版について 目的や改定内容、今後の医療機関の動向など
スイッチングハブをはじめとしたネットワークシステム、入退室管理システム、カメラシステム構築に関するお問い合わせはこちら
医療情報システムの安全管理に関するガイドライン第6.0版が令和5年5月に策定
令和5年5月に策定された「医療情報システムの安全管理に関するガイドライン 第6.0版」では、医療機関の情報システムの構成見直しについてが要点になりました。
サイバー攻撃の多様化・巧妙化に伴い、診療業務への被害を最小限に抑えることを重視した内容の見直しです。
医療情報ガイドライン第6.0版の改訂の目的
医療情報ガイドライン第6.0版は、令和5年4月からの保健医療機関・薬局におけるオンライン資格確認の導入に伴い、ネットワーク関連のセキュリティ対策強化が必要になることを前提としています。
医療情報システムの安全管理の実効性を高める目的で、ガイドラインの構成見直しを行うことになりました。
加えて、医療機関や医療情報システムに対するランサムウェア・マルウェア攻撃の頻発、サイバー攻撃の多様化・巧妙化で、診療業務に大きな支障が生じています。
医療機関における安全管理措置を中心とした見直しを行うため、今回の改訂となりました。
改定の基本方針として概説編、経営管理編、企画管理編、システム運用編の4つの考えを示しています。
医療情報ガイドライン第6.0版の改定の内容
医療情報ガイドライン第6.0版で改訂されたもののうち、読者対象別に整理された4編の指針は以下の通りです。
- 概説編(Overview):本ガイドラインの目的や対象、全体構成に加え、経営管理編、企画管理編、システム運用編を理解するうえで前提となる考え方などを示している。
- 経営管理編(Governance):主に医療機関などにおいて組織の経営方針を策定し、意思決定を担う経営層を対象にしており、経営層として遵守・判断すべき事項、並びに企画管理やシステム運営の担当部署および担当者に対して指示または管理すべき事項およびその考え方を示している。
- 企画管理編(Management):主に医療機関などにおいて医療情報システムの安全管理(企画管理、システム運営)の実務を担う担当者(企画管理者)を対象にしており、組織体制や情報セキュリティ対策に係る規定の整備等の規制などの安全管理の実務を担う担当者として遵守すべき事項、医療情報システムの実装・運用に関してシステム運用担当者に対する指示または管理を行うにあたって遵守すべき事項およびその考え方を示している。
- 主に医療機関などにおいて医療情報システムの実装・運用の実務を担う担当者を対象にしており、医療機関などの経営層または企画管理者の指示に基づき、医療情報システムを構成する情報機器、ソフトウェア、インフラなどの各種資源の設計、実装、運用などの実務を担う担当者として適切に対応すべき事項とその考え方を示している。なお、医療情報システムの実装・運用において、医療機関などが医療情報システム・サービス事業者に委託し、その業務および責任を分担することも考えられる。そのため、委託事業者においても本編を参照のうえ、医療機関などと協働する必要がある。その際、業務や役割、責任の分担の在り方については、あらかじめ両者で取り決めておくことが必要になる。
加えて、次の4点についての改定も説明しています。
- 外部委託、外部サービスの利用に関する整理
- ネットワーク境界防御型思考/ゼロトラストネットワーク型思考
- 災害、サイバー攻撃、システム障害などの非常時に対する対応や対策
- 本人確認を要する場面での運用(eKYCの活用)の検討
いずれも医療機関における院内ネットワークの保護、バックアップの確保について強化する内容が盛り込まれています。
また、本人認証の手段としてマイナンバーカードと外部認証機関の連携も挙げており、信頼性の高いセキュリティ対策がまとめられています。
ガイドラインの改定に伴って医療機関はどう動く?
ガイドラインの改定に伴い、医療機関がすぐに対応すべきセキュリティ対策の指針が明確になりました。
例えば、以下の対応が示されています。
- 小規模医療機関は医療情報システムの運用を一括して外部に委託する
- 大規模病院はシステム自主開発・運用と並行し、一部を外部委託する
- ゼロトラストに基づき院内外のすべてのアクセス・通信を監視する
- 災害発生時やサイバー攻撃に備えた複数のバックアップの保存
- トラブル発生時の早期復旧に向けたサーババックアップ
- マイナンバーカードを含む公的証明書に基づく本人性の確認
示された対策は一部ですが、今後は医療機関の規模や医療情報システムの状況に応じて、クラウドサービスの利用も広がっていくことが予想されます。
しかし医療機関の経営層には医療情報システムやICTへの理解が浸透しておらず、ただちに適切な対応を取ることも難しいと考えられます。
そのため、医療情報システムの担当者は経営層を含めた職員への教育を進めると同時に、医療機関が抱えるセキュリティ課題を明確にしていくことが優先されるでしょう。
また医療機関の課題解決に役立つツールとして、厚生労働省のサイバーセキュリティ対策チェックリストもあります。
経営層・システム管理者・医療従事者・一般のシステム利用者向けに分かれているため、リストを利用してサイバーセキュリティの課題を明確にしましょう。
セキュリティ対策のことならパナソニックEWネットワークス
医療情報ガイドライン第6.0版の改定により、医療機関のサイバーセキュリティが国の方針として具体的に示されました。
医療機関の医療情報システムは、24時間365日安定した稼働が求められ、停止すると大きな損害が発生します。
医療機関を狙ったサイバー攻撃は増加傾向にあり、小規模・大規模病院の種類を問わずターゲットになる可能性があります。
ガイドラインを意識したサイバーセキュリティ対策を進めるなら、パナソニックEWネットワークスにご相談ください。
医療情報システム導入に伴うインフラ整備、高速大容量の無線LANシステム、クラウドサービスまで幅広く対応いたします。
弊社はこれまでに大学病院を含む大規模医療機関だけでなく、個人のクリニックなどの小規模医療機関にも対応しており、最新のセキュリティ対策を提供しています。
ニーズに合わせてシステムおよびネットワークを設計・構築し、運用・保守のサポートまでワンストップで対応可能です。
医療機関のセキュリティ対策を万全にするなら、パナソニックEWネットワークスにおまかせください。
ガイドライン以外の独自のセキュリティ対策も重要
厚生労働省が改訂した医療情報ガイドラインは、医療機関を対象に増えているサイバー攻撃を意識した内容となっています。
医療情報システムの担当者が少ない医療機関、個人のクリニックであっても、ガイドラインに従えば一定のセキュリティ対策を施せます。
しかしガイドラインは必要最低限のセキュリティ対策ですから、それぞれに独自のセキュリティ強化策を実施することも重要です。
院内に医療情報システムやネットワークの専門人材がいない場合、外部の専門家に依頼して対策することをおすすめします。
その際は、多くの医療機関で電子カルテシステムやネットワーク機器の導入実績があり、最新のセキュリティ対策を行えるパナソニックEWネットワークスをご利用ください。