バックアップは、システムやデータの保護に加えて、昨今ではランサムウェア対策としても重要性が高まる。だが、多数のシステムのサイロ化が大きな障壁になるケースが少なくない。ヴィーム・ソフトウェアが12月22日に開催したメディア向けセミナーでは、日本赤十字社の大津赤十字病院(大津市)がバックアップの統合化やランサムウェアへの備えについて取り組みを紹介した。
日本赤十字社 大津赤十字病院 事務部 医療情報課 上級医療情報技師 診療情報管理士の橋本智広氏
大津赤十字病院は、37診療科・684病床の持つ滋賀県の中核的な医療機関の1つ。説明を行った事務部 医療情報課の橋本智広氏によると、同病院では、2006年から富士通の「EGMAIN GX」による電子カルテシステムを運用しており、直近は2021年9月に2度目の更改をした。こうしたシステムの運用は、橋本氏を含む医療情報課 情報システム係の10人体制で担当しているとのことだ。
橋本氏によると、医療機関を取り巻く最近のサイバーセキュリティでの課題に、ランサムウェアの脅威や厚生労働省などによる方針への対応がある。ランサムウェアの被害が国内外で多発しているが、国内の医療機関では、2021年に発生した徳島県つるぎ町の町立半田病院における被害や、直近では10月に発生した大阪市の大阪急性期・総合医療センターでの被害が大きく報道された。橋本氏は、こうした実際の被害が医療機関のサイバーセキュリティ対策に大きな影響を与えていると話す。
診療報酬制度でもバックアップやセキュリティ対策の取り組みが重要な要件として位置付けられるようになった
また国の施策として、4月に実施された診療報酬改定も医療機関のサイバーセキュリティ対策に影響しているという。ここでは、診療報酬加算における診療記録などの情報の管理がより細かく規定され、専任の医療情報システム安全管理責任者の設置や、定期的な情報セキュリティ研修の実施などに加えて、医療情報システムのバックアップ体制の確保およびその体制の届出が求められるようになった。厚生労働省の「医療情報システムの安全管理に関するガイドライン」では、重要なファイルなどを数世代のバックアップかつ複数の方式で取得し、不正プログラムなどの影響が波及しない手段で管理し、バックアップからの復元手順を整備することが規定されている。
橋本氏は、こうした要件に対応して医療機関の情報システムを運用する上で幾多の課題があるとし、特に人的リソースが限られることと、マルチベンダー構成のシステムの運用管理の難しさの2つを挙げた。
人的リソースでは、ITスキルと医療機関の業務への精通が求められ、そのような人材が少ない。特に中小規模の医療機関では、担当者が通常の医療業務と兼務するケースが大半であり、デジタル技術を活用して医療業務の高度化する中で管理対象システムも増えてきている。大規模な医療機関では、システムの管理と診療情報などの管理を異なる部門で担当しているケースが多いが、一体化するところが徐々に増えおり、大津赤十字病院でも医療情報課に統合しているという。
大津赤十字病院のシステム構成の状況。バックアップを含めて複雑なサイロ化が起きているという
医療機関には、診療内容や業務などに応じてさまざまなシステムがあり、システムごとにベンダーが異なり、セキュリティ対策やバックアップなどの仕組みやポリシーも大きく異なるサイロ化状態にある。ベンダーは、基本的に自社製品の領域しかカバーできないため、全体的な運用管理は医療機関が主導しないといけない。だが、上述のように人的リソースが限られる中で、担当者が全てのベンダーとシステムに精通し、万全の運用を行うことは極めて難しい。
